Kommentar : Produktion sichern: wie effiziente OT-Security Betriebsausfälle verhindert

Nur knapp ist am 5. Februar 2021 eine Cyber-Attacke auf eine Trinkwasseraufbereitungsanlage in Florida verhindert worden. Der Angreifer hatte sich sich über eine Fernwartungs-Lösung in die Operational Technolgy (OT) eingeloggt und die Konzentration von Natriumhydroxid auf ein gesundheitsschädliches Niveau erhöht. Allein weil einem Mitarbeiter ungewöhnliche Aktivitäten des Mauszeigers auffielen, konnte letztlich eine Gesundheitsgefährdung für viele Menschen unterbunden werden. Nicht nur in der kritischen Versorgungsinfrastrukur wie bei Wasserwerken oder der Energieproduktion ist OT im Einsatz. Auch bei Produktionsprozessen etwa in der Auto-, Lebensmittel- oder Pharmaindustrie geht es nicht ohne. Das Problem dabei: Durch die zunehmende Vernetzung in Produktionsstätten und die Konvergenz von OT- mit IT-Strukturen steigt das Risiko, dass OT durch Cyber-Angreifer manipuliert wird – mit möglicherweise fatalen Konsequenzen. Grund genug, einmal in den Blick zu nehmen, wie ein effizientes OT-Sicherheitskonzept aussehen und die Produktion gesichert werden kann.

Im Gegensatz zur klassischen IT, die zur Verwaltung von Unternehmensprozessen dient, umfasst OT die Steuerung und Kontrolle vernetzter Geräte und Maschinen in Produktionsprozessen. Diese Vernetzung findet nicht nur innerhalb eines Betriebs, sondern über Werksgrenzen hinaus statt, zum Beispiel zwischen Automobilherstellern und Zulieferern. Dadurch, dass IT und OT unterschiedliche Prozesse steuern, wird Sicherheit für beide Bereiche unterschiedlich definiert. Klarer wird dies bei Verwendung der englischen Begriffe. In der IT kommt es auf „Security“ an. Es geht um den Schutz von Informationen und dass diese vertraulich, richtig und immer verfügbar sind. In der OT ist „Safety“ gefragt, das heißt, der Fokus liegt auf der physischen Sicherheit für Mensch und Umwelt und darauf, dass Produktionsprozesse stabil und verlässlich ablaufen. Ein weiterer Unterschied besteht darin, dass IT in Unternehmen oder Behörden zentral organisiert ist, während OT lokal gesteuert wird, also in den einzelnen Niederlassungen oder Werken. Das allein ist schon eine grundlegende Herausforderung bei der Implementierung einer OT-Sicherheitsstrategie: Wie gelingt es, den zentrale Ansatz für die IT-Security mit dem lokalen Ansatz der OT unter einen Hut bringen und dabei die Sicherheitskonzepte Security vs. Safety zu berücksichtigen?

Erschwert wird dies zusätzlich dadurch, dass Produktionsmaschinen durchschnittlich 25 Jahre ihren Dienst tun und Altsysteme genutzt werden, die ein Sicherheitsrisiko darstellen. Nicht nur an Patches für veraltete Endpunkte mangelt es, sondern meist auch an Rechenleistung und geeigneten Zeitfenstern, um diese durchzuführen. In vielen Betrieben läuft die Produktion rund um die Uhr. Im Gegensatz zu redundant ausgelegeten IT-Umgebungen, können OT-Umgebungen nicht ohne Beeinträchtigung des Betriebs ein- und ausgeschaltet werden. Hinzu kommt das zunehmende Zusammenwachsen von OT und IT, welches typischen IT-Sicherheitsrisiken die Tür öffnet. Wenn nun Maschinen vernetzt werden sollen, um etwa Kunden neue Mehrwerte zu bieten oder wie aktuell in der Corona-Pandemie Fernwartung zu ermöglichen, enstehen noch weitere Probleme. Häufig fehlt der Überblick über alle Netwerk-Komponenten bzw. Teilnehmer im OT Netz, oder bereits durchgeführte System-Änderungen. Der Grund dafür ist einfach: Der Wunsch nach Vernetzung trifft auf eine Umgebung, die nie dafür gedacht war, insbesondere nach Draußen vernetzt zu werden, und in der Security bisher zugunsten von Safety keine Relevanz hatte.

OT-Systeme sind also grundlegend anders aufgestellt als IT-Systeme. OT-Attacken sind daher nicht einfach Angriffe mit Malware oder Viren auf „etwas andere Computer“, gegen die etwa ein Virenprogramm Schutz böte. OT-Angriffe stören Produktionprozesse oder die Steuerungstechnik, etwa indem Zusammensetzungen zum Nachteil von Produkten verändert werden, indem Eingriffe in die Logistiksysteme eines Zuliefererunternehmens eine Just-in-Time-Lieferung sabotieren oder gezielte Prozesswertmanipulationen in der Produktion zu Qualitätsmängeln führen. Unterscheiden lassen sich dabei zwei Typen von OT-Attacken. Am häufigsten kam es bisher zu Angriffen, die eigentlich auf IT-Systeme abzielten, bei denen aber aufgrund der Vernetzung auch OT-Systeme betroffen waren. Vermehrt lassen sich jedoch direkte und gezielte Angriffe auf die OT kritischer Infrastrukturen beobachten. Sie werden häufig mit dem Ziel der Sabotage, der Erpressung oder der Industriespionage vom organisierten Verbrechen oder staatlichen Akteuren gesteuert. Ob Unterbrechung des Betriebs, finanzielle Schäden, Verlust von Ansehen, Compliance-Verstöße, Sicherheitsrisiken im Betrieb oder Produkthaftungsrisiken – Angriffe auf die OT bergen ein enormes Schadenspotenzial. Insbesondere Unternehmen und Betreiber kritischer Infrastrukturen sollten sich daher hoch prioritär mit dem Thema OT-Security auseinandersetzen.

Um nun zu einer effektiven OT-Sicherheitsstrategie zu gelangen, muss sowohl auf der technischen als auch der organisatorischen und politischen Ebene angesetzt werden. Grundsätzlich gilt es, ein Bewusstsein für die Risiken zu schaffen, die mit der Vernetzung einhergehen. In der Politik mangelt es noch am Risiko-Bewusstsein in Sachen OT, was sich im Handlungsbedarf auf gesetzlicher Ebene zeigt. Bereits bestehende Gesetze sollten sowohl um Interpretationsspielräume bereinigt als auch erweitert und tatsächlich durchgesetzt werden – im Ernstfall durch Bußgelder. Um staatliche Infrastrukturen abzusichern, würde die gezielte Unterstützung von Investitionen einen wertvollen Beitrag leisten. Auf organisatorischer Ebene kann in Unternehmen oder Behörden ein zentraler OT-Security-Beauftragter dabei helfen, die organisatorische Lücke zwischen IT und OT zu schließen und dafür sorgen, dass Cyber-Security von Anfang an Teil der Risikobewertung wird. Zudem sollten Unternehmen Druck auf ihre Lieferanten ausüben, damit nicht deren Systeme zum Einfallstor für Attacken werden. Managed Security Service Provider helfen auf technischer Ebene Transparenz zu schaffen über die eingesetzten OT-Netzteilnehmer, wie diese miteinander kommunizieren und wer von außen darauf Zugriff hat. Das ist eine wichtige Grundvoraussetzung, um gefährliche Angriffe überhaupt zu entdecken. Dabei helfen OT-Monitoring-Lösungen und -Services. Beim Neuaufbau von Produktionsumgebungen muss OT-Security zudem von Anfang an mitgeplant werden, das Gleiche gilt für Maschinen-Neuentwicklungen. Kämen alle diese Faktoren zum Tragen, wäre ein großer Schritt getan, um die so kritischen OT-Systeme in Zukunft optimal vor Cyber-Bedrohungen zu schützen.

Für User in OT-Umgebungen bestehen in vielen Fällen die gleichen Sicherheitsrisiken wie in IT-Umgebungen: Phishing-Angriffe, schlechte Passworthygiene, mangelnde Sicherheit von Geräten. Allerdings liegt das Hauptaugenmerk eines OT-Ingenieurs darauf, das System am Laufen zu halten, Cybersicherheitsbedrohungen sind für ihn nicht der Fokus. Der OT-Security-Beauftragte sollte es sich daher zur Aufgabe machen, das Gefahrenbewusstsein der Endbenutzer zu schärfen und ihnen Sicherheitstools an die Hand zu geben, mit denen sie alle Anlagen visualisieren können. So ist zu erkennen, wie eine einzige Schwachstelle die Produktion insgesamt beeinträchtigen könnte.

Das Erkennen von Assets ist eine weitere kritische Komponente für IT- und OT-Security und zugleich eine der schwierigsten. OT-Systemen mangelt es notorisch an Transparenz, weshalb viele Unternehmen ihre wahren Vermögenswerte nicht vollständig kennen. Es ist daher wichtig, ein detailliertes Verständnis der Ressourcen entwickeln, die im OT-Netzwerk vorhanden sind, indem Betriebssysteme, Firmware-Ebenen, installierte Software, vorhandene Bibliotheken, die Art und Weise, wie die einzelnen Assets miteinander kommunizieren, und vorallem auch die Bedeutung der Assets für das gesamte OT-System dokumentiert werden.

Transparenz ist auch für ein wirksames Echtzeit-Monitoring von Cyberbedrohungen der erste Schritt. Sobald Sichtbarkeit hergestellt ist, gilt es zu klären, wie eine rund-um-die-Uhr-Überwachung des Netzwerkes sichergestellt werden kann. Was ist zu tun, wenn es einen Alarm gibt? Nach welchen Maßstäben soll validiert und interveniert werden? Wie soll bei einem Sicherheitsvorfall vorgegangen werden? Angesichts der Sicherheitsherausforderungen, die eine OT-Umgebung mit sich bringt, kann ein Vorfall in kürzester Zeit extrem schädlich sein. IT-Sicherheitsstrategien wie Bedrohungsüberwachung und -verfolgung sowie Vorfallmanagement können helfen, aber sie erfordern Zusammenarbeit und Koordination zwischen Sicherheits- und OT-Teams in Echtzeit. Die Rollen und Zuständigkeiten müssen klar definiert sein, das gilt auch für Security Operations Center (SOC) von Drittanbietern, Managed Security Service Provider (MSSP) und die Betriebsleiter. Zusammen kann mit definierten Playbooks für das Incident Management und regelmäßigen Table Top Exercises (TTX) die Reaktionszeiten verbessert werden.