OT-Security

Die physische, funktionale Sicherheit steht häufig in direktem Konflikt zur Cybersecurity

, Claroty | Autor: Herbert Wieler

Die physische, funktionale Sicherheit steht häufig in direktem Konflikt zur Cybersecurity

Jahrelang war die OT-Security, also der Schutz der Betriebstechnik, die kleine Schwester der IT Security. Durch zahlreiche Angriffe auf die kritische Infrastruktur und Industrieunternehmen und die angespannte geopolitische Lage ändert sich nach und nach allerdings das Bewusstsein.

Wir sprachen mit dem Experten für industrielle Cyber Security Max Rahner, Senior Regional Director DACH & Eastern Europe von Claroty , über den aktuellen Stand der industriellen Cybersecurity, die aktuellen Bedrohungen und die größten Herausforderungen für die Betreiber.

Wie stehen Unternehmen in Deutschland Ihrer Erfahrung nach in Sachen industrielle Cybersecurity im internationalen Vergleich da?

Leider gibt es immer noch Probleme mit Cybersecurity-Awareness in Deutschland, insbesondere dann, wenn es um die industrielle Steuerungstechnik und Gebäudetechnik geht. Zu häufig herrscht die Meinung vor, dass man nichts tun müsse, weil doch noch nie etwas passiert sei. Besonders Osteuropa hat hier nicht nur erheblichen Vorsprung im Wissen um Cybersecurity, sondern ist auch eher investitionsbereit.

Gibt es hierbei Unterschiede in den verschiedenen Branchen?

Das durchschnittlich höchste Professionalitätsniveau haben Unternehmen aus der Prozessindustrie: Chemie-, Pharma- und Lebensmittelbranche geben in Sachen Risikoverständnis und Cybersecurity in der Produktion eindeutig den Ton an. Nachholbedarf sehe ich insbesondere bei Automobilzulieferern und Maschinenbauunternehmen. Ausgerechnet Unternehmen unserer Vorzeigeindustrien in Deutschland scheinen den Ernst der Lage häufig noch nicht erkannt zu haben. Außerdem wird in den allermeisten Finanzinstituten, Klinken und Verwaltungen noch nicht berücksichtigt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) das technische Gebäudemanagement und die Gebäudeautomation zu Bausteinen im IT-Grundschutz gemacht hat und diese Bereiche entsprechend Teil des Cybersecurity-Konzepts sein müssen.

Was sind aktuell die größten Cybergefahren für die Industrie?

Angriffe auf die Integrität von Produktionsprozessen stellen aus gesellschaftlicher Sicht die mit Abstand größte Gefahr dar. In anderen Ländern hat es bereits öffentlich bekannt gewordene erfolgreiche Angriffe dieser Art gegeben, z.B. in Florida und Israel auf Wasserversorger. Dass ein Gut, z.B. Elektrizität, Wasser oder Lebensmittel, nicht mehr auf sichere Weise oder als sicheres Produkt hergestellt wird, kann erhebliche Auswirkung auf Umwelt und Gesundheit haben und hat daher eine völlig andere Qualität als Ransomware. Anders gesagt: Gar kein Wasser ist nicht so schlimm wie giftiges Wasser.

Eine der größten Herausforderungen sind ja die langen Lebenszyklen in der Industrie und damit verbunden Schwierigkeiten bei der Aktualisierung etwa der Software.

Leider liegt der Idee, alle OT-Geräte regelmäßig aktualisieren zu wollen, so wie man es von IT-Geräten kennt und längst umsetzt, ein Missverständnis zu Grunde. Es stimmt, dass der Erneuerungszyklus in der OT anders ist als in der IT. Während in der IT-Geräte nach drei bis fünf Jahren ausgetauscht werden, zielt OT auf einen Einsatzzeitraum von 25 bis 50 Jahren ab. Dies hat aber nicht nur wirtschaftliche Gründe: Die physische, funktionale Sicherheit steht häufig in direktem Konflikt zur Cybersecurity, wenn sie wie in der IT verstanden und umgesetzt wird. Prozesse in der Betriebstechnik sind häufig Real-Time-Prozesse, in denen schon kleinste Veränderungen Auswirkungen auf Prozessstabilität und -erfolg haben. Sowohl ein Agent einer Security-Lösung wie auch ein Update der Systemsoftware können diese kleinen Veränderungen verursachen, so dass die Prozessintegrität nicht mehr gewährleistet ist.

Darüber hinaus kann das Installieren eines Agenten oder einer anderen Softwareversion unter Umständen die Neuabnahme einer Anlage durch eine Prüfbehörde nach sich ziehen, die Gewährleistung durch den Anlagenhersteller ausschließen oder sogar eine Neuzertifizierung erfordern. Wenn die Betriebstechnik nicht richtig funktioniert, kann sie Menschen töten und die Umwelt zerstören. Deshalb ist das oberste Ziel der Betreiber die Safety, also die phsyische, funktionale Anlagensicherheit im Sinne der Maschinenrichtlinie, weshalb sie ihr OT-Netzwerk möglichst stabil, also ohne Änderungen, betreiben wollen. Das Einspielen eines Systemupdates stellt jedoch eine Änderung dar, die aufgrund der möglicherweise katastrophalen Folgen eingehend geprüft werden muss. Stellen Sie sich ein Atomkraftwerk vor: Wie gut würden Sie schlafen, wenn Sie wüssten, dass alle drei bis fünf Jahre Systembestandteile getauscht würden gegen neue Komponenten, zu denen es bisher keine Erfahrungen im Betrieb und deren Auswirkungen auf die funktionale Sicherheit des Betriebs gibt?

Wie sollten Betreiber kritischer Infrastrukturen und Industrieunternehmen also am besten vorgehen?

Betreiber müssen aus den erwähnten Gründen andere Wege zur Risikominimierung in Betracht ziehen. Das erfordert jedoch tiefe Kenntnis der eigenen Infrastruktur und eine kontinuierliche Risikobewertung bzw. im besten Fall sogar Risikosimulation, aus der Risikoreduktionsmaßnahmen abgeleitet werden können. Um dies umsetzen zu können, ist es unumgänglich, dass ein Asset-Register, Vulnerability- und Patch-Management aufgebaut sowie ein Change-Management-Prozesses etabliert werden. Darüber hinaus muss der Netzwerkverkehr nicht nur überwacht, sondern auch auf das funktional nötige Minimum reduziert werden. Zudem sollte man das Zero-Trust-Prinzip umsetzen: Zugangskontrollen müssen technisch so gestaltet werden, dass nur zur richtigen Zeit die richtige Person Zugriff auf die richtigen Geräte hat.

Grundsätzlich empfiehlt sich ein Blick in die B3S-Branchenstandards des BSI sowie generell anwendbarer Regelwerke wie der IEC 62443. Würde dies flächendeckend so gehandhabt, wäre ein Großteil der Sorgen um die Cybersecurity in Industrieumgebungen schon behoben. Sehr gut dargelegt sind sinnvolle Maßnahmen zur Verbesserung der OT-Sicherheit im Leitfaden „Maßnahmen gegen Eingriffe Unbefugter “ der Kommission für Anlagensicherheit. Dieser ist zwar für Unternehmen geschrieben, die unter das Bundesimmissionsschutzgesetz fallen, ist jedoch auch auf andere Branchen anwendbar und empfiehlt die oben beschriebenen Maßnahmen.

Definitiv nicht zu den Maßnahmen gehört die Bildung einer Rückstellung für die Zahlung eventueller Lösegelder nach einem Ransomware-Angriff. Wie Carsten Meywirth, Abteilungsleiter Cybercrime des Bundeskriminalamts, erst vor wenigen Wochen auf der Tagung des Verbands Kommunaler Unternehmen in Berlin dargelegt hat: Zahlen Sie nicht! Häufig begibt man sich damit in ein „Abonnement“, denn die Angreifer kehren wieder und vor Schaden bewahrt es Sie auch nicht.

In all diesen Punkten sehen wir noch einen großen Nachholbedarf. Es fängt in aller Regel schon damit an, dass die wenigsten Betreiber von Anlagen genau wissen, über welche Assets sie in ihren Netzwerken verfügen und wie diese untereinander und nach außen kommunizieren. Doch gerade dies ist die Basis für alle weiteren Sicherheitsmaßnahmen und damit der erste wichtige Schritt in Richtung OT-Sicherheit. OT-Security ist keine Frage eines Tools. Hier gibt es eine entscheidende Gemeinsamkeit mit IT-Security: Cybersecurity ist ein stetiger Prozess.