Company Topimage

22.10.2021

3 Eckpfeiler zur Verteidigung von OT-Netzwerken

Systemrelevante IT-Infrastrukturen werden von einer ständig ansteigenden Welle von Cyberangriffen bedroht - Onlineangriffe auf Krankenhäuser und Produktionsroboter sowie viele andere IT-Umgebungen, bei denen Hacker Zugang zu Produktionsanlagen haben und diese Störung der Abläufe nutzen können, um Geld zu erpressen. Viele medizinische Geräte, Bahnanlagen und Roboter aller Art funktionieren mithilfe von OT (Operational Technology) Netzwerken. Jedoch sind die meisten von ihnen ursprünglich nicht für den Einsatz in einem Netzwerk konzipiert worden, sondern sollten eigentlich autark in geschlossenen IT-Umgebungen laufen. Sie wurden nun durch die rasche Verbreitung der IoT-Technologie online gebracht.

Wenn Unternehmen solche Produktionsanlagen oder andere sensible IT-Umgebungen betreiben, sollten sie sich Gedanken darüber machen, wie sie Ihr Netzwerk von Grund auf sicherheitsorientiert gestalten können. Flache Netzwerke, die auf Sicherheit durch Unsichtbarkeit setzen, gehören der Vergangenheit an, weil Hacker mit denselben OT-Protokollen arbeiten können, die die Produktionsmaschinen zum Senden und Empfangen von Befehlen verwenden. Die Maschinen sind also nicht länger „unsichtbar“, sondern leicht aufspür- und angreifbar. Noch beunruhigender ist, dass Hacker inzwischen bereits spezielle Angriffsstrategien für die durch brancheneigene Sicherheitsvorschriften geschaffene IT-Umgebungen entwickelt und getestet haben. Aus diesem Grund empfehlen wir, dem Schutz von Unternehmensnetzwerken höchste Priorität einzuräumen, indem Organisationen drei Methoden anwenden: Segmentierung, Inspektion und virtuelles Patching.

Segmentierung ist der Prozess der Aufteilung eines IT-Netzwerks in einzelne Zonen, die leichter zu verteidigen sind. Der Zuschnitt dieser Zonen richtet sich streng danach, welche IT-Anlagen miteinander kommunizieren müssen. In einer solchen IT-Umgebung ist es für Hacker natürlich viel schwieriger, an Informationen zu gelangen, schädliche Software-Befehle zu senden oder Bedrohungen zu initiieren.

Ein segmentiertes Netzwerk ist zudem viel einfacher zu überwachen. Denn sobald ein Netzwerk segmentiert ist, fällt es ungleich leichter, den nächsten logischen Schritt zu machen: die Inspektion. Um OT-basierte Produktionsstandorte überwachen zu können, muss die eingesetzte Cyber Security Anwendung mit einem speziellen Wissen über OT-Protokolle ausgestattet sein. Mit diesem Vorwissen ist es möglich, alle ungewöhnlichen Software-Befehle zu verweigern - dies hat den zusätzlichen Vorteil, dass nicht nur bösartige Befehle, sondern auch Fehlbedienungen verhindert werden.

Der letzte Teil dieses Dreiklangs der OT-Netzwerksicherheit ist das virtuelle Patching. Virtuelles Patching ist ein netzwerkbasiertes Vorgehen, das einen "Schutzschild" um anfällige IT-Anlagen legt. Es wurde speziell für eine Reihe von Situationen entwickelt, z. B. wenn eine Produktionsanlage ihr End-of-Service-Datum überschritten hat, wenn eine solche Anlage aufgrund von Vorschriften nicht modifiziert werden darf oder wenn es aus Produktivitätsgründen erforderlich ist, eine Anlage bis zur nächsten geplanten Wartung in Betrieb zu halten.

Die Edge-Serie von TXOne Networks umfasst Intrusion Detection Systeme (IPS) und Firewalls der nächsten Generation, die speziell für diesen Einsatzzweck entwickelt wurden. Darüber hinaus lassen sich dank dieser Lösungen selbst umfangreiche IT-Installationen von einem zentralen Standort aus verwalten und die Sicherheits-Protokolle in einer leicht auffindbaren Datenbank sammeln. Mithilfe der Edge-Serie können OT-basierte Produktionseinrichtungen die Sicherheit maximieren und Cyberangriffe verhindern, ohne sich mit einer verringerten Produktivität abfinden zu müssen.