OT-Security: Ein Dialog zwischen IT und OT
Sarah Kolberg | Februar 29, 2024
Um zeitgemäße Cybersecurity-Konzepte auch in OT-Umgebungen umzusetzen, müssen einige Hürden überwunden werden. Die IT-Security ist hier in einer Vorreiterrolle, denn der erste Computer-Virus „Creeper“ trieb bereits in den 1970ern sein Unwesen. Seitjeher besteht ein Schlagabtausch zwischen neuen Angriffsmethoden und IT-Sicherheitslösungen. Die Awareness für Bedrohungen durch Cyberkriminalität wächst langsam auch bei den OT-Verantwortlichen, denn die Anzahl von Cyber-Attacken auf Betriebe steigt stetig. Zudem ist es mit Blick auf verschiedene Regularien sowie die IT-OT-Konvergenz unabdingbar, dass die Cybersecurity auch ihren Weg in die Betriebe findet. Damit dies gelingt braucht es einen Dialog zwischen IT & OT.
Verschiedene Security-Verständnisse
Zwischen Informationstechnik und Betriebstechnik besteht eine gewisse Diskrepanz im Sinne der Erwartungshaltung an Security. Während in der IT-Sicherheit Datenintegrität höchste Priorität hat, bedeutet Security in OT vor allem Systemverfügbarkeit und Safety: Der kontinuierliche, störungsfreie Betrieb darf nicht gefährdet werden. Außerdem ist insbesondere in Fabrikanlagen oder in sonstigen Bereichen, wo es zu Mensch-Maschinen-Kontakt kommt, die physische Unversehrtheit der Personen zu garantieren.
Bei IT und OT treffen zwei verschiedene Welten aufeinander und entsprechend auch unterschiedliche Fachkräfte. Die Expertise und Fachtermini unterscheiden sich. Eine gemeinsame Sprache zu finden, um Bedürfnisse und Anforderungen der Systeme klar zu formulieren, wird daher schnell zur Herausforderung. Außerdem ist OT nicht gleich OT. Jede Branche hat eigene Standards und Ansprüche.
Herausforderungen der Betriebstechnik
Eine große Herausforderung der OT-Sicherheit sind die historisch gewachsenen Infrastrukturen sowie die langen Lebenszyklen der Technik. So finden sich in Fabriken häufig Geräte wieder, die seit 20 Jahren kontinuierlich laufen. Die OT-Systeme sind in ihrer ursprünglichen Entwicklung nicht darauf ausgelegt, an das Netz angebunden zu werden. Diese Lücke zu schließen und Betriebe entsprechend des neusten Stands der Technik abzusichern, ist die zentrale Aufgabe der OT-Security.
Die verwendete Software ist zum Teil hochspezifisch und kommuniziert über für die IT untypische Protokolle. Welche Komponenten dabei miteinander kommunizieren, ist häufig nicht transparent. Jedoch kann nur abgesichert werden, was bekannt ist. Der erste Schritt ist es, Transparenz in der Operational Technology zu schaffen. Das bedeutet einerseits einen Überblick über den Zustand der Maschinen sowie sonstigen Assets zu erlangen als auch über deren Kommunikation. Mit Blick auf die langen Lebenszyklen ist Software nicht nur branchenspezifisch, sondern zum Teil auch extrem veraltet. So findet sich in der ein oder anderen Industrieanlage ein verstaubter Rechner wieder, auf dem das Betriebssystem Windows XP läuft. Moderne Sicherheitslösungen aus der IT-Security können solche Strukturen maßlos überfordern. Es ist also wichtig, Sicherheitskonzepte zu entwickeln, die auch Alt-Systeme absichern.
Generell gilt: In der OT finden sich hochverwundbare Systeme. Kleinste Veränderungen können zu Systemausfällen führen. Es ist von besonderer Wichtigkeit, dass Sicherheitsmaßnahmen den Betrieb nicht gefährden, denn ist der Ablauf einmal unterbrochen, kann dies weitreichende, kostspielige Folgen nach sich ziehen. In mancherlei Hinsicht kann dies Security-Vorhaben behindern. Denn Instrumente wie Penetrationstest könnten Störungen oder gar Ausfälle nach sich ziehen und sind daher häufig keine Option.
Gemeinsam OT-Security-Lösungen schaffen
Um passende Lösungskonzepte für die Cybersecurity in OT zu entwickeln, müssen IT-Verantwortliche ein Verständnis für OT-Systeme entwickeln. Häufig sind es bereits initiale Prozesse wie Risikoanalysen, die für OT neu gedacht werden müssen. Auch Hersteller und Kundenunternehmen müssen in Kontakt treten. OT-Systeme sind hochgradig divers, weshalb meist keine One-fits-all-Lösung angeboten werden kann.
Stichwort: Customizing! Die Sicherheitslösungen müssen auf die Bedürfnisse der Betriebe angepasst werden. Die Technologien existieren dabei oft schon und müssen lediglich zugeschnitten werden. Besonders erfolgsversprechend sind minimalinvasive Produkte, die sukzessive für eine Erhöhung der Cybersecurity sorgen. In einem OT-Netzwerk ist die Neueinführung von Lösungen meist mit hohem Planungsaufwand und Umbauten verbunden. Eine einfache Handhabung sowie Integration von Sicherheitslösungen ist daher meist ein starkes Entscheidungskriterium.
Zweiter Frühling in OT für Post-Connect NAC von macmon
Die verschiedenen Anforderungen von OT und IT zeigen sich auch in der Nachfrage unserer Network Access Control-Lösung macmon NAC. So wird in der IT mittlerweile meist der 802.1X-Standard für NAC gefordert, denn er verspricht ein hohes Cybersecurity-Level. Die Wartung des damit einhergehenden RADIUS-Servers ist jedoch anspruchsvoll und fehleranfällig. Das kann in der Betriebstechnik problematisch sein. Einerseits verfügt das verantwortliche Personal häufig nicht über das notwendige Knowhow. Andererseits ist alles, was eine Gefährdung für den Betriebsablauf darstellt, zu unterbinden. Zudem unterstützen Maschinen und Anlagen den Standard oft nicht.
Jochen Füllgraf
Product Manager macmon NAC, Belden Inc.
„Reaktives NAC erlebt in OT seinen zweiten Frühling.“
macmon NAC bietet jedoch auch eine SNMP-basierte Lösung an – ein Protokoll, das auch die meisten OT-Systeme unterstützen. Post-Connect NAC ermöglicht ein passives Monitoring und eine reaktive Funktionsweise. Hiermit lassen sich Compliance-Richtlinien schrittweise umsetzen, ohne den Betrieb zu gefährden. Wie mit bestimmten sicherheitsrelevanten Ereignissen umgegangen werden soll, kann individuell festgelegt werden. Die Security Solution ist hersteller- und infrastrukturunabhängig und erfordert keine Neuanschaffungen oder Umbauten. macmon NAC gilt als die einfachste NAC-Lösung in Handhabung und Implementierung am Markt. macmon NAC bietet zahlreiche Vorteile, die auf die Bedürfnisse von OT-Netzwerken eingehen. Das zeigt sich auch in der Landschaft der Anwender: Ein Drittel der macmom-Kunden bewegen sich im industriellen Umfeld.
Während Network Access Control in IT-Systemen längst gängig ist, wird der Zweck in OT-Umgebungen häufig in Frage gestellt. Lesen Sie jetzt mehr dazu, welchen Nutzen NAC für Operational Technology hat: 12 Gründe für NAC in OT