Unsere persönlichen Glaubenssätze führen uns jeden Tag durch unsere unbewussten und bewussten Entscheidungen. Sie sind historisch gewachsen und wurden unter anderem durch eigene Erfahrungen, das eigene Umfeld, aber auch durch das klassische „Hörensagen“ definiert.

Insbesondere letzteres führt dazu, dass einige unserer Glaubenssätze schlichtweg falsch sind. Besonders betroffen sind neue Umfelder und innovative Themengebiete, die viel Platz für Spekulationen und „Meinungen“ bieten.

In der Industrial Security führen solche falschen Annahmen insbesondere im Umfeld von IT & OT regelmäßig zu Problemen. Dies führt in der Praxis zu sehr schwierigen Diskussionen und oftmals zu einer falschen Lösungswahl für ein Security-Problem im Automatisierungsnetz.

Aus diesem Grund haben wir einmal die Dauerbrenner der falschen Glaubenssätze aus der Industrial Security zusammengestellt. Hier ist unsere Auswahl:

1. IT-Security-Tools können im OT-Netz wie gewohnt genutzt werden

Automatisierungslösungen sind alles andere als robust. Viele OT-Komponenten, wie SPS oder HMI-Einheiten, sind nicht darauf ausgelegt, dass beispielsweise ein aktiver Netzwerkscan (mit z.B. Nmap) durchgeführt wird, .

Insbesondere in echtzeitfähigen Netzen sollten Sie besonders vorsichtig sein, da zu viel Last auf Netz und Gerät schnell zu Ausfällen und Stillstand führen kann. Daher gilt: Security Assessments im Automatisierungsnetz nur mit Bedacht einsetzen, insbesondere wenn diese aktiv Datenpakete in das OT-Netz verschicken. Selbst scheinbar harmlose Daten wie Ping oder SYN-Pakete, die im Office Netz bisher immer sorglos eingesetzt werden konnten, können zu Störungen in Ihrer Steuerung führen.

2. OT-Security ist entweder ein Problem der IT oder der OT

Die OT-Security ist eine Herausforderung des gesamten Unternehmens und erfordert interdisziplinäres Wissen aus IT und OT, um diese auch nachhaltig in den Griff zu bekommen.

Für die IT bedeutet das vor allem, sich das notwendige fachübergreifende Wissen anzueignen, um die spezifischen Herausforderungen und Anforderungen einer Automatisierungslösung zu berücksichtigen. Industrielle Protokolle und Komponenten verhalten sich anders, als man es aus herkömmlichen IT Netzen erwarten würde.

Nichtsdestotrotz macht es auch für die OT Sinn, nicht die komplette Verantwortung für die Security des Automatisierungsnetzes an die IT Abteilung abzugeben. Denn eine sichere Automatisierungslösung ebnet den Weg für Innovationen, optimiert bestehende Prozesse und sorgt für eine zuverlässigere Verfügbarkeit.

Der Schlüssel liegt darin die Kommunikation und Zusammenarbeit beider Welten zu vereinen, eine gemeinsame Sprache zu finden und Wissen interdisziplinär auszutauschen. Auch die US-Norm NIST 800-82 rät zu abteilungsübergreifenden Teams.

3. Zum managen des „neuen“ OT-Netzes bedarf es keiner zusätzlichen Ressourcen

Vorsicht! Durch die vielen Besonderheiten einer Automatisierungslösung, dem neuen Domänenwissen, aber vor allem durch die Größe mancher Netze, ist dies nicht ohne zusätzliche Ressourcen an Personal in den Griff zu bekommen.

Ein, „Das bekommen meine bisherigen Mitarbeiter schon hin“, erzeugt falsches Sicherheitsgefühl, Demotivation der Mitarbeiter und nur im besten Fall schlechte Security.

4. Mein Hersteller kümmert sich um die IT-Sicherheit der Anlagen

Darauf sollten Sie sich nicht verlassen, denn die Realität sieht leider anders aus. Hier werden beispielsweise Fernwartungszugänge verschiedener Kunden miteinander gekoppelt oder beim Anschließen neuer Anlagen Malware ins Netz gebracht. 

Solange Sie als Betreiber keine Sicherheitsanforderungen im Rahmen von Bestellprozessen, Anlagenplanung und Einkauf (vom Hersteller) einfordern, wird Security immer eine untergeordnete Rolle spielen und oft unter den Tisch fallen.

PS: Natürlich gibt es Hersteller, die sich mit dem Thema solide auseinandersetzen und implementieren, aber Sie müssen es letztendlich anfordern und konfigurieren!

5. Bei Maschinen und Anlagen muss ich erst nach der Integration anfangen auf IT-Sicherheit zu achten

Damit industrielle Security funktioniert, muss diese ganzheitlich betrachtet und durch den gesamten Life Cycle der Anlage/ Maschine mitgetragen werden. Dies fängt bei der Entwicklung und Implementierung an, setzt sich bis in die Integration und Inbetriebnahme fort, und endet beim Abbau und der Außerdienststellung.

So macht es beispielsweise Sinn, bereits beim Einkauf und der Lieferantenauswahl Security Themen anzusprechen und einzufordern. Ebenso hilft es, sich bereits vor der Integration Gedanken über Segmentierung und Zonenaufteilung zu machen. 

„Security by Design“ ist hier das richtige Stichwort. Richtig angewendetes Security zieht sich durch das gesamte Unternehmen.

6. Safety-Systeme und IT-Security haben keine Überschneidungspunkte

Verfallen sie nicht dem Trugschluss, dass Safety-System bereits an und für sich „sicher“ sind und die IT-Security damit überflüssig wird.

Am Beispiel der Schadsoftware TRISIS sieht man, dass moderne Malware bereits gezielt funktionale Sicherheitssysteme angreifen und potenziell außer Kraft setzen kann. Bei diesem Vorfall ist besonders hervorzuheben, dass hierbei keine finanzielle Motivation hinter dem Angriff stand. Vielmehr ging es hier um das aushebeln von physischen Safety-Systemen, um so Mensch und Umwelt einen Schaden zuzufügen.

7. Security-Herausforderungen im Automatisierungsnetz sind dieselben, wie in der IT-Welt

Industrial Control Systems haben im Gegensatz zu herkömmlichen IT-Systemen zum Teil sehr unterschiedliche Anforderungen, die sich insbesondere in den Bereichen Performance, Verfügbarkeit, Systemressourcen und Lebenszeit widerspiegeln.

So hat beispielsweise eine E-Mail, die sich um 15 Minuten beim Empfänger verzögert, meist keine gravierenden Auswirkungen oder Systemabstürze zur Folge. Wo hingegen die Latenzen im Automatisierungsnetz sehr hart begrenzt sind, da unter anderem auch strikte Abarbeitungszeiten garantiert werden müssen.

Des Weiteren ist es nicht akzeptabel produktive Systeme zu rebooten, um „mal eben“ die Systemeinstellung neu zu initialisieren. „Reboot tut gut“ bewirkt im Automatisierungsnetz eher das Gegenteil, da eine strikte Verfügbarkeit zu jeder Zeit garantiert werden muss. Dies merkt man auch bei Wartungsvorgängen, die im Gegensatz zu der IT, nur mit langen Vorlaufzeiten geplant werden können.

Bei den meisten Geräten im OT-Netz sind die Ressourcen sehr knapp und reichen selten für integrierte Schutzmaßnahmen wie einem Virenschutz aus. Wenn Ressourcen für Security-Anwendungen vorhanden sind, werden diese meist nur nach Freigabe installiert.

8. IT und OT haben dieselben Prioritäten.

Während die IT die Vertraulichkeit der Daten als oberstes Ziel hat und die Unveränderlichkeit und Verfügbarkeit der Daten nur sekundär wichtig ist, ist es bei der OT genau anders rum. 

Wie bereits erwähnt, hat die Verfügbarkeit der Anlage und die Vermeidung von Betriebsausfällen stets die höchste Priorität. Weiterhin hat der Aspekt der Unveränderlichkeit der OT-Daten einen besonders hohen Stellenwert. Man denke hierbei an abgeänderte/ verfälschte Mischverhältnisse bei einem Anti-Rost Lack in der Automobilbranche, der zahlreiche Widerrufsaktionen zur Folge haben kann. Die Vertraulichkeit der Daten kann zwar in manchen Szenarien, wie einem Rezept in der Lebensmittel- oder Genußindustrie, auch relevant sein, ist in den meisten Fällen jedoch vernachlässigbar.

9. Umfangreiche Policies und Zertifizierungen sichern meine OT-Welt gut ab

Wenn ein Unternehmen „compliant“ ist, muss es nicht unbedingt auch „secure“ sein. Da Compliance Richtlinien sich häufig an das Minimum richten, besteht die Wahrscheinlichkeit, dass ein falsches Sicherheitsgefühl entsteht und eine Checklisten-Mentalität gefördert wird. Richtige OT-Security beinhaltet ein ganzheitliches ISMS, welchen aus einem Mix aus durchdachten Policies, Prozessen und technischen Schutzmaßnahmen besteht.

Compliance Richtlinien entstehen langsam und vorhersehbar, wo hingegen Angriffe und Malware sich extrem schnell entwickeln und ziemlich dynamisch sind. Hier besteht die Gefahr, dass die Compliance immer ein paar Schritte hinter dem Status Quo der aktuellen Angriffsszenarien liegt.

Das bedeutet nicht, dass Zertifizierungen & Co nutzlos sind. In jedem Fall ist es besser die Sicherheit des Automatisierungsnetzes nach Zertifizierungen und Policies auszurichten, als sich nur unzureichende oder gar keine Gedanken zu dem Thema zu machen. Zudem bieten sie eine gute Orientierung und liefern erste Ansatzpunkte für eine ganzheitliche OT Sicherheit.

10. Solange wir eine Firewall haben, ist das Automatisierungsnetz sicher

Hier ist Achtung geboten, da zahlreiche Wege existieren, um eine Firewall auszuhebeln. Die besten Firewall-Regelungen helfen nichts, wenn ein Mitarbeiter mit einem gefundenem infiziertem USB-Stick in die Anlage läuft und ihn dort anschließt. Durch Phishing-E-Mail, Drive-By-Downloads im Browser und sonstigen Social Engineering Angriffen kann Schadsoftware auch direkt auf den Arbeitsplatz des Automatisierungspersonals geladen werden.

Selbst bei Bedrohungen, die über das Netzwerk einfließen, reicht die bloße Existenz einer Firewall nicht aus. Diese muss nämlich auch richtig konfiguriert werden. So kann beispielsweise auch eine falsche Reihenfolge der ACLs wichtige Filterregeln aushebeln und so Sicherheitslücken öffnen. Ebenso verhält es sich mit falsch definierten Ports.

Firewalls sind sicherlich ein unverzichtbares Mittel in Ihrem Pool aus Schutzmaßnahmen. Man sollte sich jedoch bei der Auswahl nicht nur auf ein Tool beschränken, sondern mehrere Schutzmaßnahmen, die mehrschichtig auf verschiedene Sicherheitszonen eingebettet werden, implementieren.

11. Die IT kennt sich schon aus und macht das

Selbst produktionsnahe IT-Abteilungen gehen oftmals nur bis zum Netzwerk-Anschluss der Anlage oder der Fernwartungslösung. Wenn es aber um die konkreten Charakteristika der Automatisierungs- und Anlagenkomponenten geht, fehlt es häufig an Wissen um die richtige Handhabung und Anforderungen. Häufig unterscheiden sich technische Aspekte, wie beispielsweise industrielle Protokolle oder Busnetze, von dem was bisher bekannt ist.

Die IT hat von Haus aus andere Prioritäten und Erfahrungen, z.B. bei Themen wie Updates, Verfügbarkeit und Patchmanagement. Hier hilft nur der bereits erwähnte interdisziplinäre Wissenaustausch zwischen OT und IT.

12. Wir können uns nicht absichern, weil es keine etablierten Standards und Empfehlungen gibt

Ausrede! Es wird vermutlich niemals „DEN“ Standard geben, an dem sich alle ausrichten werden. Alleine schon auf Grund der Schnelllebigkeit der Digitalisierung und der damit verbundenen Angriffsszenarien. Aus diesem Grund zählt nur ein „Fangen Sie an“.

Welcher Standard (z.B. IEC 62443, BSI IT-Grundschutz ) oder auch Empfehlungskatalog (z.B. VDMA) spielt hierbei keine Rolle, da sich die Inhalte an vielen Stellen überschneiden. Letztendlich sind diese zwar ein guter Wegweiser für die Implementierung von ganzheitlichen Schutzmaßnahmen, betrachten aber weder Ihre individuelle Situation, noch garantieren sie eine tatsächlich gelebte Security.

In unserer Bibliothek haben wir verschiedene Informationsquellen hierzu aufgelistet.

13. Niemand kennt mein Automatisierungsnetz, deswegen bin ich sicher

Wer anhand „Security by Obscurity“ (zu deutsch „Sicherheit durch Verschleierung“) die Sicherheit im Automatisierungsnetz gestaltet, der handelt naiv und fahrlässig. Hierzu reicht ein Blick auf die Agenda von aktuellen Hacker-Konferenzen oder Medienberichten, um festzustellen, dass der Industriesektor sich schon lange nicht mehr außerhalb des Radars von Angreifern befindet.

Auch proprietäre Anlagenelemente und die dazugehörigen Ports, Protokolle etc. sind nur ein vermeintliches Hindernis für Angreifer. Technische Informationen wie auch bereits veröffentliche Sicherheitslücken sind hierzu frei im Internet auffindbar. Die Wahrheit ist: Wenn Ihr Automatisierungsnetz zum Ziel eines Angriffs wird, dann werden sich meinst auch Mittel und Wege finden, um dieses zu kompromittieren. Hier helfen dann letztendlich nur wirtschaftlich orientierte und ganzheitlich angewendete Schutzmaßnahmen.

PS: Und den „gemeinen“ USB-Stick bringt vielleicht sogar Ihr eigener Mitarbeiter nicht-wissentlich mit.

Fazit

Welche Schlussfolgerung ziehen wir aus der Fülle an falschen Glaubenssätzen? Zukünftige Unternehmen werden vermutlich gänzlich von verschiedensten Datenverbindungen, quer durch alle Netze, durchzogen sein. Das ERP-System, dass Einfluss auf die Fertigungsschritte nimmt oder auch die moderne Instandhaltung, die sich Maschinendaten übermitteln lässt.

Fakt ist, dass eine fehlerhafte Kommunikation gepaart mit Halbwissen insbesondere im IT & OT Umfeld viele Möglichkeiten zum Scheitern bietet und Sie jetzt den Grundstein für die kommenden Jahre legen sollten.

Gute Kommunikation ist der Schlüssel für eine erfolgreiche Umsetzung von Industrial Security und sorgt dafür, dass Trugschlüsse aufdeckt werden können. Kombinieren Sie hierzu die Expertise von IT & OT!