Industrielle Umgebungen stellen eine besondere Herausforderung für die IT-Sicherheit dar – denn sie sind nicht für Änderungen konzipiert. Typischerweise sind sie auch voller Fehlkonfigurationen und potenziell riskanter Kommunikationspfade. So kommunizieren beispielsweise OT-Workstations häufig direkt mit dem Internet, obwohl eine kompromittierte Workstation der Zündfunke für eine Katastrophe sein kann. Wie geht man also beim Sicherheitsdesign vor und wie schützt man Industrieumgebungen vor Cyberangriffen?
Das Purdue-Modell für OT/ICS-Sicherheit
Bevor wir uns mit Taktiken zur Sicherheitsprävention befassen, sollten wir uns ansehen, wie Industriegeräte (oder Geräte der Betriebstechnologie (OT)) in die IT-Infrastruktur passen.
Eine Möglichkeit, OT-Umgebungen zu beschreiben, ist die Verwendung des Purdue-Modells, das aus 6 Ebenen besteht. Die 5. Ebene stellt ein Unternehmensnetzwerk dar. Hier sind die Nutzer angeschlossen, und hier befinden sich auch die meisten Endgeräte des Unternehmens. Auf der 4. Ebene befinden sich die Geschäftslogik, der Betrieb und die Planung, sowie Server wie E-Mail-, Intranet- und interne Dateiserver. Zwischen Ebene 4 und Ebene 3 sitzt die OT DMZ (demilitarisierte Zone). IT-DMZ und OT-DMZ sind nicht zu verwechseln. In der IT-DMZ befinden sich Server, die über öffentliche IPs von außerhalb des Unternehmens zugänglich sind. Die OT-DMZ hingegen fungiert als Barriere zwischen der IT- und der OT-Welt. In der DMZ-Zone befinden sich die von OT-Geräten genutzten Server für Fernzugriff, Patch-Management und Anwendungen. Auf der Ebene darunter (auf der 3. Ebene) kann das OT-Netzwerk betreten werden. Hier befinden sich Management-Workstations, die für die Verwaltung der SCADA-Systeme (Supervisory Control and Data Acquisition) verwendet werden.
Natürlich gibt es eine Firewall zwischen der OT-DMZ und der 3. Ebene, um den gesamten Datenverkehr zu blockieren, außer dem, der für das OT-Netz benötigt wird. Diese Firewall sollte sehr gut abgestimmt sein. Auf der 2. Ebene befinden sich SCADA- und HMI-Systeme (Human-Machine-Interface), die direkt mit speicherprogrammierbaren Steuerungen (PLCs) kommunizieren. Die 1. Ebene besteht aus den grundlegenden Low-Level-Steuerungen, die für den Betrieb von Robotern und Geräten verwendet werden. Diese Roboter und Geräte führen die eigentliche Arbeit aus, die sich auf Ebene 0 des Purdue-Modells befindet.
Zur besseren Veranschaulichung wird in der nachstehenden Abbildung ein schematischer Überblick gegeben:
- Ebene 5 Unternehmensnetzwerk, Verbindung der Benutzer und die Mehrzahl der Endgeräte,
- Ebene 4 Geschäftslogik, Betrieb und Planung, OT DMZ Zone Server als Barriere zwischen der IT- und OT-Welt; Fernzugriff, Patch-Management und Anwendungsserver, die von OT-Geräten genutzt werden.
- Ebene 3 OT-Netz; Management-Workstations für die SCADA-Systeme, eine Firewall für die OT-DMZ-Zone (lässt nur den für das OT-Netz erforderlichen Datenverkehr zu, sie muss sehr gut abgestimmt sein).
- Ebene 2 SCADA- und HMI-Systeme, die direkt mit PCLs kommunizieren.
- Ebene 1 Grundlegende Low-Level-Steuerungen, die für den Betrieb von Robotern und Geräten verwendet werden.
- Ebene 0 Roboter und Geräte führen die eigentliche Arbeit auf dieser Ebene aus.
Achtung: IT-DMZ und OT-DMZ nicht verwechseln! In der IT-DMZ befinden sich Server, die über öffentliche IPs von außerhalb des Unternehmens zugänglich sind. OT-DMZ-Server hingegen bilden eine Barriere zwischen der IT- und der OT-Welt.
Die größte Sicherheitsherausforderung für OT-Netzwerke
Aus der Sicherheitsperspektive sind IT- und OT-Netzwerke sehr unterschiedlich. Dieser Unterschied ist besonders wichtig, wenn es um die Behebung von Sicherheitslücken geht.
Regelmäßiges Patchen ist entscheidend für die Verringerung von Cyber-Risiken, da ungepatchte Systeme zu den häufigsten Ursachen für Sicherheitsvorfälle gehören.
In der IT ist das Patchen recht einfach (sic!). Ein Patch-Management-Server installiert Patches auf Servern und Endgeräten und startet sie in vordefinierten Zeiträumen neu. In der OT-Welt hingegen kann sich das Patchen zu einem Alptraum entwickeln. OT-Netzwerke sind auf Langlebigkeit ausgelegt. Sie sind teuer, daher ist Stabilität das A und O. Je weniger Änderungen, desto besser. Wenn sie einmal in Betrieb sind, kann sich ihr Lebenszyklus leicht über Jahrzehnte erstrecken. Das passt nicht gut zu der sich ständig verändernden Cyber-Bedrohungslandschaft und der Flexibilität der IT. So sind beispielsweise viele OT-Geräte, die für die kritische Infrastruktur zuständig sind, nicht für den paarweisen Betrieb ausgelegt. Sie können nicht einfach neu gebootet werden. Es ist nicht verwunderlich, dass sich noch immer zahlreiche Windows 95- und Windows XP-basierte OT-Geräte in der Produktion befinden. Da die Geräte möglicherweise sonst nicht mehr funktionieren, werden sie nie aktualisiert und gepatcht – und Schwachstellen bleiben bestehen.
Wie können Sie also Windows 95-basierte Geräte sichern?
In der Realität wird die Unternehmensleitung eine Produktionsanlage nicht stilllegen, nur weil ein Sicherheitsingenieur sagt, man solle ein altes Betriebssystem aktualisieren. Das heißt aber nicht, dass es in industriellen Umgebungen keine angemessene IT-Sicherheit geben kann. Hier sind die grundlegenden Sicherheitsmechanismen, die in jedem OT-Netzwerk vorhanden sein sollten. Und sie können ohne erhebliche Ausfallzeiten und Geschäftsunterbrechungen implementiert werden:
- Segmentierung: Einer der effizientesten Sicherheitsmechanismen in OT-Netzwerken ist die Segmentierung. Sie schränkt die Kommunikationsmöglichkeiten zwischen verschiedenen Verfahren und Arbeitsstationen ein. Natürlich muss man auch die Möglichkeiten einschränken, von den Management-Arbeitsplätzen aus in die unteren Ebenen der OT-Netze einzudringen. Eine sehr effiziente Netzwerksegmentierung lässt sich allein durch die richtige Konfiguration von Firewalls und des Netzwerks erreichen.
- Network Intrusion Detection Systems (NIDS): Strenge Firewall-Regeln sind ein Muss. Einige Daten und Protokolle müssen jedoch durchgelassen werden. Deshalb versuchen Hacker in der Regel, erlaubte Protokolle zu nutzen, um bösartige Datenpakete zu übertragen. Um diese zu erkennen, sollten Sie Network Intrusion Detection Systeme (NIDS) implementieren, die für OT-Netzwerke optimiert sind. Das bedeutet, dass sie OT-Protokolle verstehen und die in OT-Netzwerken befindlichen Geräte erkennen und kennzeichnen können. Durch den Einsatz von NIDS können Sie Fehlkonfigurationen, abnormale Verkehrsmuster, potenzielle Angriffe und Malware erkennen. Sie können auch automatische Reaktionen auf die erkannten Angriffe erstellen. In der Regel umfasst die Reaktion eine Änderung der Firewall-Regeln.
- Konfigurationen sperren: Wie bereits erwähnt, sind OT-Netzwerke ein Paradies für Legacy-Software, weil Upgrades so riskant sind. Eine Möglichkeit, die Sicherheitsbedrohung auf diesen „alten“ Geräten zu minimieren, besteht darin, die aktuelle Konfiguration der OT-Management-Workstations so zu brennen, dass sie nicht verändert werden kann. Außerdem empfehle ich, in jedem Ordner, wo immer möglich, Schreib-Lese-Regeln einzurichten. Auf diese Weise können Sie die Übertragung bösartiger Dateien an die OT-Management-Workstation verhindern.
- Sicheres USB: Wenn die Aktualisierung des Betriebssystems keine Option ist, können Sie auch keine herkömmlichen Antiviren-Tools (AV) verwenden. Doch auch für dieses Problem gibt es eine Lösung. Es gibt AV-Tools auf USB, die den Computer automatisch auf Bedrohungen scannen können, wenn der USB-Stecker in den Computer eingesteckt wird, da sie keine Installation von Software benötigen. Mit dieser Methode können Sie auch die Sicherheit Ihrer OT-Umgebung verbessern.
IT- und OT-Netzwerke in Sicherheitsharmonie
OT- und IT-Welten unterscheiden sich voneinander wie Asterix und Obelix. Die eine sehr einfach und flexibel, die andere etwas starrer und schwerfälliger, aber zusammen können sie perfekt koexistieren. Bei der Sicherung von OT-Umgebungen stützen wir uns auf das Wissen und die Erfahrung, die wir bei der Netzwerk- und Endpunktsicherheit gesammelt haben. In der OT kann sich die Erkennung nicht so sehr auf die Endpunkte konzentrieren, aber dieses Hindernis lässt sich überwinden, indem man die Endpunktkonfiguration auf die Festplatte brennt und sie davor schützt, für bösartige Aktionen verwendet zu werden. Das Gleiche gilt für bewährte Verfahren. Wie für IT-Umgebungen gilt auch für OT-Umgebungen: Durch den Einsatz bewährter Sicherheitsmechanismen wird Ihre Umgebung viel sicherer und widerstandsfähiger gegen Cyber-Bedrohungen.
Unsere Experten für OT-Sicherheit können Ihnen helfen, die Gefahren in Ihrer Umgebung zu verstehen, um gegen potenzielle Cyberangriffe besser gewappnet zu sein.
Warten Sie jedoch nicht zu lange, denn es gibt keinen berühmten Zaubertrank, der den Schaden rückgängig macht, wenn der Angriff bereits erfolgt ist. Halten Sie sich lieber an das Sprichwort: „Vorsicht ist besser als Nachsicht!“
Wie können wir helfen?
Um Ihre OT-Security zu verbessern, wenden Sie sich an uns, um weitere Informationen zu erhalten.