Kudelski Security : Safety first: Sicherheitstrends im Bereich Operational Technology

Die Bedrohungslage im Segment Operational Technology (OT) ist komplex, denn die zunehmend vernetzten IT/OT- und Industrial IoT (IIoT)-Systeme werden von einer Vielzahl von Bedrohungsakteuren als attraktive Angriffsziele ausgemacht. Cyberkriminelle sehen sich durch die geopolitische Situation zu Cyberspionage-Praktiken motiviert, die immer raffinierter werden. Nationalstaaten wie Russland, China, der Iran und Nordkorea verfügen über beträchtliche Ressourcen und Erfahrungen, um die kritischen Infrastrukturen anderer Nationen ins Visier zu nehmen. Solche Akteure sind sich sehr wohl bewusst, dass das Zusammenspiel von IT, OT und IIoT verstärkt zur Angreifbarkeit von OT-Umgebungen führt. Daher gestalten sie Ihre Attacken zunehmend aggressiv und versuchen, in den Systemen ihrer Opfer Fuß zu fassen, bevor Kontrollen zur Erkennung und Verhinderung ihrer Aktivitäten eingerichtet werden können. Branchen wie das Gesundheitswesen, die Industrie, der Energiesektor sowie die Öl- und Gasbranche stellen aufgrund ihrer enormen Bedeutung für die nationale Sicherheit primäre Ziele für diese Angreifer dar.

Traditionell galt „Air Gapping“ als die beste Sicherheitsmaßnahme zum Schutz von OT-Umgebungen, aber die Isolierung von Industrienetzwerken erweist sich längst nicht mehr als effektive Maßnahme. Da IT- und OT-Umgebungen – aufgrund der Digitalisierung und Steigerung der Effizienz – immer stärker integriert sind, beauftragen viele Industrieunternehmen einfach ihre IT-Sicherheitsteams damit, ihre OT-Anlagen zu schützen – während andere gerade diese Ressourcen um zusätzliche OT-Spezialisten ergänzen. Teilweise haben Unternehmen immer noch ein einziges gemeinsames Netzwerk für die IT- und OT-Kommunikation, doch genau das schränkt die Sichtbarkeit und die Fähigkeit ein, auf OT-fokussierte Angriffe zu reagieren. Es empfiehlt sich daher, trotz zunehmender Konvergenz jeweils dedizierte Spezialisten und Kommunikationsnetzwerke für IT und OT zu bestimmen. Zugleich werden Technologien wie isolierte IP-Bereiche, virtuelle lokale Netzwerke (VLANs) oder Mikrosegmentierung des IT- und OT-Netzwerkverkehrs immer beliebter, um Anlagen vor Angriffen zu sichern.

Die 5G-Technologie verändert Telekommunikationsnetzwerke von Grund auf und bietet eine Fülle von Vorteilen, darunter hundertfach schnellere Download-Geschwindigkeiten, eine zehnfache Verringerung der Latenzzeit und eine höhere Netzwerkkapazität. Im Bereich der kritischen Infrastrukturen treiben 5G-Netzwerke die Konvergenz von IT- und OT-Netzwerken voran, um den Informationsaustausch zu verbessern, Prozesse und Arbeitsabläufe zu optimieren und Systeme und Maschinen effizienter zu machen.

Allen Vorteilen zum Trotz entstehen auch neue Herausforderungen für die Sicherheit, beispielsweise durch die Verwendung von mehr Informations- und Kommunikationstechnologie-Komponenten (ICT) als bei den Vorgängern von 5G. Mehr Komponenten bedeuten eine höhere Wahrscheinlichkeit von Fehlkonfiguration und Missmanagement von 5G-Geräten und -Netzwerken. Altbekannte Schwachstellen, wie etwa verteilte Denial-of-Service-Angriffe und Herausforderungen rund um das Thema SS7/Diameter, die aus der Integration mit 4G-LTE-Netzwerken stammen, sind zusätzliche Bedrohungen. Derlei Schwachstellen können sogar 5G-Geräte und -Netzwerke beeinträchtigen, deren Sicherheitsvorkehrungen bereits verbessert wurden. Darüber hinaus bietet 5G im Gegensatz zu seinen Vorgängern eine dramatisch vergrößerte Angriffsfläche, da sich die kostengünstigen, kleinzelligen Antennen der Technologie als neue Ziele erweisen. Um die entscheidenden Herausforderungen rund um die 5G-Technologie zu bewältigen, benötigen Unternehmen entsprechend qualifizierte Sicherheitsexperten für die Implementierung, Wartung und den Betrieb.

Während Sicherheitsbeauftragte im Unternehmen weiterhin durch fragmentierte Abläufe, Richtlinien und Verfahren sowie mangelndes Bewusstsein und lückenhafte technische Expertise eingeschränkt sind, werden Angreifer immer fortschrittlicher bei ihrer Ausrichtung auf OT-Umgebungen. Es ist keineswegs unüblich, dass Angreifer bekannte IT- und OT-Malware modifizieren, um damit neuartige Angriffe auf OT-Umgebungen zu starten. Infolgedessen sind Malware-basierte Exploits, die früher auf Unternehmenssoftware abzielten, für Industrieunternehmen weiterhin relevant. Dazu gehören Angriffe mit Spyware, Ransomware, Kryptominern, Viren und Würmern sowie anderen Malware-Typen.

Für die meisten OT-Anbieter spielt Sicherheit nach wie vor die zweite Geige. Sie bieten weiterhin unsichere Geräte an, vernachlässigen das große Ganze in puncto OT-Sicherheit und erkennen nicht, wie sich Schwachstellen in ihrer Plattform und ihren Produkten auf die Kunden auswirken können. Viele OT-Anbieter lassen sich auch weiterhin unverhältnismäßig viel Zeit, um kritische Schwachstellen zu patchen. Bei einer ganzen Reihe von Anbietern herrscht gar der Irrglaube vor, dass Investitionen in die Cybersicherheit die Kosten erhöhen und die Auslieferung von Produkten auf den Markt verzögern.

Ohne umfassende Strategie werden proaktive Sicherheitsinitiativen ausgebremst

Derweil sind die Bemühungen von Unternehmen, ihre OT-Sicherheitslage zu verbessern, in aller Regel reaktiv ausgerichtet. Vorfälle und Sicherheitsverletzungen aus der Vergangenheit sind üblicherweise ein wichtiger Treiber für Investitionen in die Cybersicherheit, ebenso wie neue Bedrohungen. Vor allem sind aber auch gesetzliche Vorgaben in vielen Unternehmen der Anlass, die Sicherheitsstrategie anzupassen. Branchen, die weniger stark reguliert sind, hinken dabei tendenziell hinterher. Die Nase vorn haben Wirtschaftszweige, die strengeren Compliance-Anforderungen unterliegen, wie beispielsweise der Finanzsektor. Deren Hauptanliegen besteht darin, Imageschäden an der Produkt- oder Servicequalität sowie dem Verlust von geistigem Eigentum oder vertraulichen Informationen bei Cyberangriffen vorzubeugen.

Viele Unternehmen zögern insbesondere dann, einen aktiven Ansatz zu verfolgen, wenn sie nicht in der Lage sind, ihre Produktionsprozesse zu stoppen. Das ist auch einer der Hauptgründe, weshalb Industrieunternehmen oftmals nur langsam identifizierte Sicherheitslücken beheben und aktualisierte Sicherheitsmaßnahmen implementieren. Ironischerweise dauert es in der Regel Wochen oder sogar Monate, bis sich OT-Sicherheitsteams von einem Cyberangriff erholen, und es kommt fast immer zu kostspieligen Ausfallzeiten.

Selbst angesichts einer immer schwierigeren OT-Bedrohungslage zögern viele Unternehmen nach wie vor, die Verantwortung für ihre Cybersicherheit auszulagern – vor allem, wenn dies Auswirkungen auf das Kerngeschäft und die Wertschöpfungskette hat. Außerdem gibt es zu wenige Dienstleister, die wirklich in der Lage sind, diese verantwortungsvolle Aufgabe vollumfänglich zu übernehmen. Gleichwohl ist nicht zu übersehen, dass besonders kundennahe Anbieter Fortschritte darin machen, Industrieunternehmen gezielt zu unterstützen, eine stärkere Sicherheitskultur zu etablieren und ihre Cybersicherheitsziele systematisch umzusetzen.