Kritische technische Infrastrukturen funktionierten lange Zeit im Rahmen geschlossener Systeme: Maschinen, Sensoren, Aktoren und Kontrollsysteme nutzten dedizierte Kommunikationswege, waren gegenüber anderen Anlagen und der Aussenwelt abgeschottet und konnten ohne physisches Eindringen kaum «gehackt» werden – die Sicherheit von Infrastrukturen wie Produktionsanlagen, Energieversorgung, medizinischen Systemen, Verkehrssystemen und Gebäudetechnik ergab sich aus dem «Air Gap» zum Rest der Welt.
Digitalisierung verändert OT und OT -Sicherheit
Mit der Digitalisierung hat sich dies radikal geändert. OT-Systeme – von der einzelnen PLC-Komponente zur Abfrage und Steuerung von Sensoren und Aktoren über industrielle Kontrollsysteme bis hin zum übergreifenden SCADA-System für das Management der kompletten OT-Umgebung – sind heute vernetzt, lassen sich per Fernzugriff kontrollieren und setzen dabei zunehmend auf standardisierte Protokolle wie etwa Modbus, BACnet, IEC 60870-5-104, MQTT und OPC UA bis hin zu TCP/IP. Dadurch wächst die Angriffsfläche gegenüber Cyberattacken. Demzufolge müssen OT-Systeme mindestens ebenso sorgfältig geschützt werden wie IT-Systeme. Aber OT ist nicht IT, und es bedarf teils unterschiedlicher Sicherheitsmassnahmen auf verschiedenen Ebenen des für industrielle Kontrollsysteme nach wie vor relevanten Purdue-Modells.
Auf den ersten zwei Ebenen, der Feldebene mit den einzelnen Aktoren und Sensoren und der Steuerungsebene mit Komponenten wie PLCs, RTUs und IPCs, geht es um die direkte Überwachung und Steuerung der physikalischen Prozesse, die teils manuell über Bedienboards und teils via M2M-Kommunikation über spezielle Protokolle erfolgt. Erst ab der dritten, der Prozessleitebene, kommt die Verknüpfung mit IT-basierten Systemen wie SCADA-Servern ins Spiel. Diese wiederum kooperieren mit den IT-Systemen auf den höheren Levels, von der Betriebsleitebene mit MES (Manufacturing Execution Systems) für die Industrie und vergleichbaren Systemen für andere Infrastrukturen bis zur Unternehmensebene mit den bekannten IT-Systemen wie ERP und CRM.
Herausforderungen der OT -Sicherheit
Um die Risiken überhaupt beurteilen zu können, muss zuerst bis ins Detail bekannt sein, wie die Infrastruktur aufgebaut ist. Danach geht es darum, die Angriffsfläche und mögliche Angriffswege zu verstehen. Nur so lässt sich die Infrastruktur in einem weiteren Schritt adäquat schützen.
Dabei fällt auf, dass eine Reihe von ITSecurity-Themen auch in der OT-Security höchst relevant sind. So etwa ein umfassendes Inventar aller Systeme und Geräte, die Analyse anfallender Log-Informationen und stets zu wissen, welche Systeme und Geräte auf welche Weise mit anderen kommunizieren. Ebenfalls dazu gehören die Absicherung einzelner Systeme und Bereiche durch Netzwerksegmentierung, starke Authentifizierung sowie Verschlüsselung der Kommunikation.
Optionen für die OT -Security
Sowohl Anbieter von IT-Security-Lösungen als auch Spezialisten für OT-Security bieten OT-orientierte Sicherheitslösungen in verschiedenen Funktionsbereichen an. Für die Segmentierung, den Schutz vor Malware, abgesicherten Remote Access und Bedrohungserkennung bieten sich Firewall-Hersteller wie Fortinet und Palo Alto Networks an. Ein zuverlässiges Inventar erstellen Lösungen von Palo Alto und Claroty. Den besten Schutz für den Fernzugriff und die Nachvollziehbarkeit aller Vorgänge ermöglichen Privileged-Access-Management-Plattformen von Fudo Security und Claroty.
BOLL Engineering AG
Jurastrasse 58, 5430 Wettingen
Tel. 056 437 60 60
info@boll.ch, www.boll.ch