In Sachen Sicherheit kommt der Operational Technology (OT) oftmals nur ein nachgelagerter Gedanke zu. Nicht selten fehlt es betroffenen Unternehmen am nötigen Bewusstsein über das bestehende Cyber-Risiko für ihre Fertigungsanlagen und Maschinen – zumal sich die Bedrohungslandschaft ständig weiterentwickelt. Dieser Status quo muss sich ändern – und zwar schnell, meint Tiho Saric, Senior Sales Director bei Gigamon.
Mehr Industriebetriebe investieren offenbar stärker in Künstliche Intelligenz als in die Cyber-Sicherheit ihrer Operational-Technology-Umgebung (OT). Davon geht zumindest eine aktuelle Untersuchung von Cisco aus. Demnach haben 64 Prozent der befragten Führungskräfte bereits eine KI-Strategie entwickelt. Daneben sind nur 19 Prozent der Befragten gut bis bestmöglich gegen Cyber-Angriffe gerüstet. Im Umkehrschluss bedeutet das: Bei 81 Prozent besteht noch immer dringender Aufholbedarf.
Während der Fokus von IT auf dem Sammeln, der Verarbeitung, der Verwaltung sowie der Übermittlung von Daten jeglicher Art liegt, stellen OT-Geräte und -Software sicher, dass alle Prozesse innerhalb der Umgebung, auf die sie ausgerichtet sind, reibungslos laufen.
Kommt es zu kritischen Veränderungen – zum Beispiel zu einem Überschreiten der maximalen Betriebstemperatur von Maschinen – erkennen Sensoren diese und melden sie dem Team. Wenn nun der Betrieb von OT-Systemen in irgendeiner Form manipuliert, eingeschränkt oder stillgelegt wird, kann das zu massiven betrieblichen, finanziellen sowie reputationsgefährdende Konsequenzen führen.
OT-Sicherheit – wo ist der Haken?
Die Absicherung einer OT-Umgebung erweist sich allerdings als nicht so einfach. Wie IT-Landschaften wachsen auch die Netzwerke in Industrieunternehmen. Es werden immer mehr Anlagen, Komponenten, Prozesse und folglich auch Datenströme dem Betrieb hinzugefügt, die gemanagt und abgesichert werden müssen. Da sie sich in der Regel eine Netzwerkinfrastruktur teilen, ist das Risiko hoch, dass Cyber-Akteure mit einem Angriff mehrere Ziele treffen.
Gleichzeitig wächst die Angriffsfläche zusätzlich, da die Grenzen zwischen OT- und IT-Systemen zunehmend verschwimmen. Ein Angriff auf die IT kann sich demnach schnell auf die OT-Umgebung ausweiten. Demnach wird es für Industrieunternehmen immer schwieriger, Bedrohungen innerhalb dieses komplexen Geflechts zu erkennen und zu beheben.
Darüber hinaus werden Prozesse wie Troubleshooting sowie Wartung und Instandhaltung über eine Internetverbindung aus der Ferne durchgeführt. Diese Lücke über das öffentliche Netz ist hoch gefährlich und lässt sich nur bedingt mithilfe eines VPNs schließen.
Hinzu kommt, dass OT im Gegensatz zur IT nicht sehr schnelllebig ist; zu echten Innovationen kommt es hier seltener. Das hat zur Folge, dass in Produktionsanlagen überwiegend veraltete Legacy-Systeme seit Jahren verlässlich ihren Dienst leisten. Für Patches müssen sie komplett runtergefahren werden, sofern diese überhaupt installierbar sind. Im schlimmsten Fall ist das nämlich nicht möglich, was das Risiko von dauerhaft offenen Schwachstellen erhöht.
Sichtbar ist sicher
Herkömmliche Sicherheitsmaßnahmen reichen mittlerweile weder für anfällige OT-Umgebungen noch für solch eine dynamische Bedrohungslandschaft aus. Vielmehr bietet sich eine Zero-Trust-Architektur an. Sämtliche Geräte und Personen, die Zugang zum Netzwerk brauchen, müssen im Rahmen dieses Modells authentifiziert werden – zum Beispiel mithilfe von Multi-Faktor-Authentifizierung.
Somit werden nur autorisierte Mitarbeitende und Geräte im Netzwerk zugelassen. Auf diesem Wege lässt sich auch der Remote-Zugriff für jeden Mitarbeitenden verwalten und regulieren. Entsprechende Zugriffsprivilegien müssen vorab definiert werden.
Allerdings lässt sich eine Zero-Trust-Architektur einschließlich eines soliden Identitäts- und Access-Managements nur dann implementieren, wenn Sicherheitsteams genau wissen, welche Geräte sich im Netzwerk befinden, worauf sie Zugriff haben, welche Zugriffsprivilegien vorhanden sind und welche Daten sich wie durch das Netzwerk bewegen.
Die Lösung dafür ist ein zentraler, umfassender Visibility-Ansatz (Deep Observability). In diesem Kontext wird das Netzwerk in Echtzeit und jenseits des traditionellen metrik-, event-, log- und tracebasierten Monitorings überwacht. Dadurch können Sicherheitsteams sämtliche Komponenten, die mit dem Netzwerk interagieren, sichtbar machen sowie blinde Flecken aufdecken, über die sich Cyber-Kriminelle Zugang sowohl zu IT- als auch OT-Systemen verschaffen könnten.