OT-Security Stromausfall muss kein Brandanschlag sein

Ein Gastbeitrag von Christian Götz*

Sicherheitsvorfälle, die Auswirkungen auf OT-Systeme haben, können gravierende Störungen verursachen. Erhebliche Ver-sorgungsengpässe oder eine Gefährdung der öffentlichen Si-cherheit zählen zu den möglichen unmittelbaren Folgen. Was gilt es zu tun?

Firmen zum Thema

Maßnahmen zur durchgängigen Erhöhung der Cybersicherheit müssen auch OT-Umgebungen berücksichtigen.
Maßnahmen zur durchgängigen Erhöhung der Cybersicherheit müssen auch OT-Umgebungen berücksichtigen.
(Bild: gemeinfrei / Pixabay )

Die Zeiten waren rosig: OT (Operational Technology) und IT waren strikt getrennte Welten. Angriffe auf die IT berührten den OT-Bereich nicht. Doch diese Zeiten sind im Zuge der zunehmenden Verknüpfung von IT und OT, der Digitalisierung und generellen Vernetzung vorbei. Damit sind Energienetze oder Mobilfunknetze nicht mehr nur in der physischen Sicherheit etwa durch Brandanschläge bedroht, sondern – weitaus schlimmer – auch durch Hackerangriffe aus dem Internet.

Das Gefahrenpotenzial hat der Cyberangriff auf die größte Benzin-Pipeline der USA gezeigt, deren Betrieb gestoppt werden musste. Das Einfallstor war einmal mehr ein verwaistes, nicht verwaltetes Passwort; hier für einen VPN-Zugang.

Kleine und mittlere Unternehmen besonders gefährdet

Das Thema OT-Sicherheit muss deshalb stärker ins Blickfeld von Herstellern und Betreibern rücken. Zweifellos haben die einzelnen Branchen und Unternehmen derzeit einen unterschiedlichen Reifegrad in Sachen Sicherheit. Prinzipiell sind größere Unternehmen besser in der Cyberabwehr aufgestellt als kleinere und mittelständische. Der Betreiber eines Kernkraftwerks ist wesentlich besser ab-gesichert als etwa ein kleines kommunales Versorgungsunternehmen, das oftmals weder die erforderliche Manpower noch die direkte Expertise besitzt. Ähnliches gilt für den Gesundheitssektor. Auch hier liegt bei der Absicherung medizinischer Geräte wie Computertomographen oder Dialysemaschinen, die in die IT-Systemlandschaft integriert sind, noch vieles im Argen.

Das Thema OT-Sicherheit weist eine hohe Komplexität auf. Dafür gibt es mehrere Gründe: So werden im OT-Bereich oft ältere Lösungen eingesetzt, für die es keine Updates mehr gibt. Außerdem nutzen die Systeme vielfach veraltete oder proprietäre Betriebssysteme, Firmware und Protokolle, die nicht im Hinblick auf Sicherheit entwickelt sind beziehungsweise aktuelle Anforderungen nicht mehr erfüllen. Problematisch ist vor allem, dass die Systeme nie für einen Multi-User-Netzbetrieb ausgelegt waren. Folglich existiert keine Benutzerverwaltung, geschweige denn eine Benutzerrechteverwaltung.

Das grundsätzliche Problem von OT besteht darin, dass die Lösungsanbieter in der Vergangenheit vor allem die Anwendungsmöglichkeiten im Blickfeld hatten. Das Thema Sicherheit hingegen wurde eher stiefmütterlich behandelt.

Asset und Access Management als wichtige Hebel

Doch welche Maßnahmen müssen angesichts dieser Ausgangslage ergriffen werden? Zu den zwei wichtigsten gehören das Asset Management und das Access Management.

In einem ersten Schritt sollten im Rahmen eines Asset-Managements alle OT-Systeme und auch IoT-Geräte erfasst werden: Jede Anlage und jedes Gerät im Netzwerk muss identifiziert werden. Dazu gehören industrielle Steuerungssysteme und Anlagen wie ICS (Industrial Control System) oder SCADA (Supervisory Control and Data Acquisition), aber auch Kameras, Drucker, Türklingeln, audiovisuelle Geräte, Klimaanlagen – letztlich alle mit dem internen Netz und Internet verbundenen Systeme. Zwingend erforderlich ist auch eine Risikoanalyse. Hierbei müssen alle Systeme, Komponenten, Anwendungen und Prozesse berücksichtigt werden, die für einen sicheren operativen Betrieb unerlässlich sind.

Der Verlauf eines identitätsbasierten Cyberangriffs.
Der Verlauf eines identitätsbasierten Cyberangriffs.
(Bild: Cyberark)

Zum Access Management gehören die Ermittlung der Nahtstellen zwischen IT und OT und die Umsetzung adäquater Sicherheitsmaßnahmen für alle relevanten Geräte, Ports oder Verbindungen. Dazu zählen etwa die Überwachung privilegierter Zugriffe von IT-Clients auf kritische OT-Systeme und -Ressourcen und die Unterbindung des Zugangs bei verdächtigen Aktivitäten. Default-Passwörter müssen eliminiert und Zugangsinformationen regelmäßig geändert werden.

Von essenzieller Bedeutung ist die Etablierung eines sogenannten Least-Privilege-Modells: Die Beschränkung der Zugriffsmöglichkeiten von Personen und Geräten in einem Netzwerk ist eine der wirkungsvollsten Möglichkeiten, die Angriffsfläche zu reduzieren und Angreifer davon abzuhalten, Schaden anzurichten. Bevor ein Zugang gewährt wird, sollte immer die Identität überprüft, das Gerät validiert und der Zugriff auf das wirklich Benötigte begrenzt werden. Nicht mehr erforderliche Zugangsrechte sollten die Verantwortlichen entfernen. Das heißt, eine identitätsbasierte Sicherheitsstrategie in der IT mit einem Least-Privilege- und Just-In-Time-Ansatz muss auch den OT-Bereich mit einschließen.

Von essenzieller Bedeutung ist zudem die Sicherung des Remote-Zugriffs: Um den inhärenten OT- und IoT-Schwächen zu begegnen, muss der Fernzugriff etwa für Firmware-Updates oder Wartungsmaßnahmen auf verifizierte Partner, übliche Standorte und bekannte Ports beschränkt werden. Zugänge sollten nach Möglichkeit nur über kontrollierte Kanäle bereitgestellt werden.

Die Gefahren werden bereits mittelfristig weiter deutlich steigen, da die Digitalisierung und Vernetzung zunehmend fortschreiten, etwa in der Energiewirtschaft mit Smart-Grid-Szenarien und dem Aufbau intelligenter Stromnetze. Organisationen erkennen die damit verbundenen Sicherheitsprobleme zunehmend, allerdings ist der Umsetzungswillen bei konkreten Schutzmaßnahmen oft noch nicht ausreichend vorhanden. Das Thema auf die lange Bank zu schieben kann aber keine Option sein. Schließlich drohen Gefahren nicht nur durch einzelne Hacker mit finanziellen oder politischen Motiven, sondern auch durch hochprofessionelle Akteure staatlicher Organisationen und Nachrichtendienste.

* Christian Götz arbeitet als Director of Presales – DACH bei Cyberark.

(ID:47847877)