Industrieunternehmen müssen Ausfälle durch Cyberattacken vermeiden. Das Absichern der Operational Technology (OT) ist dabei ein wichtiger Schritt. Ein Leitfaden zeigt auf, wie Unternehmen ihre Cybersecurity mit einfachen Maßnahmen verbessern und ihre Resilienz stärken.
OT-Security in der Industrie: Die zunehmende Verknüpfung von Operational Technology (OT), dem Internet der Dinge (IoT) und IT-Systemen bringt erhebliche Sicherheitsrisiken mit sich. Operational Technology ist damit sämtlichen aus der IT-Welt bekannten Cybergefahren ausgesetzt – und oftmals leicht angreifbar. Das liegt unter anderem an den vielen Altsystemen, die nur schlecht zu schützen sind, oder an den zahlreichen neuen IoT-Geräten, die Sicherheitslücken aufweisen.
Die nachfolgende Roadmap des IT-Dienstleisters NTT DATA hilft in sechs Schritten beim Absichern der Operational Technology.
Schritt 1: Sichtbarkeit herstellen
Der erste Schritt beim Absichern von OT und IoT ist eine sogenannte Asset Discovery, die sämtliche Komponenten mit Netzwerkzugriff identifiziert und dokumentiert. Auf diese Weise entsteht ein Inventar mit Informationen zu Gerätetypen, Firmware-Versionen und verwendeten Kommunikationsprotokollen. Dieser Überblick ist unerlässlich, denn ein Unternehmen kann nur das schützen, was es kennt. Zu den OT-Komponenten gehören zum Beispiel Programmable Logic Controller (PLC), Human-Machine Interfaces (HMI) oder SCADA-Systeme (Supervisory Control and Data Acquisition) und zu den IoT-Komponenten beispielsweise Sensoren oder Gebäudesteuerungen.
Schritt 2: Risiken identifizieren und bewerten
Sind alle Komponenten innerhalb der OT-Infrastruktur und ihre Kommunikationsbeziehungen bekannt, sollten Unternehmen eine Risikoanalyse durchführen. Dabei identifizieren sie mögliche Bedrohungen und bewerten sie hinsichtlich Schweregrad und Eintrittswahrscheinlichkeit. Darüber hinaus sollten Unternehmen klären, welche Auswirkungen eine Störung, ein Ausfall oder eine Manipulation hätte – und wie lange das Wiederherstellen einer Komponente nach einem Cybervorfall dauern darf. Diese Informationen sind für die Entscheidung erforderlich, wie mit Risiken umgegangen werden soll und welche Sicherheitsmaßnahmen zu ergreifen sind.
Schritt 3: Eine Sicherheitsstrategie für die OT-Security in der Industrie entwickeln
Parallel zu Schritt 2 ist es ratsam, dass Unternehmen einen individuellen Fahrplan zur Verbesserung ihrer OT-Security entwickeln, also Risiken priorisieren und Maßnahmen einleiten, um sie zu beseitigen oder zumindest zu minimieren. Die Maßnahmen betreffen sowohl technische als auch organisatorische Aspekte, also einerseits Technologien und Lösungen und andererseits Sicherheitsprozesse mit der Festlegung von Rollen und Verantwortlichkeiten. Wichtig ist, dass Industrieunternehmen OT-Security nicht als einmalige Maßnahme verstehen, sondern als kontinuierliche Aufgabe. Sie benötigen ein Konzept, um Risiken kontinuierlich zu identifizieren, zu bewerten und zu bewältigen. Unterstützung bei der Entwicklung und Umsetzung der OT-Sicherheitsstrategie bieten Normen und Frameworks wie beispielsweise ISO 27005 für das Risikomanagement in der Informationssicherheit sowie IEC 62443 für den Schutz industrieller Automatisierungs- und Steuerungssysteme.
Schritt 4: Die Top-Risiken entschärfen
Die größten Risiken für OT-Umgebungen resultieren erfahrungsgemäß aus veralteten Firmware- und Software-Versionen mit vorhandenen Schwachstellen sowie der Vergabe weitreichender Berechtigungen für die Zugriffe auf OT- und IoT-Geräte, die unzureichend abgesichert und kontrolliert werden. Zum Entschärfen dieser Risiken bieten sich mehrere Sicherheitsmaßnahmen an. Dazu zählen vor allem die Netzwerksegmentierung, das Absichern der Fernzugriffe durch eine sorgfältige Berechtigungsvergabe, verschlüsselte Verbindungen, die Multi-Faktor-Authentifizierung und der Einsatz einer Endpoint-Security-Lösung. Unverzichtbar ist zudem ein intelligentes Rechte- und Rollenmanagement. Dabei werden alle Benutzer und Systeme nur mit exakt den Berechtigungen ausgestattet, die sie tatsächlich benötigen.
Schritt 5: Langfristige Maßnahmen einleiten
Nach dem Minimieren der Top-Risiken können Industrieunternehmen ihre Prozesse so gestalten, dass sie die OT-Security langfristig und kontinuierlich verbessern. So benötigen sie etwa standardisierte Abläufe für das sichere Onboarding neuer Geräte und für die Meldung von Sicherheitsvorfällen bei den zuständigen Behörden, falls die Umgebung unter regulatorische Anforderungen fällt. Zudem müssen sie die Verantwortlichkeiten zwischen OT-, IT- und Security-Teams klären und eine Security-Kultur fest im Unternehmen etablieren. Darüber hinaus benötigen Unternehmen eine robuste Strategie für Business Continuity, um den regulären Geschäftsbetrieb im Ernstfall aufrechtzuerhalten. Neben Notfallplänen umfasst Business Continuity auch Backup und Desaster Recovery, also das Sichern wichtiger Daten und Systeme – und das Wiederherstellen nach einem Angriff.
Schritt 6: Sicherheitsvorfälle in der OT-Security der Industrie erkennen und bewältigen
Eine hundertprozentige Sicherheit beim Schutz von OT-Umgebungen lässt sich nicht herstellen. Die beschriebenen Maßnahmemn dienen aber dazu, die Angriffsfläche zu verkleinern, das Risiko von Sicherheitsvorfällen zu minimieren und deren Auswirkungen möglichst gering zu halten. Daher müssen Unternehmen auch die Fähigkeit besitzen, Angriffe auf ihre Infrastrukturen zu erkennen und zu bewältigen. Die Basis für diese Angriffserkennung ist ein kontinuierliches Monitoring des Netzwerk-Traffics, des Verhaltens von OT- und IoT-Geräten sowie der Meldungen von Sicherheitslösungen. Dabei dürfen einzelne Ereignisse niemals isoliert betrachtet werden. Schließlich ergibt sich der Hinweis auf eine Bedrohung oft erst aus dem Kontext einer Aktion, etwa wenn ein Zugriff zu unüblichen Zeiten von einem ungewöhnlichen Ort aus stattfindet.
„Das Überwachen der Infrastruktur, die Erkennung und Untersuchung verdächtiger Aktivitäten sowie die Einleitung wirkungsvoller Gegenmaßnahmen sind die Grundvoraussetzungen für eine effiziente Absicherung der Operational Technology, wie Christian Koch, Senior Vice President Cybersecurity IoT/OT, Innovations und Business Development bei NTT DATA DACH erklärt. „Die beschriebenen Maßnahmen und Services gehören üblicherweise zu den Aufgaben eines Security-Operations-Centers. Der Unterhalt eines derartigen Centers ist kostenintensiv, sodass selbst große Industrieunternehmen dafür auf Dienstleister zurückgreifen. Da solche Dienstleister zahlreiche Unternehmen betreuen, sind sie frühzeitig über Angriffswellen und Angriffsvektoren informiert und können ihre Kunden daher bei präventiven Maßnahmen optimal unterstützen.“ Jürgen Frisch
