Früher waren OT ­(Operational Technology) und ICS (Industrial Control Systems) getrennt und es gab keinen Grund, sich um die Sicherheit zu sorgen. Heutzutage konvergieren OT/ICS- und IT-Netzwerke und ermöglichen es Unternehmen, Daten zwischen verschiedenen Systemen auszutauschen und die geschäftliche Effizienz zu steigern. Mit dieser Ausweitung der Angriffsfläche für die Unternehmen entstehen neue Sicherheitsrisiken und Schwachstellen, die zu dramatischen Folgen führen können. Ein Beitrag von Philippe Borloz, Vice President Sales for EMEA bei Kudelski Security.

Während bei IT Informationen im Fokus stehen, beschäftigt sich OT in erster Linie mit Maschinen. Im Zuge der Digitalisierung der Industrie und des Gesundheitswesens werden immer mehr Sensoren und Systeme eingesetzt, um Daten zu erfassen, zu sammeln und auszuwerten. Das ist Aufgabe von OT und ICS, die physikalische Geräte und Prozesse in der Smart Factory direkt kontrolliert. Obwohl es sich bei OT um ein physisch eigenständiges Netzwerk handelt, werden OT- und IT-Welt zunehmend mehr miteinander verbunden. Die Infrastruktur konvergiert auf diese Weise mit der traditionellen IT-Infrastruktur. Als Folge durchlaufen Daten in der Industrie 4.0 beide Netzwerke, was die verfügbare Datenmenge erhöht und somit Fortschritte beim Einsatz von maschinellem Lernen und künstlicher Intelligenz ermöglicht. Beides trägt dazu bei, den massiven Anstieg der verfügbaren Datenmenge zu bewältigen und wertschöpfend zu nutzen.

Im industriellen Umfeld wird Cybersicherheit für viele Entscheider auf CISO- und CIO-Level zu einem aktuellen Thema. Aber Sicherheitsrisiken werden von OT-Führungskräften und IT-Führungskräften sehr unterschiedlich aufgefasst. OT-Umgebungen sind völlig anders strukturiert als IT-Umgebungen und haben daher auch ein anderes Risikopotenzial als die klassische Unternehmens-IT. Die Zielsetzung von MSS: im Falle eines Ausfalls eine Support-Konnektivität gewährleisten, die Berichtsfähigkeit der Lieferkettengruppe verbessern und die Transparenz der Planung erhöhen.

Weitreichende Implikationen für die IT-Sicherheit
Die Bereitstellung einer stabilen Cyber-Sicherheitsarchitektur ist in dieser neuen Ära von entscheidender Bedeutung. Es ist inzwischen eine bekannte Tatsache, dass die OT-Umgebungen von Angriffen heimgesucht werden. Dabei handelt es sich nicht nur um sehr komplexe Angriffe wie den Stuxnet-Angriff im Jahr 2014 oder den Angriff auf das Stromnetz der Ukraine im Jahr 2015. OT-Umgebungen werden auch regelmäßig von generischen Angriffen beispielsweise durch Ransomware heimgesucht, die betriebliche Schlüsselfunktionen beeinträchtigen können. Im Jahr 2019 wurde der erste Cyber-Angriff gemeldet, bei dem der Betrieb der US-Netzenergie unterbrochen wurde. Um einen Eindruck von der Gefährdung von OT-Umgebungen zu erhalten: 2019 wurden mehr als 400 Schwachstellen im Zusammenhang mit OT-Systemen aufgedeckt. Daran lässt sich ablesen, dass OT-Umgebungen in puncto Sicherheitskonzept nach wie vor hinter der IT zurückbleiben.

Einen großen Teil des Gefahrenrisikos tragen die Altsysteme bei, auf denen die meisten OT-Umgebungen beruhen. Diese sind oftmals seit Jahrzehnten im Einsatz. Im Gegensatz dazu werden die Geräte in IT-Umgebungen mindestens alle fünf Jahre ersetzt. Infolgedessen hinkt die OT vielerorts hinterher. Patches für veraltete Endpunkte existieren oftmals nicht, und es steht in der Regel auch nicht genügend Rechenleistung zur Verfügung, um Aktualisierungen durchzuführen.

In OT-Umgebungen läuft die Produktion rund um die Uhr, im Gegensatz zur IT, die ohne Beeinträchtigung des Betriebs ein- und ausgeschaltet werden können. Dies ist für das Sicherheitsmanagement relevant, denn es wirft die Frage auf, wann der beste Zeitpunkt für Patches und Neustarts ist. Denn wenn es sich um ein System handelt, dessen Einsatzfähigkeit kritisch für die Produktion ist, ist das Zeitfenster tatsächlich sehr klein. Dies ist bei IT-Systemen ebenfalls komplett anders. Dort werden normalerweise regelmäßige Patches und Updates automatisiert und über die Cloud bereitgestellt, was zu einem höheren Sicherheitsniveau führt.

Zu diesen Knackpunkten hinzu kommt nun die steigende Konvergenz von OT und IT, die eine Art Türöffner für Schwachstellen, Cyber Threats und typische Risiken für IT-Umgebungen schafft. Doch während IT-Umgebungen inhärenten Cyber-Risiken ausgesetzt sind, konzentriert sich das Risiko in OT-Umgebungen auf Geschäftsrisiken wie Sicherheitsprobleme, Betriebs-oder Produktionsunterbrechungen, ineffiziente Ressourcennutzung und damit verbundene Umsatzeinbußen. Hier reichen oft schon Millisekunden. Geräte in den Bereichen Fertigung, Energiemanagement und -verteilung, Wasser- und Abwassermanagement beruhen oft auf veralteten Protokollen und Technologien, die nicht in IP-basierte Systeme integriert sind. Sie erfordern spezialisierte Anwendungen, um die Sicherheit in dieser Umgebung zu erweitern.

Managed Security Services
Die meisten Unternehmen haben weder das Fachwissen noch die Ressourcen, um ein Sicherheitszentrum zu betreiben, das einen vollständigen Überblick über die Infrastruktur hat. Stattdessen suchen sie die Unterstützung von MSSPs (Managed Security Service Provider). Ein MSSP, der in der Lage ist, IT und OT gleichermaßen zu unterstützen, entlastet die internen Ressourcen, da der CIO und das CISO eine vollständige Bedrohungsübersicht und einen 24/7-Sicherheitssupport erhalten, um Risiken zu reduzieren, Geschäftsunterbrechungen zu verhindern und Sicherheitsprobleme anzugehen. Die Übersicht über Schwachstellen, OT-Assets und Remote-Verbindungen zu Drittanbietern (z. B. Wartung & Support) bietet eine gute Einschätzung der Gefährdung der OT-Umgebung und ermöglicht es dem CIO und CISO, im Falle einer Bedrohung schnell geeignete Maßnahmen zu ergreifen. Die Vorbereitung auf die Reaktion auf OT-Sicherheitsvorfälle begrenzt den potentiellen Schaden eines erfolgreichen Angriffs. Die Kontrolle des Fernzugriffs auf die OT-Umgebung durch externe Anbieter reduziert die Bedrohung durch Cyber-Angriffe drastisch.

Ein Beispiel für eine typische Gefährdung von vernetzten IT- und OT-Umgebungen sind Attacken mit Ransomware. In einem Krankenhaus kann dies Leben kosten oder in der Industrie Hunderte Millionen Euro an Schäden bis hin zu Werksschließungen nach sich ziehen. Um die Sicherheit im Betrieb zu erhöhen, empfiehlt es sich daher, die wahren Vermögenswerte im Unternehmen zu erkennen, das Gefahrenbewusstsein der Endbenutzer zu schärfen, eine systematische Netzwerksegmentierung durchzuführen und eine konsequente Bedrohungsüberwachung und ein Vorfallmanagement zu implementieren. Um den besonderen Anforderungen konvergierender Systeme gerecht zu werden, sollten ein individuelles betriebliches Schwachstellen- und Patch-Management entwickelt sowie die Konnektivität und Zugangskontrollen angemessen überwacht werden. Gelingt dies, ist bereits viel gewonnen im Einsatz gegen hinterhältige Attacken auf die Infrastruktur gesunder Unternehmen.