Abgrenzung IT versus OT/IoT/IIoT
Mit IT (Informationstechnologie) wird der klassische Bereich der IT bezeichnet, also alles was aktive Netzwerkkomponenten (Router, Switche Firewalls) angeht, sowie die dazugehörigen Server und Clients sowie die Peripheriegeräte wie zum Beispiel Drucker und Scanner.
IoT (Internet of Things) sind die für den Hausgebrauch nutzbaren smart vernetzten Endgeräte wie Haushaltgeräte (Küchengeräte, Kühlschränke, Brat-Thermometer), Fitnesstracker, SmartTV, Hausautomation, Überwachungskameras.
Unter IIoT (Industrial Internet of Things) wird dagegen die industriell nutzbaren und damit geschäftsrelevanten smarten Geräte bezeichnet, also zum Beispiel der ganze Bereich des Smart Metering, der Kraftwerkssteuerung, der Medical Monitorings der Connected Car-Welt, die smart gesteuerten Regenerativen Energieerzeuger wie z.B. Windkraftanlagen
Mit OT wird die Überwachung, Steuerung und Bedienung im Bereich industriellen Automatisierung zusammengefasst.
Organisatorische Herausforderungen
Die Absicherung der OT ist oft eine organisatorische Herausforderung, da dort normalerweise mehrere Abteilungen mit unterschiedlichen Schwerpunkten in die Thematik involviert sind. Auf der einen Seite steht die Produktionsleitung, die dafür verantwortlich ist, dass primär die Produktion des Unternehmens reibungslos funktioniert. Ein IT-affines Verständnis von Security und IP-Netzen ist dort nicht im Vordergrund. Auf der anderen Seite steht meist die IT-Abteilung, die bemüht ist, die Unternehmens-IT-Infrastruktur entsprechend sicher und reibungslos zu betreiben und dadurch auch letztendlich für die IT-Security zuständig ist und das Unternehmen ganzheitlich gegen Cyberangriffe abzusichern.
Einen Einblick in die klassische Produktionssteuerung ist in der IT meist nicht gegeben. Dadurch fällt es der IT auch schwer, diese OT-Strukturen abzusichern.
Darauf muss man achten bei OT-Security
Im Gegensatz zur IT-Kommunikation via TCP/IP, wo es die Möglichkeit einer proxybasierten Analyse des Datenverkehrs gibt, stellt dies in weiten Bereichen der OT-Kommunikationsprotokolle ein Problem dar, weil dort die Kommunikation in Echtzeit, also in Millisekunden stattfindet und Schaltungen und Prozessabläufe direkt gesteuert werden müssen, um einen reibungslosen Ablauf zu gewährleisten.
Echtzeitkommunikation
Bedingt durch die langen Laufzeiten von Maschinen sind deren Steuerungen oft ebenso haltbar und robust. Der Leittechnik-PC eines Unternehmens ist also nicht unbedingt auf einem aktuellen Betriebssystem, da in normalen IT, die Halbwertszeit eines Systems maximal bei drei Jahren liegt. Im OT-Bereich ist die Lebensdauer deutlich höher. Auch heutzutage finden sich dort noch Steuergeräte mit stark veralteten Betriebssystemen wie WindowsNT oder Windows2000. Diese sind nicht gegen die heutigen Bedrohungen geschützt und auch die meisten Endpoints-Security-Anwendungen unterstützen diese Betriebssysteme nicht mehr.
Fehlende Sichtbarkeit und Kontrolle
Da die OT meist autark von der Unternehmens-IT aufgestellt wird, fehlt hier der Einblick der IT in die Struktur. Analog zur klassischen IT sind unbekannte Geräte im Netzwerk eine potenzielle Gefahr für die Sicherheit des gesamten Netzwerkes. Alles, was die IT nicht sehen kann, ist nicht unter Kontrolle. Nur wenn die IT weiß, was sich wirklich im Netzwerk befindet und wie diese Netzwerkgeräte kommunizieren sollen, kann das Netzwerk wirksam geschützt werden.
Kein Security-Focus bei OT-Systemen
Security spielte bei der ursprünglichen Entwicklung der meisten Systeme keine oder nur eine untergeordnete Rolle, da hier der Focus meist auf Betriebsstabilität und unterbrechungsfreier Kommunikation lag. Auch waren diese Systeme in der Regel für eine abgeschlossene Umgebung gedacht und nicht für die Vernetzung ausgelegt.
Wie in der „klassischen IT“ zählen hier die folgenden drei Schwerpunkt oder Stufen zur Lösung:
Schritt 1: Sichtbarkeit herstellen
Die Sichtbarkeit aller Geräte muss hergestellt werden, denn die IT kann nur die Geräte absichern, von denen Sie Kenntnisse hat und über die sie Kontrolle hat. Die Sichtbarkeit und Kontrolle lassen sich hier über die unterschiedlichsten Lösungen herstellen. Ein Monitoring und Reporting der DHCP-Scopes ist hier die einfachste Variante. Die Einführung eines automatisierten IP-Adress-Managements (IPAM) ist, gerade bei größeren Umgebungen, die sinnvollere Lösung. Die Einführung einer Network-Access-Control-Lösung (NAC) ist hier ebenfalls zielführend und bietet zusätzlich die Möglichkeit, in den unterschiedlichen Netzbereichen nicht nur die einzelnen Hosts sichtbar zu machen, sondern diese dann auch automatisiert in bestimmte Netz-Bereiche dynamisch einzuordnen und darüber den Zugriff auf bestimmte Ressourcen zu reglementieren.
Schritt 2: Segmentierung
Unter Segmentierung versteht man die Bildung von Netzbereichen (Segmenten) für Anwendungen, Dienste oder Hosts beispielsweise nach ihrer jeweiligen Funktion. Gängige Beispiele sind hier entsprechende Netzsegmente für Server, Clients, Drucker oder Telefonie, oder nach Anwendungsbereichen wie zum Beispiel, Entwicklung, Produktion, Vertrieb etc… Für welches Modell man sich da entscheidet, spielt keine Rolle. Es geht primär darum, das große Netz in „beherrschbare“ oder übersichtliche Segmente abzutrennen, die dann einzeln voneinander abgekapselte Bereiche darstellen, und die Komplexität aus der Gesamtstruktur herausnehmen. Mögliche Angriffe auf ein Netzwerksegment haben dann nicht direkt Einfluss auf nicht betroffene Netzbereiche, sondern betreffen nur den gezielt angegriffenen Bereich. Es steht zum Beispiel nur die Entwicklungsabteilung im Focus eines Angriffs, nicht aber der Vertrieb.
Die Netzwerksegmente sollten jeweils entsprechenden Security-Zonen in der Firewall zugewiesen werden, so dass nur klar definierter Netzwerkverkehr von einem zum anderen Segment zugelassen wird. Dies erhöht zum Beispiel die Gefahr von unbemerkten Zugriffen auf schützenswerte Netzwerkservices.
Die Segmentierung kann durch die sogenannte Mikrosegmentierung noch weiter verschärft werden. Hier werden dann einzelne Anwendungen in spezielle Netzbereiche ausgelagert, um den Zugriff auf die sensiblen Daten nur für spezielle Benutzer oder Hosts zuzulassen. Gerade im Hinblick auf die stetig wachsende Migration von On-Premise-Services in eine hybride (Multi)-Cloud-Umgebungen, stellt die Mikrosegmentierung eine valide Möglichkeit dar, auch solche Umgebungen erfolgreich absichern zu können und einen sicheren Zugang zu gewährleisten:
Schritt 3: Sicherer Zugang
Der sichere Zugang zu Unternehmensressourcen stellt heutzutage durch die meist verteilten Systemdienste in On-Premise-Anwendungen im Unternehmensnetzwerk aber auch in verschiedenen Cloud-Anwendungen eine größere Herausforderung dar. Die unterschiedlichsten Ressourcen müssen von den unterschiedlichsten Benutzern über die unterschiedlichsten Zugriffswege verfügbar gemacht werden. Da sind auf der einen Seite die Benutzer, die von Firmengeräten aus im Büro sitzen und auf die internen Netzwerkressourcen zugreifen möchten. Auf der anderen Seite gibt es auch Benutzer, die nicht im Firmennetz sitzen und dennoch auf Ressourcen im Firmennetz oder in der Cloud zugreifen können müssen. Im worst-case sogar noch nicht einmal von Firmengeräten, sondern von sog. BYOD (Bring Your Own Device, also Privatgeräten, wie Tablets Handys oder PCs). Der Sicherheitszustand dieser Geräte liegt logischerweise außerhalb der IT-Zuständigkeit. Sie sind nicht aktuell gepached, besitzen möglicherweise auch keinen aktuellen Virenscanner oder stehen außerhalt einer gesicherten Umgebung (z.B. in einem öffentlichen und nicht geschützten Hotspot-Netz, wie im Hotel oder am Flughafen).
Um den Benutzern aus solchen Umgebungen heraus einen sicheren Zugang zur Verfügung stellen zu können, sollte die Benutzereinwahl dienstspezifisch über eine Mehrfaktor-Authentifizierung abgesichert werden, so dass immer sichergestellt ist, dass mit möglicherweise verloren gegangenen Benutzerdaten kein Zugriff auf unternehmenskritische Ressourcen erschlichen werden kann.
Auch das Firewall-Regelwerk an sich sollte diese Benutzerinformationen berücksichtigen und nicht auf Grund von IP-Adressen pauschal Berechtigungen erlauben.
Next-GEN-features für OT nutzen
Bei den sogenannten Next-Generation Features wird eine Verbindung zwischen Client und Server nicht allein auf Verbindungsebene (Quell und Ziel-IP und Quell und Ziel-Port) reglementiert, sondern es wird auch tiefer in die Verbindung hineingeschaut, um z.B. zu überprüfen, ob es sich bei einer TCP-Verbindung auf Zielport 80 auch wirklich um eine http-Verbindung handelt. Es wird also das Protokoll oder die Applikation zusätzlich überprüft und der Verkehr auf den OSI-Layern 4-7 analysiert. Die dafür gängigen Werkzeuge sind zum einen eine SSL-Encryption, um auch verschlüsselten Netzwerkverkehr, der heute ca. 80-90% ausmacht, analysieren zu können, oder auch tiefergehende Intrusion Prevention-Systeme (IPS), die ebenfalls anwendungs- und protokollorientiert den Netzwerkverkehr analysieren.
Und genau hier stoßen wir im OT-Umfeld auf Probleme. Denn die Industrie-Protokolle wie Siemens S7, DICOM, Ether-S-Bus, LOGO, KNXne/IP oder die IEC 60870-5-104 o.ä. sind keine TCP-IP-Protokolle und daher von den meisten NG-Firewalls nicht auf Applikationsebene zu untersuchen und zu validieren. Genau dies ist aber entscheidend, wenn es um die Absicherung der entsprechenden OT-Umgebungen geht. Denn nur, wenn sich die IT sicher sein kann, dass die OT-Protokolle auch OT-Protokolldaten transportieren, und dies von validierten Quellen zu validierten Zielen, kann diese Kommunikation auch ruhigen Gewissens zugelassen werden.
Ein Schaltschrank ist kein klimatisierter Serverraum
Erschwerend kommen auch die physikalischen Bedingungen hinzu, die in manchen Produktionsumfeldern vorhanden sind. Diese haben nicht viel mit klimatisierten Serverraum-Umgebungen gemeinsam, von den reinen Bauformen mal ganz abgesehen (19“ versus Hutschienen-Montage). Hier gilt es entsprechende Hardware einzusetzen, die auch in rauen Umgebungen noch voll funktionsfähig sind, und beispielsweise staubgeschützt sind oder in feuchten Räumen betrieben werden können, oder aber auch im Schaltfeld der normalen Witterung ausgesetzt sein können.
Dies sind alles Faktoren, die Sie bei ihren Überlegungen rund um die Absicherung ihrer OT-Umgebung bedenken sollten. Bestimmt gibt es für Ihren Bereich noch weitere Umstände zu bedenken, aber scheuen Sie nicht, uns zu kontaktieren. Gemeinsam finden wir für sie die richtige Lösung.