Klaus Lussnig ist Geschäftsführer von Industrial Automation Österreich und Spezialist für Software-Lösungen rund um die Industrial Security von Produktionsanlagen im Zeitalter der Digitalisierung.

Blog

SOC für OT?

Warum es an der Zeit ist, über die Einführung eines Security Operation Centers (SOC) für kritische Infrastrukturen und vernetzte Produktionsanlagen zu sprechen.

Industrial Security Industrial Automation Blog

Die Digitalisierung und Vernetzung der Automatisierungen, Maschinen und Produktionsanlagen ist schon weit fortgeschritten. Damit erhalten die Betreiber große Möglichkeiten, qualitativ besser, quantitativ effizienter und somit wettbewerbsfähiger zu produzieren. Die Kehrseite der Vernetzung sind die zusätzlichen Gefahren von Störungen: Intern, Extern, durch Hacker, Kriminelle, der Wettbewerber sowie anderen Staaten.

Ein SOC ist eigentlich nur eine Aufgabe, die Organisation und Fähigkeiten im Team des Betriebs erfordern. Ja richtig gelesen – im Team des Betriebs. Etwas vereinfacht geht es um zwei Aufgaben: Das eine ist das Management, also die Erkennung und das Behandeln von Bedrohungen (Threat Mitigation) der Vernetzung und Veränderungen der Automatisierung. Das Zweite ist die Organisation und Reaktion (Incident Response) auf Störungen und Angriffe.

Zu beiden Aufgaben ein Beispiel aus der Praxis:

White Paper zum Thema

Zu 1.: Ein Getriebehersteller mit einzelnen Maschinen zur Bearbeitung der Zahnräder hat eine neue zentrale Logistiklösung in der Cloud mit automatisierten Fahrrobotern, welche die einzelnen Maschinen mit Material versorgen und die fertigen Produkte abholen. Und nun alles vernetzt und direkt im Internet was zuvor noch einzeln war. Notwendig ist es kontinuierlich, die zusätzlichen Bedrohungen bzw. Möglichkeiten der Störungen zu erkennen, und in der Behandlung im Risikomanagement das Schadensausmaß (OT knowhow) und Eintrittswahrscheinlichkeit (IT SEC knowhow) und Maßnahmen zu benennen.

Zu 2: Prozessindustrie Abwasser: Der Historian meldet fehlende Daten. Weder der Historianserver noch die Kollektoren, noch die Steuerungen zeigen Fehler. Das Netzwerk Monitoring zeigt die Ursache: Mehrere Sensoren versuchen Verbindungen zu externen Systemen aufzubauen. Hierzu werden in Millisekunden viele mDNS Anfragen versendet. Für das „Anhalten“ der Klärstufen, um die notwendigen Maßnahmen adhoc umzusetzen, darf die Bio-Abwasserreinigung aber nur kurze Zeit unterbrochen werden. Die Bestimmung der möglichen Zeitdauer erfolgt von den OT-Verantwortlichen. Für die Identifikation der Ursache und Beseitigung des kritischen Kommunikationsverhaltens benötigt es die Wissenden der IT-Security. Das „Abschalten“ der mDNS Abfragen in den Sensoren wird somit gemeinsam erfolgen. Ist das nun ein SOC-Team? Eindeutig „Ja“.

Demnächst mehr zu folgender Fragestellung: Lassen sich Aufgaben eines SOC für Produktionsanlagen sinnvoll auslagern? Machen Sie es den „Störungen“ nicht zu einfach!