Komplexe industrielle Produktionsanlagen sind aus Rentabilitätsgründen für lange Laufzeiten ausgelegt. Sie bestehen aus einem über Jahrzehnte gewachsenen Konglomerat integrierter Brownfield-Bestandsanlagen, deren Betrieb auf unterschiedlichen Technologien basiert. Je mehr der Vernetzungsgrad einer Anlage steigt, umso dringender wird die Absicherung der einzelnen Komponenten. Das stellt bei ehemals in sich geschlossenen Produktionsanlagen eine große Herausforderung dar.
Unterschiedliche Paradigmen in IT und OT
Während es in der klassischen IT selbstverständlich ist, dass Absicherung mit Kosten verbunden ist, so ist in der OT (Operational Technology) die Akzeptanz von Investitionen anders und der Kostendruck stärker. Der Fokus liegt in der OT meist auf Optimierung und Steigerung von Gewinnen im Zusammenhang mit der Effizienz und der Verfügbarkeit. Ein Hardwaretausch nach drei Jahren und automatisches Patchen, wie es in der klassischen IT gang und gäbe ist, ist in der Produktion aus wirtschaftlichen und praktischen Gründen undenkbar.
Investitionen für Security-Maßnahmen in der OT lassen sich übrigens gut mit einer Kosten-Nutzen-Rechnung verargumentieren: Ausgaben lohnen sich, wenn damit Aufwände für Datenverlust oder Downtimes vermieden werden.
Was man unter Brownfield versteht
In Brownfield-Anlagen findet sich der klassische Altbestand an Systemen mit unterschiedlichen Betriebssystemen verschiedener Generationen, für die es keine Updates und Patches mehr gibt. Dazu gehört zum Beispiel DOS, Windows NT, Windows XP oder mittlerweile auch Windows 7. Es sind gewachsene Umgebungen, die auch bei sich wandelnden Rahmenbedingungen sicher und zuverlässig funktionieren müssen.
Software-Lebenszyklus versus Anlagenlaufzeit
Softwareprodukte werden üblicherweise über einen Zeitraum von ungefähr zehn Jahren von den Herstellern mit Updates versorgt. Updates stellen die Funktionalität der Software sicher, optimieren den Betrieb und eliminieren Schwachstellen, die die Verfügbarkeit gefährden können. Nach dieser Phase werden etwa drei Jahre lang nur mehr Security-Patches zur Verfügung gestellt, bevor der Support eines Software-Produktes ganz eingestellt wird. Während dieser Zeitspanne steht normalerweise die Migration auf ein neues Softwareprodukt des Herstellers an.
Die Lebenszyklen der Systeme in industriellen Produktionsanalgen übertreffen den Software-Updatezeitraum bei weitem. Sie werden für Laufzeiten von 20 oder 30 Jahren konzipiert, was bedeutet, dass sie in ihrer gesamten Betriebszeit mehrere Softwarelebensspannen durchlaufen.
Security im Greenfield
Für die Absicherung von Produktionssystemen stellen dagegen Greenfield-Anlagen eine viel einfachere Ausgangslage dar. Für neue Anlagen kann ein Security-by-Design-Konzept während der Integration und auch bei Anpassungen in den Folgejahren entsprechend geplant und vergleichsweise einfach umgesetzt werden.
Wie es zu einem Brownfield-Zustand kommt
Regelmäßige Updates der einzelnen Softwareversionen der integrierten Komponenten sind in der OT-Praxis oftmals nicht üblich oder möglich. Dafür gibt es naheliegende Gründe.
Kosten-Nutzen-Betrachtung
Automatisches Patchen ist für die meisten Systeme auf Anwendungsebene nicht verfügbar oder im laufenden 24/7-Betrieb nicht realisierbar.
Wenn eine Komponente eine ausreichende Funktionalität auch mit veraltetem Softwarestand gewährleistet und nach dem Update keine Effizienzsteigerung erzielt, dann lohnt sich der Aufwand von Patchvorgängen nicht. Oft kann Hardware älteren Baujahrs nicht mit aktueller Software betrieben werden und ein Software-Update wäre mit einer teuren Anschaffung von neuer Hardware verbunden.
In sich geschlossene Systeme sind sicher
Für abgekündigte Betriebssystemversionen wie Windows 7 oder Windows 10 ist die Kompatibilität für SAP-Anwendungen gegeben. Das System kann weiterhin als geschlossene Einheit relativ sicher betrieben werden, solange es keine Kommunikation nach außen durch Surfen und E-Mail-Funktionalität gibt. Eine unbedingte Notwendigkeit von Updates ist über lange Zeit nicht gegeben.
Bedienpersonal geht in Rente – Anwendungen nicht
Nicht selten sind Anwendungen mit Museumscharakter immer noch täglich im Einsatz. Das können beispielsweise DOS-6-Applikationen sein, die einst im Rahmen einer individuellen Anforderung im Unternehmen entwickelt wurden, vielleicht im Rahmen einer Doktorarbeit. So lange das System, auf dem die Anwendung läuft, nicht vernetzt wird, läuft die Anwendung zuverlässig und sicher. Um sicherheitsrelevante Änderungen wie Patches vorzunehmen, gibt es jedoch inzwischen kein kundiges Bedienpersonal mehr. Das System wird also eingefroren und nicht mehr angefasst.
Aufwändige Validierungen und Zertifizierungen nach Veränderungen
In der regulierten Industrie erfordert jede Änderung innerhalb einer abgenommenen Produktionsanlage einen neuen Validierungs- oder Zertifizierungsprozess. Vor allem wenn ein Update keine spürbaren Benefits mit sich bringt, wie eine Effizienzsteigerung oder einen größeren Funktionsumfang, dann werden solche Aufwände nicht in Angriff genommen.
Aus Grün wird Braun – vorausschauende Planung lohnt!
Grundsätzlich ist es eine logische Entwicklung von Greenfield zu Brownfield – die neuen Anlagen von heute werden früher oder später zu alten Bestandsanlagen.
Planen Sie die Sicherheitsmaßnahmen für die IT-Infrastruktur Ihrer Anlage vorausschauend und nachhaltig. Wirksame Maßnahmen sollten für den aktuellen Zustand Ihrer Greenfield-Anlage funktionieren und darüber hinaus die Anforderungen künftiger Phasen unterstützen. Es ist fraglos günstiger, Security-Maßnahmen von Beginn an für die künftigen Jahre mit einzuplanen, als später in der Brownfield-Phase aufwändig nachholen zu müssen.
Risiken für den Betrieb von Brownfield Bestandsanlagen
Für ein in sich geschlossenes System, das beispielsweise über eine Whitelisting-Lösung quasi eingefroren wird, sind die Risiken beim Betrieb von Maschinen mit veralteten Softwareständen meist überschaubar. Dennoch sollten Sie auch solche Anlagen in ein umfassendes Sicherheitskonzept integrieren.
Schwachstelle Mensch
Mit der Schwachstelle Mensch muss trotz Awareness-Schulungen immer gerechnet werden. Immer wieder werden USB-Sticks unerlaubt an produktive Systeme angesteckt oder infiltrierte Laptops von Technikern an die Produktionseinheiten angeschlossen. So kann Schadcode von außen in die Anlagen gelangen. Sicherheit durch einen Air Gap, also durch die physikalische Trennung der Anlage vom Netz, funktioniert nie zu 100%, so lange Menschen in die Bedienung von Maschinen eingebunden sind und an internetfähigen Tastaturen sitzen.
Ach ja, ein Klassiker ist auch, sein Smartphone via USB direkt an einem HMI oder Programmiergerät zu laden – nicht wirklich zu empfehlen!
Kommunikation nach außen über veraltete Systeme
Höchst riskant ist es, wenn Altsysteme mit völlig veralteten Browsern, die es in Produktionsumgebungen zuhauf gibt, über das Internet kommunizieren. Das Einschleppen eines Virus ist damit beinahe garantiert. Browser wie beispielsweise Internet Explorer verfügen nicht über wirkungsvolle Schutzmechanismen für industrielle Kommunikation, weil sie dafür gar nicht entwickelt wurden.
Im Falle einer geplanten oder bereits erfolgten Vernetzung von Brownfield-Anlagen ist Ihr Handlungsbedarf umso dringender. Um diese Systeme adäquat abzusichern, empfehlen wir vier praxistaugliche Vorgehensweisen, die Ihr Sicherheitsniveau deutlich verbessern und den fortlaufenden Betrieb Ihrer Brownfield-Infrastruktur gewährleisten.
Virenscanner reichen nicht aus
Die gängigen Virenscanner können Malware in der klassischen IT durchaus effektiv erkennen. Für die tieferen Produktionsschichten sind sie hingegen meist ungeeignet, weil sie nicht für die spezifischen Applikationen in OT-Bereichen konzipiert sind.
Die Kritikalität von Infiltrierung ist im Produktionsnetz erhöht und eine nachgelagerte Problemlösung des Detection-Ansatzes kann fatale Folgen haben. Wir empfehlen daher einen Vorsorge-Ansatz, damit es erst gar nicht zu einer Infiltrierung der Anlage mit Schadcode kommen kann.
Im Brownfield ist Vorsorge besser als Nachsorge!
Praxisnahe Lösungsansätze für sichere Brownfield-Bestandsanlagen
Eine individuelle Bestandsaufnahme Ihrer Infrastruktur und die Ermittlung der Gefährdungslage relativiert so manche Schreckensmeldung über Schadcode-Varianten, die industrielle Produktionsumgebungen gefährden. Eine Analyse bringt Ihnen Klarheit darüber, wo die konkreten Schwachstellen in Ihrem OT Brownfield sind und an welcher Stelle tatsächlich ein unakzeptables Risiko für den Verlust der vollständigen Integrität ihrer Anlage besteht. Wo ist die Gefahr für einen Ausfall der gesamten Anlage am größten? Dort fangen Sie an!
Ein Common Vulnerability Scoring System (CVSS) hilft Ihnen bei der Bewertung von Schwachstellen nach definierten Kriterien. Wie komplex sind vorhandene Schwachstellen? Wie sind sie ausnutzbar? Ist die Interaktion eines Benutzers oder Admins nötig, um die Schwachstelle zu einem Einfallstor für Schadcode zu machen? Führt die Ausnutzung der identifizierten Schwachstelle zur Bedrohung der funktionalen Sicherheit?
Der sich aus dem Scoring-System ergebende Index zeigt Ihnen an, wie dringend Sie Maßnahmen umsetzen müssen, um die einzelnen Schwachstellen zu korrigieren. Folgende Vorgehensweisen eignen sich für Brownfield-Anlagen, um mit überschaubarem zeitlichen und finanziellen Aufwand eine deutliche Verbesserung der Absicherung zu erreichen:
Application Whitelisting
Den Malware-freien Zustand auf einem System zu dokumentieren, festzulegen und in eine positive Liste einzutragen ist der Start für eine sichere, kostengünstige Lösung zur Erhöhung Ihres Sicherheitsniveaus. Anders als Virenscanner, die vergleichsweise langsam nach bereits eingedrungenem Schadcode suchen, verhindert Application Whitelisting überhaupt erst das Eindringen unerwünschter Daten oder Codes durch einen einfachen Abgleich mit dem, was auf dem System als bekannt und erwünscht dokumentiert ist. Ein Passwort schützt die Whitelist vor unerwünschten Zugriffen.
Segmentierung
Die Segmentierung von Bereichen verhindert das Verbreiten von eingedrungenem Schadcode auf die gesamte Produktionseinheit oder Anlage. Im Fall von kritischen Verfügbarkeitsanforderungen oder sensiblen Systemen ist eine Mikrosegmentierung angezeigt. Die Hersteller von Firewall-Systemen bieten in ihren Produkten Funktionalitäten, die Ihnen dabei helfen, Kommunikationsbeziehungen zwischen den einzelnen Systemen zu identifizieren. Damit können Sie eine Auswahl von nötigen und erwünschten Kommunikationsbeziehungen zulassen und andere unterbinden.
Virtuelles Patchen
State-of-the-Art-Firewalls sind in der Lage, virtuelle Patches zu erzeugen, die Ihre Produktionsinfrastrukturen vor Schadcode schützen. Auf dem Intrusion-Detection-System (IDS) von Firewall-Systemen werden Pattern eingespielt, die den Netzwerkverkehr beobachten und kritische Vorfälle erkennen. Im Falle einer Bedrohung wird ein Patch erzeugt, der das Betriebssystem entsprechend vor dem Schadcode schützt.
Schutzwall mehrstufig anlegen
Setzen Sie auf einen mehrschichtigen Ansatz, um Ihre Brownfield-Bestandsanlagen gegen eindringenden Schadcode abzusichern.
Zentrale Firewall-Systeme und Sicherheitsgateways kontrollieren den Zugang in Ihr Netzwerk und den dort stattfindenden Datenverkehr und führen Antivirus-Maßnahmen durch. Weitere Schutzstufen bestehen aus der Segmentierung Ihres Produktionsnetzes und der Sicherheitsmaßnahmen auf den einzelnen Systemen, wie zum Beispiel Whitelisting. Im Zusammenspiel dieser Schutzmaßnahmen sind gegebenenfalls Altsysteme, die nicht geschützt werden können, im Produktionsbetrieb einer relativ kleinen Gefahr ausgesetzt.
„Kümmern Sie sich zuerst um das Schloss am Scheunentor und danach um die einzelnen Mäuselöcher.“
Klaus Jochem, Unternehmensberater IT/OT-Sicherheit
Mit Klaus Jochem, Unternehmensberater für IT/OT-Sicherheit, konnte ich über die besonderen Rahmenbedingungen für die Absicherung von Brownfield-Anlagen sprechen. Die Aufzeichnung des Interviews finden Sie hier:
Fazit
In zunehmend vernetzten Industrieumgebungen brauchen Brownfield-Bestandsanlagen ein angepasstes Schutzkonzept. Klarheit über den Schutzbedarf und die Schwachstellen in Ihren ungepatchten Bestandssystemen liefert ein Riskmanagement.
Wirtschaftlich sinnvolle Maßnahmen müssen auf die individuellen Anforderungen in Ihrem Betrieb ausgerichtet sein. Die Verfügbarkeit Ihrer Anlagen sollten Sie über ein mehrstufiges Schutzkonzept sichern. Praxisnahe Ansätze mit einer guten Kosten-Nutzen-Bilanz bieten sich beispielsweise durch Segmentierung und durch die Aktivierung von Tools in Ihrer vorhandenen Firewall-Lösung.
Guide: OT-Asset-Management
Solution Architect für OT- & BAS-Security
Zuverlässiges OT-Asset-Management ist immer noch eines der essentiellsten Themen in der vernetzten Produktion und Automation. Unerlässlich für Security, für die Zukunftsfähigkeit und einen stabilen Betrieb.
Wie ein erfolgreiches Assetmanagement-Projekt aussehen sollte und worauf Sie achten sollten, zeigen wir Ihnen In unserem Guide: OT-Asset-Management effizient einführen.
