IoT-Security Transparenz und Automatisierung: Cyberrisiken in der Industrie besser managen

Autor / Redakteur: Maximillian Gilg* / Sebastian Human

Konvergente Netze aus Informationstechnologie (IT) und Betriebstechnologie (OT) sind bereits vielerorts Realität. Zuvor isolierte Netzwerke für industrielle Steuerungssysteme (ICS) sind dadurch nicht nur komplexer geworden - sondern auch stärker gefährdet.

Anbieter zum Thema

Die Verschmelzung von IT und OT kann abgesichert werden, indem man Netzwerkanomalien, beispielsweise ausgelöst durch einen unerwünschten Eindringling, zweifelsfrei und automatisiert identifiziert.
Die Verschmelzung von IT und OT kann abgesichert werden, indem man Netzwerkanomalien, beispielsweise ausgelöst durch einen unerwünschten Eindringling, zweifelsfrei und automatisiert identifiziert.
(Bild: gemeinfrei / Pixabay )

Diese Entwicklung und das explosionsartige Wachstum von IoT-Geräten haben dafür gesorgt, dass es um die Transparenz in solchen Netzen eher schlecht bestellt ist. Industrielle Netzwerke, die beispielsweise kritische Infrastruktursysteme versorgen, sind dadurch anfällig für Hackerangriffe und jedwede Art von Cyberbedrohungen.

Das Risiko von Cyberangriffen auf OT-Netzwerke ist verglichen mit anderen Bereichen beispiellos. Der Grund: Alternde, wenn nicht gar überalterte ICS-Systeme verschmelzen mit IoT-geprägten Unternehmens- und Industrienetzwerken aller Art. Eine brisante Mischung. Betreiber und Cybersicherheitsverantwortliche sehen sich mit einem Bündel von Risiken und Folgen konfrontiert. Dazu zählen Einnahmeverluste aufgrund ungeplanter Ausfallzeiten, die mangelnde Fähigkeit Datenschutzverletzungen rechtzeitig einzudämmen, die zunehmende Arbeitsbelastung im Bereich Security Operations und das Damokleschwert potenzieller Compliance-Verstöße, um nur einige zu nennen.

Diese Risiken steigen noch, weil in aller Regel eine umfassende Transparenz für die Systeme in OT- und ICS-Umgebungen fehlt. Betreiber in Branchen wie der Energieversorgung, aber auch Industrie- und Fertigungsbetriebe brauchen zwingend einen Technologie-Stack, der bestimmte Voraussetzungen erfüllt:

  • Industrielle Netzwerksegmentierung und Kontrolle der Netzwerkzugriffe in Echtzeit
  • Kontinuierliche, unterbrechungsfreie Transparenz für IT- und OT-Systeme und hinsichtlich von Bedrohungen
  • Automatisierte Threat Response
  • Durchsetzung von Compliance-Richtlinien, ohne die Verfügbarkeit zu gefährden

Industrielle Netzwerksegmentierung

In der kommenden Dekade werden industrielle Netzwerke sich weiterentwickeln, um zusätzliche Bandbreite auf Maschinenebene zu liefern. Die erlaubt es unterschiedlichen Anwendungen, dasselbe Netzwerk zu nutzen. Netzwerksegmentierung ist eine unerlässliche Voraussetzung, um die Verfügbarkeitsanforderungen solcher industrieller Netzwerke der nächsten Generation in Echtzeit zu erfüllen. Für Betreiber ist es wichtig schon jetzt und im Rahmen der bestehenden Infrastruktur mit der Netzwerksegmentierung zu beginnen. Nicht zuletzt, um die nötigen Voraussetzungen für zusätzliche Kontrolle zu schaffen, wenn Netzwerke der nächsten Generation sukzessive bereitgestellt werden. Integrierte Lösungen versprechen solche Sicherheitslücken zu schließen, weil sie die Netzwerksituation und den Systemstatus situativ und komplett erfassen.

Ansätze wie dieser machen die Netzwerksegmentierung sofort zu einer tragfähigen Maßnahme, um Cybervorfälle abzuwehren, statt auf zeitaufwendige und komplexe Bereitstellungsprozesse zu setzen.
Eine beschleunigte Implementierung in heterogenen, industriellen Automatisierungsnetzwerken beseitigt zudem einen weiteren kritischen Faktor: sie minimiert Unterbrechungen und Ausfallzeiten. Hinzu kommen Tools, mit denen Betriebe den kompletten Lebenszyklus von Segmentierungsrichtlinien in großem Maßstab entwerfen, weiterentwickeln und verwalten können. Dadurch verhindert man, wichtige betriebliche Prozesse zu unterbrechen. Wenn die verwendeten Switches dann noch Daten an den Netzwerkfluss dieser Tools liefern, gewinnt man zusätzlich Transparenz über den Nord/Süd- und Ost/West-Traffic. Dies gestattet in industriellen Netzwerken eine Mikro-Segementierung, die kritische Systeme vor Malware, Ransomware und anderen Bedrohungen der betrieblichen Zuverlässigkeit schützt.

Einblick in Bedrohungen

Industriebetriebe brauchen zwingend einen hohen Grad an Transparenz was Cyberbedrohungen, aber auch was betriebliche Probleme anbelangt. Probleme dieser Art haben die unangenehme Eigenschaft, oft unbemerkt zu bleiben. Doch sie beeinträchtigen im Laufe der Zeit Sicherheit, Produktivität und Qualität. Hier hilft nur, die Inventarisierung der Systeme zu rationalisieren und richtliniengesteuerte Netzwerk- oder Systemreaktionen zu automatisieren.

Eine gut integrierte Lösung ist in der Lage, alle Geräte während der Verbindung kontinuierlich zu überwachen, zu bewerten und zu klassifizieren, aber auch Veränderungen zu erkennen und darauf zu reagieren. Die verwendeten Methoden bewerten dazu die Geräteidentität, Ownership/Benutzer, die Compliance der Konfiguration, das Netzwerkverhalten und die Sicherheitslage, Firmware-Versionen und Rogue Assets – ohne den laufenden Betrieb zu stören. Die Integration in das Netzwerkmanagement liefert wichtige Informationen zu Netzwerkbetrieb, Leistung und Verfügbarkeit. Schwachstellen sollte man im Übrigen auch für industrielle Geräte (PLCs, RTUs und IEDs) sowie in IT-Umgebungen im Rechenzentrum oder in der Cloud bewerten, damit man einen möglichst umfassenden Überblick erhält.

Im Idealfall überwacht man das ICS-Netzwerk zentral und von einem einzigen Bildschirm aus. Moderne Lösungen lassen sich innerhalb weniger Stunden bereitstellen. Dazu werden passive Überwachungssensoren direkt an die SPAN-/Mirroring Ports der Netzwerk-Switches angeschlossen. Systeminformationen und Meldungen zu potenziellen Bedrohungen werden anschließend in Echtzeit an eine zentrale Verwaltungsplattform (das Command Center) übermittelt. Von dort aus werden sie innerhalb des Unternehmensökosystems entsprechend skaliert. Üblicherweise kann man diese Funktionen nativ mit SIEM-Lösungen, Firewalls, IT-Asset-Management, Sandboxen, Authentifizierungsservern und anderen Sicherheitssystemen verbinden.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Auf Sicherheitsbedrohungen und Compliance-Risiken reagieren

Integrierte Plattformen basieren auf einer einheitlichen Policy-Engine, die unmittelbar reagiert, wenn sie eine Bedrohung erkennt. Zusätzlich werden weitere Quellen mit orchestrierten, kontextabhängigen Arbeitsabläufen berücksichtigt, um Bedrohungen zu beseitigen oder vorausschauend zu beheben. Die Reaktion auf einen Vorfall ist kontextabhäng, und vor allem läuft sie automatisiert ab. Das senkt die MTTR (Mean Time to Resolve), ohne kritische Abläufe zu beeinträchtigen.

Threat Intelligence erkennt zusätzlich bisher nicht bekannte IT- und OT-Bedrohungen, wozu in aller Regel verschiedene Methoden miteinander kombiniert werden. Dazu zählen etwa die Deep Packet Inspection und das Erkennen von Anomalien oder nicht autorisierten Konfigurationsänderungen. Zusätzlich fließen Informationen aus Richtlinienbibliotheken und Schwachstelleninformationen ein.

Die Vorfallsreaktion lässt sich so automatisieren, dass sie die Verfügbarkeit aktiv unterstützt. Dabei reichen die Maßnahmen von der einfachen Benachrichtigung über die Isolierung einer Bedrohung bis hin zur Blockierung nicht autorisierter Geräte. Vorausschauend agierende, automatisierte Reaktionsworkflows senken den üblichen Zeitaufwand eines Ingenieurs, der potentiell kritische Ereignisse erst anhand einer Vielzahl von Protokollen und anderer Quellen analysieren muss.

Plattform-Lösungen versprechen beides: Cybersicherheit und betriebliche Transparenz im industriellen Kontext - im Sinne der Verfügbarkeit und zu einem überschaubaren Investitionsvolumen.

* Maximillian Gilg arbeitet als Systems Engineer bei Tripwire.

(ID:46746254)