Cybersecurity spielt zudem erst in jüngerer Zeit eine immer größere Rolle in der OT und zwar in dem Maße, in dem Maschinen und Anlagen immer weiter miteinander vernetzt werden und Steuerungen sowie Sensoren in größerem Umfang Daten generieren, verarbeiten und z. B. zu Optimierungs- und Analysezwecken von Produktions- oder Logistikprozessen bereitstellen.

Entsprechend groß ist der Nachholbedarf auf Seiten der OT, wenn es um Cybersecurity geht. Zugleich mangelt es aber häufig an Know-how und/oder der nötigen „Awareness“ in Sachen Cybersecurity. Doch mit einfachen, praktischen Schritten lässt sich die Sicherheit des Unternehmensnetzwerkes deutlich stärken. Und jeder Schritt ist besser als nichts zu tun.

1. Das Netzwerk kennen

Zuallererst gilt es, sich einen detaillierten Überblick über das Netzwerk zu verschaffen. Denn nur wenn man Assets des Netzwerks kennt, kann man auch etwas zu deren Schutz unternehmen. Hierfür werden die kritischen Anlagen mit allen Maschinen, Systemen und Bereichen, in denen geistiges Eigentum und/oder vertrauliche Informationen gespeichert sind, katalogisiert.

Darauf aufbauend können potenzielle Bedrohungen definiert werden. Zu den offensichtlichsten gehören z. B. Hacker-Organisationen und internationale Spionage. So nahmen Ransomware-Attacken in den vergangenen Jahren immer weiter zu. Aber auch Brute-Force-Angriffe, also das Knacken von Passwörtern per Software gestützte Trial-and-Error-Methoden, sind nach wie vor weit verbreitet. Dazu gesellen sich klassische Innentäterschaften oder die Anwendung von Social-Engineering, wodurch Mitarbeitende unabsichtlich und nicht selten in guter Absicht als Helfer der Täter fungieren.

Für jede potenzielle Bedrohung gilt es nun die direkten und indirekten Folgen zu bewerten und eine Reaktionsstrategie festzulegen. Für Risiken, deren Auswirkungen hinnehmbar sind, genügt es, Schwellenwerten zu definieren. Bis zu diesem Punkt sind sie akzeptabel und ein reines Monitoring reicht aus. Bei größeren potenziellen Bedrohungen geht es darum, deren Wahrscheinlichkeit und/oder deren Auswirkungen zu reduzieren. Dies lässt sich mit Hilfe von Sicherheitsmaßnahmen, Protokollen und Redundanzen umsetzen. Noch mehr Schutz ist gewährleistet, wenn leicht angreifbare Komponenten durch sichere ersetzt und fortschrittliche Sicherheitstechnologien genutzt werden. Außerdem können strukturelle Änderungen am Netzwerk hierfür nötig sein.

2. Aufbau eines ­resilienten ­OT-Netzwerks mittels Segmentierung und Isolation

Im nächsten Schritt werden zuerst die Sicherheitsanforderungen für jedes Segment definiert. Bei der Segmentierung wird das Netzwerk in separate Segmente bzw. Zonen unterteilt, um den Datenverkehr zu steuern, die Sicherheit zu verbessern und potenzielle Angriffe einzudämmen. Jedes Segment kann seine eigenen Sicherheitsrichtlinien und Zugangskontrollen haben.

Im Rahmen der Netzwerksegmentierung werden potenzielle Schwachstellen bei den kritischen Assets und vertraulichen Informationen identifiziert und mögliche Auswirkungen von Sicherheitsverletzungen bewertet. Dadurch lässt sich jedes Segment einer Sicherheitsstufe zuordnen, die angibt, wie hoch die Wahrscheinlichkeit und wie schwerwiegend die potenziellen Auswirkungen einer erfolgreichen Sicherheitsattacke sind. Auf dieser Basis lässt sich Schritt für Schritt ein sicheres Netzwerkmodell erstellen.

Zum Start empfehlen sich einfache Hygienemaßnahmen wie regelmäßige Software-Updates, eine stringente Passwortverwaltung und grundlegende Zugangskontrollen. Darauf folgen ausgefeiltere Security-Lösungen. Dazu gehört das Eindämmen von potenziellen Bedrohungen durch eine Netzwerksegmentierung. Mittels der Definition von feinkörnigen Zugriffsrechten kann sie verhindern, dass Angreifer auf das gesamte Netzwerk zugreifen können, wenn sie (Remote-)Verbindungen kompromittieren. Für eine hochgradige Netzwerksegmentierung setzen Unternehmen häufig Firewalls zwischen IT- und OT-Netzwerken ein. Eine Firewall hat u. a. den Vorteil, dass sie Administratoren dabei unterstützt, Zonen im Netzwerk einzurichten, um nur zulässigen Datenverkehr von einer Zone in eine andere zu erlauben. Außerdem lässt sich das Netz mit Hilfe von Sicherheitsrichtlinien und -regeln, etwa zu IP-Adressen und zur ausschließlichen Freigabe genutzter Ports, in kleinere, leichter zu verwaltende Abschnitte untergliedern. Das gewährleistet, dass nur wirklich notwendiger Datenverkehr im Netz zugelassen wird.

Der Defense-in-Depth-Ansatz stärkt die Netzwerksicherheit durch mehrere Security-Layer. Gemäß der Cybersecurity-Norm IEC 62443 startet auch dieser Prozess mit der Aufteilung von Bereichen bzw. Zonen auf Basis ihres erforderlichen Schutzniveaus. Um die Sicherheit noch weiter zu erhöhen, lässt sich eine Zone in eine andere Zone mit zusätzlichen Sicherheitsmaßnahmen einbetten. So entsteht eine vielschichtige Verteidigungsstrategie. Hierfür eignet sich eine Kombination aus Firewalls, Intrusion-Detection-Systemen und Verschlüsselung.

Kritische Segmente können zudem isoliert werden, um die Ausbreitung von Bedrohungen innerhalb des Netzwerks zu minimieren. Hierfür werden sowohl die Zugangspunkte als auch die benachbarten Netze, die mit den kritischen Segmenten kommunizieren können, auf ein Minimum begrenzt. So bleibt die Integrität des Netzwerks erhalten, auch wenn ein Bereich angegriffen wurde.

Eine weitere Möglichkeit besteht darin, Autorisierungsmechanismen an die funktionalen Rollen anzupassen. Dadurch wird sichergestellt, dass Personen oder Geräte ausschließlich auf Ressourcen zugreifen können, die sie für ihre Aufgaben wirklich benötigen.

3. Der Faktor Mensch

Der Mensch wird manchmal als das größte Sicherheitsrisiko betrachtet und muss damit auch ein entscheidender Faktor in jeder Cybersecurity-Strategie sein. Dazu gehört zuallererst das Bewusstsein für Cybersecurity. Mit regelmäßigen Schulungen, die nicht nur theoretische Aspekte, sondern auch praktische Übungen zu realen Szenarien beinhalten, lässt sich dieses Bewusstsein in den Köpfen der Mitarbeitenden verankern.

Darüber hinaus kann die Unternehmenskultur wesentlich zu mehr Sicherheit beitragen: Teammitglieder müssen Sicherheitsbedenken ohne Angst vor negativen Folgen oder Schuldzuweisungen melden können. Der Fokus sollte stets darauf liegen, die Ursachen für Sicherheitsvorfälle zu verstehen und kurz- sowie langfristige Abhilfemaßnahmen zu ergreifen.

Teams müssen außerdem über alle nötigen Ressourcen verfügen, damit sie die verschiedenen Angriffsarten im Detail kennen und verstehen. Mit Checklisten und Schritt-für-Schritt-Leitfäden, die Mitarbeitende bei jeder Art von Angriff durch die entsprechenden Maßnahmen führen, können Cybersecurity-Spezialisten andere Teams in die Lage versetzen, angemessen auf Bedrohungen zu reagieren und potenzielle Risiken und Auswirkungen von Angriffen zu reduzieren.

4. Das Ökosystem

In einer soliden Sicherheitsstrategie sind auch die Partner des Unternehmens zu berücksichtigen, mit denen Daten ausgetauscht werden. Zentraler Sicherheitsaspekt ist hier die Authentifizierung, denn sie ist der Beweis für die Legitimität von Interaktionen innerhalb des industriellen Ökosystems. Authentifizierungsprotokolle müssen selbstverständlich Industriestandards und -vorschriften entsprechen. Außerdem sollten Fachleute fortlaufend die Bewertungen, Audits und Sicherheitspraktiken von Lieferanten und Partnern prüfen.

Darüber hinaus empfiehlt sich ein Netzwerk-Monitoring, um ein umfassendes Verständnis für die Aktivitäten innerhalb des Ökosystems zu gewinnen. Mit Hilfe von modernen Tools und Technologien lassen sich der Netzwerkverkehr, die Interaktionen der Geräte und Kommunikationsmuster in Echtzeit überwachen. Damit können Anomalien, potenzielle Schwachstellen und unbefugte Zugriffe erkannt und beseitigt bzw. abgewehrt werden.

Für die Überwachung von Sicherheitsverletzungen sind drei Dinge nötig: robuste Intrusion-Detection-Systeme, die tiefe Analyse von Protokollen sowie die aktive Suche nach Anzeichen für unbefugte Zugriffe, Malware oder andere Sicherheitsverletzungen. Jeder Sicherheitsvorfall sollte detailliert dokumentiert werden, auch (scheinbar) kleine Vorfälle.

5. Verbesserungsprozess

Weil Unternehmen das Thema Cybersecurity nie abschließen können, ist ein kontinuierlicher Verbesserungsprozess wichtig. Dieser sollte eine regelmäßige Überprüfung und Verfeinerung von Sicherheitsprotokollen sowie der Reaktionsverfahren auf Zwischenfälle und Überwachungsmechanismen beinhalten. Auch die Schulungs- und Sensibilisierungsprogramme sowie die Bedingungen für die Zusammenarbeit sollten Bestandteil der kontinuierlichen Verbesserung sein.