bobo1980 - stock.adobe.com
Worauf es bei industrieller Cybersicherheit ankommt
In der industriellen Cybersicherheit geht es darum, den Betrieb aufrecht zu erhalten. Cybersicherheit ist da nicht nur die Abwehr von Angriffen, sondern der Motor für den Betrieb.
Seit Anfang 2020 hat sich die digitale Transformation inmitten der anhaltenden Pandemie erheblich beschleunigt. Industrieunternehmen automatisieren und optimieren ihre traditionellen Fertigungsprozesse und verbinden immer mehr OT-, IT-, IoT- und IIoT-Geräte, um wettbewerbsfähiger zu werden und die Produktivität zu steigern. Diese zunehmende Konnektivität birgt jedoch erhebliche Risiken für industrielle Umgebungen, wie man etwa sehr gut an den erfolgreichen Ransomware-Angriffen auf Produktionsstätten und kritische Infrastrukturen in den letzten Monaten erkennen kann.
Die Hyperkonnektivität eröffnet zahlreiche betriebliche Chancen, darf dabei aber die Sicherheit nicht außen vorlassen. In Industrieanlagen bedeutet dies, dass funktionale Sicherheit, Integrität und Zuverlässigkeit im Vordergrund stehen müssen. Die Grundlage hierfür ist Transparenz: Die alte Security-Weisheit, nach der man nur schützen kann, was man auch sieht und kennt, gilt gleichermaßen für den industriellen Bereich. Allerdings stellt hier eine Unmenge an proprietären Protokollen eine große Herausforderung dar. Eine adäquate Lösung muss in der Lage sein, diese zu verstehen und den Sicherheitsverantwortlichen so tiefe Einblicke in ihre Netzwerke zu ermöglichen. Auf diese Weise wird vieles, was zuvor unsichtbar war oder nur unzureichend erkannt wurde, identifiziert und in einen entsprechenden Kontext gestellt. So ging beispielsweise ein weltweit tätiges Pharmaunternehmen bis zu einem entsprechenden Assessment davon aus, 65 Assets in Betrieb zu haben. Tatsächlich wurden jedoch 95 identifiziert. Auch wenn sich dies kurios anhört, ist dies beileibe kein Einzelfall.
Nur durch ein zentralisiertes und stets aktuelles Inventar aller OT-, IT-, IoT- und IIoT-Anlagen, -Prozesse und Verbindungen in die OT-Umgebung (Operational Technology, Betriebstechnik) lässt sich der Normalzustand erfassen. Erst dadurch wird es möglich, außergewöhnliches Verhalten zu erkennen, weiter zu untersuchen und gegebenenfalls Abwehrmaßnahmen einzuleiten. So können etwa Abweichungen Warnungen an das Security Operations Center (SOC) auslösen, dass diese zur Untersuchung und Reaktion eskaliert, um wichtige Anlagen und Prozesse zu schützen.
Risiken erkennen und minimieren
Die Identifizierung der Assets bildet die Grundlage zur Beseitigung inhärenter kritischer Risikofaktoren von Schwachstellen und Fehlkonfigurationen bis hin zu mangelnder Sicherheitshygiene und nicht vertrauenswürdigen Fernzugriffsmechanismen. Die ICS-Schwachstellenforschung wird immer mehr zu einem Mainstream-Thema der Cybersicherheit, wie zuletzt auch der ICS Risk & Vulnerability Report gezeigt hat. Immer mehr Forscher wenden sich diesem Gebiet zu und identifizieren immer mehr Schwachstellen in den Systemen und Anlagen. Die hier gewonnenen Erkenntnisse helfen den Sicherheitsverantwortlichen, spezifische Schutzmechanismen einzurichten oder andere Maßnahmen zur Risikominderung und -bewältigung zu ergreifen. So kann beispielsweise ein sicherer Fernzugriff für Mitarbeiter und Partner eingerichtet oder die Segmentierung des Netzwerks auf der Grundlage der tatsächlichen Anlagenkommunikation optimiert werden.
Proaktive Überwachung ist entscheidend
Unabhängig davon, wie stark die implementierten Schutzmaßnahmen oder -prozesse sind, lässt sich nicht jede Schwachstelle schnell genug beheben, um das Risiko vollständig auszuschalten. Daher ist es unerlässlich, proaktiv nach Indikatoren für Angreifer und Kompromittierungen zu suchen. Hierbei hilft eine kontinuierliche Bedrohungserkennung, die stets auf dem neusten Stand ist. Auf diese Weise sind Anlagenbetreiber in der Lage, mithilfe aktueller Schutzmaßnahmen und Kontrollmechanismen das Risiko bekannter und unbekannter Bedrohungen zu adressieren und zu mindern.
„In der industriellen Cybersicherheit geht es vor allem darum, den Betrieb aufrecht zu erhalten und Störungen zu vermeiden.“
Max Rahner, Claroty
In der industriellen Cybersicherheit geht es vor allem darum, den Betrieb aufrecht zu erhalten und Störungen zu vermeiden, da diese in aller Regel ungleich kostspieliger sind als etwa der Ausfall eines reinen IT-Systems. Je nach Branche lassen sich Fertigungsprozesse nach einem ungeplanten Stopp nicht einfach wieder anfahren, sondern bedürfen langwieriger und kostspieliger Vorbereitung. Auch lassen sich der Wartungsbedarf und die optimale Auslastung des Equipments durch entsprechende Lösungen gezielt feststellen und die Prozesse entsprechend anpassen. Insofern ist die industrielle Cybersicherheit weit mehr als die Abwehr von Angriffen, sondern vielmehr ein Motor für den reibungslosen Betrieb.
Über den Autor:
Max Rahner ist Sales Director DACH bei Claroty.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.