Unsere persönlichen Glaubenssätze führen uns jeden Tag durch unsere unbewussten und bewussten Entscheidungen. Sie sind mit der Zeit gewachsen und werden unter anderem durch unser Umfeld, eigene Erfahrungen, aber auch durch das klassische „Hörensagen“ beeinflusst.
Vor allem wenn wir uns nicht auf konkrete Fakten, sondern auf Hörensagen verlassen, führt dies zu falschen Glaubenssätzen, die unser Handeln beeinflussen. Besonders neue Umfelder und innovative Themengebiete geben viel Raum für Spekulationen und Meinungen. So führen irrige Annahmen auch in der Industrial Security, insbesondere im Umfeld von IT & OT (Operational Technology), regelmäßig zu Problemen. In der Praxis kann es dann zu schwierigen Diskussionen kommen und oftmals zu einer falschen Lösungswahl für ein Security-Problem im Automatisierungsnetz.
Die Dauerbrenner der irrigen Glaubenssätze aus der Industrial Security und welchen Praxisbezug Sie bei ihrer Bewertung berücksichtigen sollten, finden Sie in der folgenden Auflistung.
1. „IT-Security-Tools können im OT-Netz wie gewohnt genutzt werden.“
Automatisierungslösungen sind alles andere als robust. Viele OT-Komponenten, wie SPS oder HMI-Einheiten, sind nicht darauf ausgelegt, dass beispielsweise ein aktiver Netzwerkscan (mit z.B. Nmap) durchgeführt wird.
Insbesondere in echtzeitfähigen Netzen sollten Sie besonders vorsichtig sein, da zu viel Last auf Netz und Gerät schnell zu Ausfällen und zum Stillstand führen kann. Daher gilt: Security Assessments im Automatisierungsnetz nur mit Bedacht einsetzen, insbesondere wenn diese aktiv Datenpakete in das OT-Netz verschicken. Selbst scheinbar harmlose Daten wie Ping oder SYN-Pakete, die im Office-Netz bisher immer sorglos eingesetzt werden konnten, können zu Störungen in Ihrer Steuerung führen.
2. „OT-Security ist entweder ein Problem der IT oder der OT.“
Die OT-Security ist eine Herausforderung des gesamten Unternehmens und erfordert interdisziplinäres Wissen aus IT und OT.
Für die IT bedeutet das vor allem, sich das notwendige fachübergreifende Wissen aneignen zu müssen, um die spezifischen Herausforderungen und Anforderungen einer Automatisierungslösung zu berücksichtigen. Industrielle Protokolle und Komponenten verhalten sich anders, als man es von herkömmlichen IT-Netzen erwartet.
Es macht auch für die OT Sinn, nicht die gesamte Verantwortung für die Security des Automatisierungsnetzes an die IT Abteilung abzugeben. Denn eine sichere Automatisierungslösung ebnet den Weg für Innovationen, optimiert bestehende Prozesse und sorgt für eine zuverlässigere Verfügbarkeit.
Der Schlüssel liegt darin, die Kommunikation und Zusammenarbeit beider Welten zu vereinen, eine gemeinsame Sprache zu finden und Wissen interdisziplinär auszutauschen. Dies entspricht übrigens auch dem Rat aus der US-Norm NIST 800-82 zu abteilungsübergreifenden Teams.
3. „Das Managen des „neuen“ OT-Netzes erfordert keine zusätzlichen Ressourcen.“
Vorsicht! Aufgrund der vielen Besonderheiten einer Automatisierungslösung, dem neuen Domänenwissen, aber vor allem wegen der Größe mancher Netze, ist dies nicht ohne zusätzliche Personalressourcen zu bewerkstelligen.
Die Haltung „Das bekommen die Mitarbeiter schon hin“ erzeugt ein falsches Sicherheitsgefühl. Es überfordert die Mitarbeiter und demotiviert sie und das schwächt Ihre Industrial Security.
4. „Die Hersteller kümmern sich um die IT-Sicherheit der Anlagen!“
Darauf sollten Sie sich nicht verlassen! Die Praxis zeigt, dass das Sicherheitsbewusstsein von Herstellern nicht unbedingt mit dem der Anlagenbetreiber deckungsgleich sein muss. Es kommt vor, dass beispielsweise Fernwartungszugänge verschiedener Kunden miteinander gekoppelt oder beim Anschließen neuer Anlagen Malware ins Netz gebracht wird.
Solange Sie als Betreiber keine Sicherheitsanforderungen im Rahmen von Bestellprozessen, Anlagenplanung und Einkauf (vom Hersteller) einfordern, wird Security immer eine untergeordnete Rolle spielen und oft ganz unter den Tisch fallen.
PS: Natürlich gibt es Hersteller, die sich mit dem Thema solide auseinandersetzen, aber Sie müssen es letztendlich anfordern und konfigurieren!
5. „Bei Maschinen und Anlagen muss ich erst nach der Integration anfangen, auf IT-Sicherheit zu achten.“
Damit Industrial Security funktioniert, muss diese ganzheitlich betrachtet und durch den gesamten Life Cycle der Anlage/ Maschine mitgetragen werden. Dies fängt bei der Entwicklung und Implementierung an, setzt sich bis in die Integration und Inbetriebnahme fort und endet beim Abbau und der Außerdienststellung.
So macht es beispielsweise Sinn, in der Einkaufsphase bei der Lieferantenauswahl Security-Themen anzusprechen und einzufordern. Ebenso hilft es, sich bereits vor der Integration Gedanken über Segmentierung und Zonenaufteilung zu machen.
„Security by Design“ ist das richtige Stichwort. Richtig angewendete Security zieht sich durch das gesamte Unternehmen.
6. „Safety-Systeme und IT-Security haben keine Überschneidungspunkte.“
Verfallen sie nicht dem Trugschluss, dass Safety-Systeme grundsätzlich „sicher“ sind und IT-Security damit überflüssig wird.
Das Beispiel der Schadsoftware TRISIS zeigt, dass moderne Malware bereits gezielt funktionale Sicherheitssysteme angreift und potenziell außer Kraft setzen kann. Bei diesem Vorfall ist beachtenswert, dass keine finanzielle Motivation hinter dem Angriff stand. Vielmehr ging es um das Aushebeln von physischen Safety-Systemen, um so Mensch und Umwelt Schaden zuzufügen.
7. „Security-Herausforderungen im Automatisierungsnetz sind dieselben, wie in der IT-Welt.“
Industrial Control Systems haben im Gegensatz zu herkömmlichen IT-Systemen zum Teil sehr unterschiedliche Anforderungen. Dies spiegelt sich vor allem in den Bereichen Performance, Verfügbarkeit, Systemressourcen und Lebenszeit wider.
So hat beispielsweise eine E-Mail, die sich um 15 Minuten beim Empfänger verzögert, meist keine gravierenden Auswirkungen oder Systemabstürze zur Folge. Im Gegensatz dazu sind Latenzen im Automatisierungsnetz sehr hart begrenzt, da unter anderem auch strikte Abarbeitungszeiten garantiert werden müssen.
Auch ist es nicht akzeptabel, produktive Systeme zu rebooten, um „mal eben“ die Systemeinstellung neu zu initialisieren. „Reboot tut gut“, eine bewährte Weisheit aus der klassischen IT, bewirkt im Automatisierungsnetz eher das Gegenteil, weil eine strikte Verfügbarkeit zu jeder Zeit garantiert werden muss. Besonders deutlich wird dies bei Wartungsvorgängen, die, anders als in der klassischen IT, nur mit langen Vorlaufzeiten geplant werden können.
Bei den meisten Geräten im OT-Netz sind die Ressourcen sehr knapp und reichen selten für integrierte Schutzmaßnahmen, wie beispielsweise einem Virenschutz aus. Wenn Ressourcen für Security-Anwendungen vorhanden sind, werden diese meist nur nach Freigabe installiert.
8. „IT und OT haben dieselben Prioritäten.“
Während für die IT die Vertraulichkeit der Daten oberste Priorität hat, und die Unveränderlichkeit und Verfügbarkeit der Daten nur sekundäre Bedeutung hat, ist es bei der OT genau anders herum.
Wie bereits erwähnt, hat die Verfügbarkeit der Anlage und die Vermeidung von Betriebsausfällen stets die höchste Priorität. Weiterhin hat der Aspekt der Unveränderlichkeit der OT-Daten einen besonders hohen Stellenwert. Man denke hierbei an abgeänderte oder verfälschte Mischverhältnisse bei einem Anti-Rost-Lack in der Automobilbranche, der zahlreiche Widerrufsaktionen zur Folge haben kann. Der Schutz der Vertraulichkeit der Daten kann zwar in manchen Szenarien, wie für ein Rezept in der Nahrungs- und Genussmittelindustrie auch relevant sein, in den meisten Fällen ist er jedoch von untergeordneter Priorität.
9. „Umfangreiche Policies und Zertifizierungen sichern meine OT-Welt ausreichend ab.“
Wenn ein Unternehmen „compliant“ ist, muss es nicht unbedingt auch „secure“ sein. Da sich Compliance-Richtlinien häufig am Minimum ausrichten, wird ein falsches Sicherheitsgefühl gefördert und es entsteht eine Checklisten-Mentalität. Richtige OT-Security beinhaltet ein ganzheitliches ISMS mit einem Mix aus durchdachten Policies, Prozessen und technischen Schutzmaßnahmen.
Compliance-Richtlinien entstehen langsam und vorhersehbar, aber Angriffe und Malware entwickeln sich extrem schnell und verhalten sich ziemlich dynamisch. Es besteht die Gefahr, dass die Compliance immer ein paar Schritte hinter dem Status Quo der aktuellen Angriffsszenarien liegt.
Das bedeutet nicht, dass Zertifizierungen & Co nutzlos sind. In jedem Fall ist es besser, die Sicherheit des Automatisierungsnetzes nach Zertifizierungen und Policies auszurichten, als sich nur unzureichende oder gar keine Gedanken zu dem Thema zu machen. Zudem bieten sie eine gute Orientierung und liefern erste Ansatzpunkte für eine ganzheitliche OT-Sicherheit.
10. „Solange wir eine Firewall haben, ist das Automatisierungsnetz sicher!“
Hier ist Vorsicht geboten, da es zahlreiche Wege gibt, um eine Firewall auszuhebeln. Die besten Firewall-Regelungen helfen nichts, wenn ein Mitarbeiter mit einem gefundenen infizierten USB-Stick in die Anlage läuft und ihn dort anschließt. Durch Phishing-E-Mails, Drive-By-Downloads im Browser und sonstigen Social-Engineering-Angriffen kann Schadsoftware auch direkt auf den Arbeitsplatz des Automatisierungspersonals geladen werden.
Selbst bei Bedrohungen, die über das Netzwerk einfließen, reicht die bloße Existenz einer Firewall nicht aus. Diese muss auch richtig konfiguriert werden. So kann beispielsweise auch eine falsche Reihenfolge der ACLs (Access Control List) wichtige Filterregeln aushebeln und so Sicherheitslücken öffnen. Ebenso verhält es sich mit falsch definierten Ports.
Firewalls sind sicherlich ein unverzichtbares Mittel in Ihrem Pool aus Schutzmaßnahmen. Man sollte sich jedoch bei der Auswahl nicht nur auf ein Tool beschränken, sondern mehrere Schutzmaßnahmen mehrschichtig auf verschiedenen Sicherheitszonen eingebettet implementieren.
11. „Die IT kennt sich schon aus und macht das schon!“
Selbst produktionsnahe IT-Abteilungen sehen ihren Verantwortungsbereich oftmals beschränkt bis zum Netzwerk-Anschluss der Anlage oder der Fernwartungslösung. Wenn es aber um die konkreten Charakteristika der Automatisierungs- und Anlagenkomponenten geht, fehlt es häufig an Wissen um die richtige Handhabung und Anforderungen. Häufig unterscheiden sich technische Aspekte, wie beispielsweise industrielle Protokolle oder Busnetze von dem, was bisher bekannt ist.
Die IT hat grundsätzlich andere Prioritäten und Erfahrungen, z.B. bei Themen wie Updates, Verfügbarkeit und Patchmanagement. Hier hilft nur der bereits erwähnte interdisziplinäre Wissenaustausch zwischen OT und IT.
12. „Wir können uns nicht absichern, weil es keine etablierten Standards und Empfehlungen gibt.“
Ausrede! Es wird vermutlich niemals „DEN“ Standard geben, an dem sich alle ausrichten werden, schon wegen der Schnelllebigkeit der Digitalisierung und der damit verbundenen Angriffsszenarien. Deshalb gilt: Fangen Sie an!
An welchem Standard (z.B. IEC 62443, BSI IT-Grundschutz) oder Empfehlungskatalog (z.B. VDMA) Sie sich dabei konkret orientieren, spielt keine wesentliche Rolle, da sich die Inhalte an vielen Stellen überschneiden. Letztendlich sind diese zwar ein guter Wegweiser für die Implementierung von ganzheitlichen Schutzmaßnahmen. Sie betrachten aber weder Ihre individuelle Situation, noch garantieren sie eine tatsächlich gelebte Security.
In unserer Bibliothek haben wir verschiedene Informationsquellen hierzu aufgelistet.
13. „Niemand kennt mein Automatisierungsnetz, deswegen bin ich sicher.“
Wer anhand der Haltung „Security by Obscurity“ (zu deutsch „Sicherheit durch Verschleierung“) die Sicherheit im Automatisierungsnetz gestaltet, der handelt naiv und fahrlässig. Es reicht ein Blick auf die Agenda von aktuellen Hacker-Konferenzen oder Medienberichten, um festzustellen, dass der Industriesektor sich schon lange nicht mehr außerhalb des Radars von Angreifern befindet.
Auch proprietäre Anlagenelemente und die dazugehörigen Ports, Protokolle, etc. sind nur ein vermeintliches Hindernis für Angreifer. Technische Informationen und bereits veröffentlichte Sicherheitslücken sind frei im Internet verfügbar. Die Wahrheit ist: Wenn Ihr Automatisierungsnetz zum Ziel eines Angriffs wird, dann werden sich auch Mittel und Wege finden, um es tatsächlich zu kompromittieren. Dann helfen letztlich nur wirtschaftlich orientierte und ganzheitlich angewendete Schutzmaßnahmen.
Fazit
Welche Schlussfolgerung ziehen wir aus der Fülle an falschen Glaubenssätzen? Künftig werden Unternehmen voraussichtlich vollständig von verschiedensten Datenverbindungen quer durch alle Netze durchzogen sein. Dazu zählen das ERP-System, das Einfluss auf die Fertigungsschritte nimmt oder auch die moderne Instandhaltung, die sich Maschinendaten übermitteln lässt.
Fakt ist, dass eine fehlerhafte Kommunikation, gepaart mit Halbwissen, insbesondere im IT & OT Umfeld, viele Möglichkeiten zum Scheitern bietet. Sie sollten jetzt den Grundstein für die kommenden Jahre legen und die Absicherung Ihrer industriellen Systeme auf eine belastbare Basis stellen.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
