IT und OT zuverlässig und sicher verbinden

IT-Sicherheit ist schon lange kein Thema mehr, das man mittelständischen Unternehmen von Grund auf vermitteln muss. KMUs haben in den vergangenen Jahren gelernt, dass Abläufe im Unternehmen eine durchdachte Security-Strategie benötigen. Dieser IT-Security-Bereich deckt die internen geschäftlichen Abläufe ab, schützt die Kommunikation mit Kunden beim E-Mail- und Webverkehr und sichert grundsätzlich die Daten in Form von Archivierung, Backup oder Verschlüsselung.

Geschützte IT-Security – ungenügende OT-Security

Unternehmen bauten neben der Verwaltung und Geschäftsführung auch die Produktion immer weiter aus. Manchmal wurden aus vielen kleinen Produktionsinseln ganze Fertigungsstrassen, die durch eine Reihe Logistik und digitaler Abläufe miteinander verzahnt sind. Doch oft herrscht der Glaube vor, dass die vorhandene IT-Sicherheit auch die wichtige Produktion abdeckt. Aber das ist nur ein Teil der Wahrheit, denn Produktionsmaschinen und Arbeitsnetzwerke benötigen Operational-Technology-Sicherheit (OT). Denn klassische IT-­Security-Lösungen sind anders konzipiert als eine OT-Security.

Ein Netzwerk mit OT-Sicherheit schützt alle darin arbeitenden Geräte und Maschinen. Denn es ist oft technisch nicht möglich, eine Schutz-Software oder einen Agenten auf die Maschine zu bringen. Aber ist eine Maschine (IIoT/Industrial Internet oft Things) durch ein Interface in der Lage, "IP" (Internetprotokoll) zu sprechen, kann sie in ein Netzwerk integriert werden – und ist damit angreifbar. Angreifer nutzen dann zum Beispiel einen speziellen Code, den nur die Maschine versteht, senden ihn durch das Netzwerk und verursachen damit Schaden oder starten eine Erpressung des Unternehmens. Aber auch nicht besonders geschützte Hilfs-PCs sind ebenfalls oft ein Ziel. Ein paar populäre Fälle zeigen den Zusammenhang von falsch gedachter IT-Sicherheit in OT-Bereichen.

Was machen Cybergangster mit dem Lösegeld?

In vielen Unternehmen lautet die zentrale Frage in einem Worst-Case-­Szenario einer Ransomware-Attacke mit verschlüsselten PCs: "Sollen wir das Lösegeld zahlen oder nicht?" Eine Frage, die jeder für sich beantworten muss, und selbst Spezialisten sind sich hier uneinig. Geht es bei einem Betrieb um die nackte Existenz, wird jeder sofort einer Zahlung zustimmen. Aber Unternehmen müssen sich darüber im Klaren sein, dass jeder gezahlte Euro einen weiteren Angriff provozieren kann. Lösegeld zahlen oder nicht? Die politisch korrekte Antwort lautet: nicht bezahlen. Weil das die eigene Attraktivität als zukünftiges nochmaliges Ziel reduziert. In der Praxis liegt der Fall natürlich anders. Wenn wesentliche Daten nicht mehr zugänglich beziehungsweise mit vernünftigem Aufwand wiederherzustellen sind, dann bleiben einem Unternehmen nicht mehr viele Optionen. Das ist somit weniger eine moralische als eine kaufmännische Entscheidung. Die Zahlung entbindet natürlich nicht von der Notwendigkeit einer forensischen Aufarbeitung und von Aufräumaktion im Nachgang zusätzlich zu neu zu tätigen Schutzmassnahmen, die gegen Wiederholung absichern. Umso mehr ist es angeraten, in Prävention zu investieren, solange man noch kann.

OT-Security erfordert unternehmerisches Umdenken

Automatisierung und Digitalisierung betrieblicher Abläufe bringen mittelständischen Unternehmen viele Vorteile, wie etwa bei der Produktionsflexibilität oder bei der Preisgestaltung für den Markt.

Daher müssen produzierende KMUs in Sachen OT-Security umdenken und ihre Lage prüfen. Wie gefährdet ist der aktuelle Produktionsstandort? Jedes Gerät im Netzwerk wird als IoT-Gerät (Internet of Things) gesehen und innerhalb des Netzwerks geschützt und überwacht, Zugriffe nach Rechten bewertet oder Anomalien analysiert. Moderne produzierende Technologien sollten daher immer mit modernen OT-Schutz-Technologien ausgestattet sein.

----------

KMUs sollten nicht vor möglichen ­Fehlern zurückschrecken

Ransomware, unsichere Fernwartungszugänge, falsch gesetzte Zugriffsberechtigungen: Produzierende Unternehmen haben es mit vielfältigen Sicherheitsrisiken zu tun. Wie man IT- und Betriebssicherheit unter einen Hut bringen kann, erklärt Stefan Schachinger, Product Manager Network Security bei Barracuda. Interview: Joël Orizet

Was unterscheidet ein OT- von einem IT-Sicherheitskonzept?

Stefan Schachinger: Hier herrschen völlig unterschiedliche Anforderungen. Einerseits ist Cybersecurity in der OT nicht das oberste Gebot, die physische Sicherheit sowie der kontinuierliche Betrieb der Anlage sind noch wichtiger. Das muss bei der Erstellung und Implementierung eines Sicherheitskonzepts immer beachtet werden. Hinzu kommen noch charakteristische Herausforderungen in der OT, wie etwa spärlich verfügbare Wartungsfenster, verwundbare Maschinen und Anlagen, die nur durch den Hersteller aktualisiert werden können, sowie eine Vielzahl von Gesetzen, Normen und Standards, die eingehalten werden müssen. Bei der Implementierung eines OT-Sicherheitskonzepts muss also darauf geachtet werden, möglichst wenig Änderungen an bestehenden Netzwerken und Anlagen vorzunehmen. Es gilt, verwundbare Maschinen und Anlagen zu schützen, ohne die Konfiguration anpassen zu müssen. Entsprechend wichtig ist auch, dass im Fehlerfall der Betrieb möglichst schnell wiederhergestellt werden kann.

Welche Angriffsvektoren im OT-Bereich stellen das grösste ­Risiko dar?

Durch die zunehmende Vernetzung von IT- und OT-Systemen kommt es zu sehr grossen Abhängigkeiten. Daher sind auch die Angriffsvektoren ähnlich. Mittlerweile haben Cyberkriminelle erkannt, dass Unternehmen in Industrie, Produktion und kritischer Infrastruktur lohnende Ziele für Angriffe sind. Eines der grössten Probleme ist nach wie vor Ransomware. Hinzu kommen unsichere Fernwartungszugänge für eigene Mitarbeitende und externes Personal. Gerade in diesem Bereich zeigt sich oft, dass mit sehr unsicheren beziehungsweise ungeeigneten Methoden gearbeitet wird. Um netzwerkseitig Angriffen vorzubeugen, empfehlen wir, interne Segmentierung im OT-Netzwerk sowie Fernwartungszugänge nur mit Multifaktor-Authentifizierung zuzulassen. Und nur benötigte Systeme bereitzustellen, nicht das gesamte Netzwerk. Allgemein müssen alle nach aussen hin verfügbaren Dienste, wie etwa Webapplikationen, APIs und Fernwartungszugriffe, entsprechend abgesichert und Zugriffsberechtigungen müssen auf ein Minimum reduziert werden. Auch interne Massnahmen, etwa gegen Schadsoftware auf mobilen Geräten oder USB-Sticks, dürfen nicht vergessen werden.

Mit welchen Herausforderungen für die OT-Sicherheit sollten sich Industriekonzerne auseinandersetzen?

Konzerne machen sich in der Regel natürlich Gedanken über IT-Security oder haben meistens schon Massnahmen implementiert. Die Herausforderung besteht darin, kontinuierlich nachzuschärfen und ein ganzheitliches Sicherheitskonzept umzusetzen, das gegen eine Vielzahl von Bedrohungen schützt. Bei der Auswahl von technischen Lösungen stossen grosse Unternehmen oft an die Grenzen der Skalierbarkeit der Lösung. Insbesondere in grossen beziehungsweise verteilten Umgebungen spielen die Zeit für die Implementierung und das erforderliche technische Verständnis für Security eine wichtige Rolle.

Was sind die häufigsten Fehler, die produzierende KMUs beim Aufgleisen einer Sicherheitsstrategie in OT-Bereichen begehen?

Kleinere Unternehmen sind bei der Umsetzung von Massnahmen oft noch weniger weit fortgeschritten als Industriekonzerne. Man sollte aber nicht übersehen, dass auch mittelständische Unternehmen – gerade bei einem niedrigeren Sicherheitsniveau – auch attraktive Ziele für Kriminelle darstellen. Unternehmen, die noch am Beginn der Umsetzung stehen, sollten zuerst die grössten Risiken abdecken und dann nachbessern.

Wie lassen sich diese Fehler vermeiden oder korrigieren?

Insbesondere KMUs, die noch wenig Security in OT-Netzwerken implementiert haben, sollten nicht vor möglichen Fehlern zurückschrecken. Wichtig ist es, die Implementierung von Sicherheitsmassnahmen zu beginnen und in einem kontinuierlichen Prozess stetig nachzubessern und zu verfeinern.