OT und Security – Wo und wie anfangen?

OT oder Operational Technology steht in der Regel für Umgebungen, welche industrielle Steuerungssysteme (ICS) enthalten, wie z.B.: SCADA-Systeme (Supervisory Control and Data Acquisition), verteilte Steuerungssysteme (Distributed Control System, kurz DCS), Industrielles Steuerungssystem (Industrial Control System, kurz ICS),  Remote Terminal Unit (RTU) und speicherprogrammierbare Steuerungen (SPS) sowie dedizierte Netzwerke und Organisationseinheiten. Embedded Systems gehören ebenso zum Bereich der Betriebstechnik (z.B. SMART-Instrumentierung) wie eine große Anzahl von Geräten zur wissenschaftlichen Datenerfassung, Steuerung und Datenverarbeitung.

Dabei werden OT-spezifische Bus-Systeme und Protokolle verwendet, welche oftmals ihre Ursprünge bereits vor dem Aufkommen der IT haben.

Viele Unternehmen und deren Mitarbeiter, die aus der “anderen“ Welt, der reinen IT kommen, kennen möglicherweise bereits alle diese Begriffe, haben aber die Bedeutung und Prozesse dahinter noch nicht verinnerlicht – ebenso wie viele Begriffe aus der IT nach wie vor für viele Mitarbeiter aus OT fremd sind.

Was dazu führt, dass zwar IT und OT (manchmal…) miteinander reden, aber substanzielles meistens nicht daraus erwächst. Oft sind die Gespräche für beide Seiten unangenehm, vielfach hat keiner der Gesprächspartner das Gefühl, in der Welt des anderen richtig zurechtzukommen.

Solange diese beiden Welten so gut wie nichts miteinander zu tun hatten, war das auch kein Problem, in Zeiten von Digitalisierung, Industrie 4.0 und IIoT ändert sich das aber gerade rasant.

Ein Thema hat eine besondere Brisanz dabei – Sicherheit!

Viele OT-Verantwortliche bestehen teilweise aus gutem Grund darauf, die Eingriffe in den laufenden Betrieb des OT-Netzwerks und der angeschlossenen Geräte so gering wie möglich zu halten – wenn denn Eingriffe überhaupt geduldet werden. Die Gründe dafür sind mannigfaltig, häufig sind diese Gründe auch in der Schnelllebigkeit der IT zu suchen. In der IT wird bestenfalls in wenigen Jahren gedacht und agiert, die Produktlebenszyklen in OT werden aber in Dekaden gemessen. Wie soll nun verantwortungsvoll in der OT gehandelt werden, wenn IT-Produkte (Hardware und Software) teilweise bereits nach ein wenigen Monaten nicht mehr zur Erweiterung bzw. im Austausch verfügbar sind und ein Wechsel zu den hippen Nachfolgeprodukten sich als unmöglich herausstellt?

Security-Unterschiede zwischen IT und OT/ICSc

 

IT

OT / ICS

Performance

Erledigt Aufgaben meist ohne garantiertes Zeitfenster

Erledigt Aufgaben in garantiertem Zeitfenster (Echtzeit)

Ressourcen

Umfassende Ressourcen wie CPU oder Speicher ermöglichen Installation von Security Software

Limitierte Ressourcen wie CPU oder Speicher erlauben nur bedingt Installation von Security Software

Verfügbarkeit

Wartungsausfall kann kurzfristig geplant werden und verursacht wenig Kosten. Reboot der Systeme kein großes Problem

Wartungsausfall kann nur langfristig geplant werden und verursacht hohe Kosten

Reboot im Produktionsumfeld problematisch

Safety

Spielt wenig Rolle

Spielt oft wichtige Rolle (Patchen mit Software verletzt Security-Zertifizierungen)

Typische Lebensdauer der Komponenten

kleiner 4 Jahre, teilweise nur wenige Monate

z.T. 20 – 25 Jahre

In der Welt der IT-Security kennt in der Regel niemand die Altlasten von Systemen und Netzwerken auf der OT-Seite sowie die Probleme, mit denen sich die OT zu beschäftigen hat, um Systeme sicher am Laufen zu halten. Hier kann bereits ein simpler Reboot eines angeschlossenen Systems zu massiven Auswirkungen in der laufenden Produktion führen.

OT-Security

Es wird einfach nicht funktionieren, die Produkte aus der IT-Sicherheit einfach in die OT zu übertragen (auch wenn das der feuchte Traum vieler Protagonisten ist!). Es ist trotzdem in Zeiten von Digitalisierung, Industrie 4.0 und IIoT erforderlich auf bewährte Standards zurückzugreifen und in OT zu implementieren – zu den Bedingungen der OT!

Eine Bestandsaufnahme (Auszug):

  • Bislang isolierte Bereiche werden vernetzt
  • Damit Erhöhung der Angriffsmöglichkeiten
  • Unterschiedliche Stufen und Ansätze für Security müssen integriert werden


Die aktuelle Lage der IT- & OT-Sicherheit in Deutschland

Schadsoftware

  • Täglich mehr als 390.000 neue Varianten von Schadprogrammen
  • Nach wie vor eine der größten Bedrohungen

Ransomware

  • Nutzerdaten werden verschlüsselt und nur gegen Lösegeld entschlüsselt
  • Seit 2016 stark

Advanced Persistant Threats (APT)

  • Gezielter, strategischer und längerfristiger Cyberangriff
  • Werden häufig über (Spear)Phishing Angriffe initiiert, dann weitere Ausbreitung (Lateral Movement)

Botnetze

  • Infizierung zahlreicher Fremdsysteme mit Schadsoftware zum Missbrauch für Angriff, Spam, ...
  • Immer mehr IoT werden für Botnetze missbraucht

 

Top 10 Bedrohungen für industrielle Steueranlagen (ICS) 2019

 
 Bedrohung
 1  Unberechtigte Nutzung von Fernwartungszugängen
 2  Online-Angriffe über Büro- / Unternehmensnetzwerke
 3  Angriffe auf Standardkomponenten innerhalb des ICS-Netzwerkes
 4  (D)Dos Angriffe
 5  Menschliches Fehlverhalten und Sabotage
 6  Über Wechseldatenträger und externe Hardware eingeschleuste Malware
 7  Lesen und Schreiben von Nachrichten/Kommandos im ICS-Netzwerk
 8 Unberechtigter Zugriff auf Ressourcen
 9 Angriffe auf Netzwerkkomponenten
10 Technisches Fehlverhalten und höhere Gewalt

 

> Eine Lösung bietet das Regelwerk IEC 62443, eine internationale Normenreihe über "Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme"

Relevanz der IEC 62443 für die jeweiligen Rollen:

  • Allgemein
    • IEC 62443-1-1: Konzepte und Modelle
  • Betreiber
    • IEC 62443-2-1: Anforderungen an Security Managementsysteme
    • IEC 62443-2-3: Patchmanagement
    • IEC 62443-2-4: Anforderungen an Lösungsanbieter
  • Integrator
    • IEC 62443-2-4: Anforderungen an Lösungsanbieter
    • IEC 62443-3-2: Risikobewertung und Secure System Design
    • IEC 62443-3-3: Security Anforderungen auf Systemebene
  • Hersteller
    • IEC 62443-3-3: Security Anforderungen auf Systemebene
    • IEC 62443-4-1: Security Anforderungen an die Produktentwicklung
    • IEC 62443-4-2: technische Security Anforderungen an Komponenten

> Mit IEC 62443 lässt sich also basierend auf Standards eine OT-Security-Richtlinie entwickeln

Security-Hersteller, die diese Normenreihe beachten und die Langlebigkeit der OT-Welt unterstützen, können und werden in den Überlegungen der Industrie eine maßgebliche Rolle spielen und dabei helfen, die Bedrohungen für industrielle Steueranlagen zu minimieren. 

> Was macht DIN?

Darüber hinaus hat das Deutsche Institut für Normung (DIN) am 08.05.2019 bereits mit der DIN SPEC 27072 eine Spezifikation zur Informationssicherheit von IoT-fähigen Geräten veröffentlicht. Konkret fordert die DIN SPEC 27072 u.a. eine sichere Update-Funktionalität, eine im Initialzustand nach Inbetriebnahme verpflichtende Authentisierung vor Zugriffen über eine IP-Schnittstelle und verbietet die Nutzung von Standardpassworten im Netzwerkbetrieb. Untermauert werden diese Anforderungen durch die verpflichtende Nutzung kryptographischer Verfahren nach dem Stand der Technik, beschrieben in BSI TR-02102.

Der Vollständigkeit halber sei erwähnt, dass diese DIN-Norm IT-Sicherheitsanforderungen und Empfehlungen für internetfähige Geräte im privaten oder kleingewerblichen Endkundenbereich enthält.

Für die Industrie steht die DIN SPEC 92222 zur Verfügung - allerdings noch mit kleinen Lücken zum Thema kryptographischer Verfahren nach dem aktuellen Stand der Technik - kann ja eigentlich nicht angehen, dass das Smart Home besser abgesichert sein soll als beispielsweise Industrie-Roboter, welche gegebenenfalls ganze Produktionsstrassen beeinflussen können.

Hier steht also vermutlich mindestens einer der beteiligten Hersteller noch gewaltig auf der Bremse... 

02.09.2019 - Aufgrund vieler Zuschriften hier Link zu Teil 2 mit weiteren Überlegungen und für viele Bereiche eine sofort einsetzbare Lösung!

Daten letztmalig aktualisiert am 19.07.2019 © Peter S. Bachl

Interessiert an mehr Information? Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Partner | Referenzen
  • Tsystems.gif
  • commerzbank.gif
  • NXP.png
  • 1_LOGO_SSH.png
  • 1_LOGO_NEXIONA.png
  • netcologne.gif
  • dlr.png
  • DEUTSCHE_BANK.png
  • 1_LOGO_Avalara.jpg
  • gieseckedevrient.gif
  • hvb.jpg
  • 1_LOGO_SEMATICON.png
  • vodafone.gif
  • LMK.png
  • VOESTALPINE.png
  • AIRBUS.png
  • TDT-AG.JPG
  • 1_LOGO_VEEAM.png
  • sbb.gif
  • deutschepost.gif