Die Industrie nutzt bereits seit Jahrzehnten IP-Technologie zur Optimierung von Steueranlagen. Durch die immer weiter voranschreitende digitale Integration werden aber solche Insellösungen immer stärker über das Internet ansteuerbar. In der Praxis führt dies zur einer Verschmelzung von IT- und OT. Diese Verbindung stellt die Unternehmenssicherheit vor große Herausforderungen.
Eine Segmentierung über Blacklisting oder Firewalls ist nicht mehr zeitgemäß, denn die Anzahl der Endpunkte wächst immer weiter. Für eine sichere Industrie 4.0 müssen Endpunkte aber dynamisch erkannt, segmentiert und verwaltet werden -egal, ob OT- oder IT-Technologie. Die unterschiedlichen Eigenschaften der beiden Bereiche sowie die Anforderungen, die sie erfüllen müssen, bieten allerdings einiges an Risikopotenzial.
Unternehmer nehmen Sicherheitslücken aus Furcht vor Umsatzeinbußen in Kauf
Der Arbeitsalltag stellt unterschiedliche Anforderungen an OT und IT: Die OT muss vor allem zuverlässig Leistung erbringen, um Produktivität zu gewährleisten und Umsatz zu generieren. Die IT hingegen muss flexibel auf Veränderungen und neu entstandene Bedrohungen reagieren können. Während der Lebenszyklus von IT-Lösungen relativ kurz ist und somit einem ständigen Wechsel unterliegt, ist die Lebensdauer von OT-Geräten im Vergleich viel länger.
Daraus folgt, dass die geräteinternen Schutzmaßnahmen, wenn sie nicht geupdated wurden, oft so alt wie ihre Inbetriebnahme sind. Ihr Alter kann mitunter mehrere Jahrzehnte betragen, sodass ein ausreichender Schutz des Geräts nicht mehr gewährleistet ist. Hinzu kommt, dass ein Update jener Sicherheitsstandards oft bewusst nicht durchgeführt wird, da mit einer Aktualisierung ein zeitweiser Ausfall des Gerätes einherginge. Um neue Schutzstandards einzuspielen, muss das OT-Gerät für einige Zeit aus dem normalen Betrieb genommen werden.
Den damit verbundenen Produktionsstopp zusammen mit entstehenden Umsatzeinbußen wollen viele Unternehmen nicht in Kauf nehmen und lassen die Sicherheitsmechanismen ihrer Geräte zwangsweise veralten. Damit setzen sie die eigene Netzwerksicherheit unnötigen Gefahren aus. Hinzu kommt, dass eine genaue Bestimmung des Update-Status in Produktionsumgebungen oft durch die Vielzahl an existierenden Hersteller von Maschinen und Applikationen erschwert wird.
OT-Umgebungen sind ständigen Gefahren ausgesetzt
Die Gefahr für OT-Umgebungen ist real: Aufgrund ihrer oft veralteten Sicherheitsmechanismen können sie leicht von außen gehackt werden. Mögliche Folgen eines erfolgreichen Angriffs sind:
Physische Schäden an Geräten: Sobald ein unberechtigter Dritter Zugriff auf OT-Geräte hat, kann er ihre Parameter so umstellen, dass sie zum Beispiel überhitzen oder schneller verschleißen.
Qualitätseinbrüche und Produktionsstopps: Werden bei einem gehackten Gerät die Einstellungen so verändert, dass sie manche Arbeitsschritte nicht oder falsch ausführt, wird das Produkt fehlerhaft und im schlimmsten Fall gefährlich für den Endnutzer
Datenverlust: Gehackte OT-Geräte können Daten, die sie zum Betrieb benötigen, weiterleiten und somit Geschäftsgeheimnisse preisgeben. Auch kann ein kompromittiertes Gerät als Einfallstor ins Netzwerk dienen, von dem weitere Angriffe ausgehen können.
Eine Lösung zur Netzwerksichtbarkeit sollte unabhängig von Kriterien wie Hersteller und Alter des Geräts agieren können, um eine bestmögliche Kontrolle über das Netzwerk und aller vernetzen Geräte zu gewährleisten. Sämtliche Verbindungen zu einem Device müssen aufgezeigt und ihr Gefährdungspotenzial festgestellt werden.
Mit Network-Visibility zu verbesserter OT-Sicherheit
Vorfälle wie diese zeigen, wie wichtig die Visibilität von Geräten in Netzwerken ist.Eine einfache NAC-Lösung (Network Access Control), wie sie in vielen Unternehmen der OT-Branche verwendet wird, reicht hier oft nicht aus, da sie nicht alle Geräte erkennen kann, die sich mit einem Netzwerk verbinden.
Zum einen brauchen Organisationen eine Sicherheitsplattform, die im Netzwerk jedes Gerät unabhängig von Hersteller und Alter erkennt und automatisch verwaltet. Zudem sollten bestehende Tools automatisch angewiesen werden, Endpunkte nach dem Login zu prüfen. Speziell für OT macht es zudem Sinn, die Plattform durch Tools von ausgewiesenen Experten für den Bereich Industrie zu erweitern.
Hierdurch steigt nicht nur die Sicherheit des Netzwerks, auch die Produktivität wird erhöht, indem sich gegenseitig blockierende Security-Systeme auf einander abgestimmt werden. Darüber hinaus sollte die Lösung Geräte im Netzwerk erkennen können, unabhängig davon, ob sie Software-Agenten unterstützen oder nicht. Darunter fallen auch Devices mit deaktivierten Agenten oder nicht genug Ressourcen, um ausreichend mit den Sicherheitsmaßnahmen kommunizieren zu können.
Die Sichtbarkeit erfolgt über zentrale Netzwerkpunkte: Den Zugriff auf Switches, Firewalls, Wireless-Controller etc. vorausgesetzt, kann die Lösung anhand der Datenströme eine Übersicht aller mit dem Netzwerk verbundenen Geräte erstellen, ohne ihre Funktion zu beeinträchtigen. Zu dieser Übersicht gehören auch detaillierte Informationen über die Geräte an sich, beispielsweise der registrierte Nutzer, die Versionsnummer und der Updatestatus des Geräts.
Das IoT als Herausforderung für die Netzwerksicherheit
Besonders die Vielzahl an Geräten, die im Zuge von IoT mit einem Netzwerk verbunden werden, bringen viele NAC-Lösungen an die Grenzen ihrer Leistungsfähigkeit.
Die Geräte stammen von einer breiten Palette an Herstellern und werden in sämtlichen Bereichen des Unternehmens eingesetzt, von der IP-Kamera bis hin zur intelligenten Steuerung von Industrieanlagen (ICS). Oft bilden sie ein Sicherheitsrisiko, da sie nicht mehr ausreichend mit Updates versorgt werden aber trotzdem eine ständige Verbindung mit dem Internet erfordern, um zu funktionieren.
Das MIRAI-Botnet basierte größtenteils auf gehackten, IP-fähigen Überwachungskameras. Diese wurden von der MIRAI-Software gescannt und auf Sicherheitslücken in der Firmware untersucht. Wurde eine Schwachstelle gefunden, installierte die Software ihren Schadcode, sodass die betroffenen Geräte unter anderem für das Ausführen von DDoS-Attacken genutzt werden konnten.
Unternehmen, die dieses Problem angehen wollen, sollten bei der Wahl der Lösung darauf achten, dass sie möglichst viele dieser Geräte „out-of-the-box“ erkennt. Darüber hinaus sollte das System Geräte, die nach Anschaffung der Lösung auf den Markt kommen, selbständig erkennen und für spätere Operationen speichern können.
Fazit:
Um Netzwerke effektiv zu sichern, reicht eine Network Access Control alleine nicht mehr aus, vielmehr bedarf es einer dedizierten Visibility-Lösung, die den gesamten Netzwerkverkehr überwacht.
OT-Geräte stellen aufgrund ihrer oft veralteten Sicherheitsmechanismen ein Sicherheitsrisiko dar, sobald sie mit dem Unternehmensnetzwerk verbunden sind. Gleichzeitig bedeutet eine Außerbetriebnahme zugunsten einer Aktualisierung unerwünschte Produktionsstopps. Die Antwort auf diesen Konflikt ist eine Sichtbarkeitslösung, die Geräten den Zugang zum Netzwerk verwehren kann, wenn sie aufgrund ihres Update-Status unsicher sind.
Nicht nur der Netzwerkzugriff riskanter Geräte kann eingeschränkt werden, auch Sicherheitslösungen anderer Anbieter können verwaltet werden, um beispielsweise einheitliche Security-Richtlinien im Netzwerk durchzusetzen.
Von Stephan von Gündell-Krohne, Sales Director DACH bei ForeScout Technologies Inc.