Da Organisationen immer stärker global vernetzt und digital abhängig sind, gehen Cyber-Sicherheitsbedrohungen über die IT-Infrastruktur hinaus. Operational Technology (OT)-Systeme sind zunehmend Ziele von Cyberangriffen. OT war schon immer ein Ziel, aber aufgrund der Vernetzung steigt die Wahrscheinlichkeit einer Kompromittierung. Das Risiko für IT-Systeme hängt hauptsächlich mit den digitalen Assets eines Unternehmens zusammen, und OT-Risiken können zu physischen Schäden oder sogar zu Personenschäden (sicherheitsrelevante Vorfälle) führen.
In einem Artikel von McKinsey werden die Risiken von OT-Angriffen als größer als die von IT-Angriffen eingestuft: „OT-Cyberangriffe haben tendenziell höhere, negativere Auswirkungen als IT-Angriffe, da sie physische Folgen haben können...“ Obwohl OT und IT Gemeinsamkeiten aufweisen, erfordert die Sicherung dieser Umgebungen unterschiedliche Strategien.
Für Organisationen, die auf beide Systeme angewiesen sind, ist es von entscheidender Bedeutung, die Unterschiede zwischen OT- und IT-Cybersicherheit zu verstehen, da Angriffe oder Sicherheitsverletzungen auf einem System auf das andere übergreifen können.
IT versus OT – Was ist der Unterschied?
- IT (Informationstechnologie) befasst sich in erster Linie mit Systemen, die Daten verwalten, einschließlich Computern, Servern und Netzwerken. Ihr Schwerpunkt liegt auf der Gewährleistung eines angemessenen Gleichgewichts zwischen den drei Aspekten der CIA-Triade (Vertraulichkeit, Integrität und Verfügbarkeit), um Daten so effektiv wie möglich zu schützen, ohne den Geschäftsbetrieb zu beeinträchtigen.
- OT (Operational Technology) laut NIST ist OT definiert als programmierbare Systeme oder Geräte, die mit der physischen Umgebung interagieren (oder Geräte verwalten, die mit der physischen Umgebung interagieren). Diese Systeme/Geräte erkennen oder verursachen eine direkte Veränderung durch die Überwachung und/oder Steuerung von Geräten, Prozessen und Ereignissen. Beispiele hierfür sind industrielle Steuerungssysteme (ICS), Gebäudemanagementsysteme, Brandschutzsysteme und physische Zugangskontrollmechanismen. Diese Systeme überwachen und steuern physische Geräte wie Turbinen, Förderbänder und andere Geräte.
OT und IT-Cybersicherheit – zwei Paar Schuhe
IT- und OT-Systeme stehen aus vielen Gründen vor sehr unterschiedlichen Herausforderungen im Bereich der Cybersicherheit, da sie sehr unterschiedlichen Zwecken dienen. Zum einen werden IT-Systeme in der Regel regelmäßig aktualisiert, und Netzwerke sind für den Informationsaustausch ausgelegt. Bei OT hingegen stehen die Sicherheit und der reibungslose Betrieb im Vordergrund. Viele OT-Systeme basieren auf einer jahrzehntealten Infrastruktur, die schwieriger zu aktualisieren ist, und Unterbrechungen – selbst für Wartungsarbeiten – können zu erheblichen Störungen führen.
Auch die Risiken sind für IT und OT unterschiedlich. IT-Angriffe zielen oft auf Daten oder Finanzen ab, während OT-Angriffe reale Folgen wie physische Schäden oder Sicherheitsrisiken haben können. Zu den wichtigsten Unterschieden zwischen der IT- und der OT-Cybersicherheit gehören:
- Verschiedene Bedrohungen
Zu den Bedrohungen der IT-Cybersicherheit gehören Phishing-Angriffe, Malware, Ransomware und Insider-Bedrohungen, wobei finanzielle Gewinne das Hauptmotiv sind. Laut dem „Verizon Data Breach Incident Report 2024“ sind fast 90 % der Verstöße finanziell motiviert und beinhalten oft Datendiebstahl oder die Geiselnahme von Systemen. Abgesehen von finanziellen Verlusten können diese Angriffe Organisationen erheblichen Reputationsschaden zufügen.
Systeme der Betriebstechnologie (OT) sind ähnlichen Bedrohungen ausgesetzt, haben aber auch mit einzigartigen Risiken zu kämpfen, wie z. B. Angriffen, die durch Manipulation von Industrieprozessen oder Beschädigung von Maschinen physische Schäden verursachen. Ein bemerkenswertes Beispiel ist der Cyberangriff auf das ukrainische Stromnetz im Jahr 2015, der den Energiefluss unterbrach.
Darüber hinaus kommt es immer häufiger zu domänenübergreifenden Angriffen, bei denen Angreifer Lücken zwischen IT- und OT-Systemen ausnutzen. Die Silos in Prozessen, Menschen und Technologien in diesen Umgebungen bieten Möglichkeiten für Kompromisse, sodass Angreifer eine Domäne durchbrechen können, um die andere ins Visier zu nehmen.
- Unterschiedliche Prioritäten
In IT-Umgebungen konzentrieren sich die Bemühungen auf den Schutz sensibler digitaler Daten, die Sicherstellung der Systemverfügbarkeit, die Überprüfung von Zugriffsrechten und die Verhinderung von Sicherheitsverletzungen oder unbefugtem Zugriff. Die Einhaltung von Vorschriften wie DSGVO, HIPAA, PCI-DSS und NIS2 bestimmt auch die Prioritäten der Sicherheits- und IT-Teams.
In OT-Umgebungen steht die Sicherheit des Menschen an erster Stelle, gefolgt von der Betriebskontinuität. Die Folgen eines Cyberangriffs auf OT-Systeme können katastrophal sein und zu Geräteschäden, Sicherheitsrisiken, Betriebsunterbrechungen und Unterbrechungen führen, die Menschenleben gefährden können. Einer der bekannteren Angriffe auf physische Systeme war Stuxnet. Der Angriff führte dazu, dass sich Zentrifugen über die Auslegungskapazität hinaus bis zum Ausfall drehten (durch Deaktivierung von Überwachungssystemen und -funktionen), wodurch der Anlagenbetrieb gestört wurde.
- Unterschiedliche Lebenszyklen von Systemen
IT-Systeme haben oft kürzere Lebenszyklen, mit regelmäßigen Hardware- und Software-Updates zur Verbesserung der Sicherheit und Funktionalität. So werden beispielsweise Firmenlaptops in einem Zyklus von 18 bis 36 Monaten erneuert. SaaS-Plattformen veröffentlichen oft mehrere Updates im Laufe eines Jahres oder sogar eines Quartals, um auf Kundenbedürfnisse oder andere Marktveränderungen einzugehen. Der Chrome-Browser, eine der am weitesten verbreiteten Geschäftsanwendungen, hat im Jahr 2024 monatliche Veröffentlichungen herausgebracht.
OT-Systeme können jedoch Lebenszyklen von mehreren Jahrzehnten haben. Diese Systeme sind nicht für häufige Aktualisierungen ausgelegt und laufen möglicherweise auf veralteter oder nicht unterstützter Software oder Hardware, wodurch sie anfälliger für Cyberangriffe sind. In stark regulierten Branchen wie Kernkraftwerken sind diese jahrzehntelangen Lebenszyklen aufgrund der Komplexität der Zertifizierung neuer Geräte erforderlich.
- Unterschiedliche Konnektivität
IT-Netzwerke sind traditionell offen und miteinander verbunden, um die gemeinsame Nutzung und den Austausch von Daten über verschiedene Systeme und Standorte hinweg zu erleichtern. OT-Systeme wurden in der Vergangenheit isoliert betrieben oder ohne Verbindung zu externen Netzwerken abgeschottet. Mit dem Aufkommen von Industrie 4.0 und dem industriellen Internet der Dinge (IIoT) werden OT-Systeme jedoch zunehmend mit IT-Netzwerken verbunden, wodurch neue Angriffsflächen entstehen.
- Unterschiedliche Sicherheits-Patches
In IT-Umgebungen ist das Patch-Management ein Routineprozess, bei dem regelmäßig Sicherheitsupdates angewendet werden, um Schwachstellen zu minimieren. „Patch Tuesday“ ist ein gängiger Begriff unter Sicherheits- und IT-Fachleuten und verdeutlicht, wie häufig diese Updates veröffentlicht werden. Da es sich bei der IT, wie bereits erwähnt, um eine sehr offene und vernetzte Umgebung handelt, können diese Patches schnell in einem weltweit verteilten Unternehmen bereitgestellt werden. Dies kann ein enormer Vorteil sein, aber auch ein massives, weit verbreitetes Problem verursachen, wenn der zugrunde liegende Patch Fehler enthält.
In der OT kann das Anwenden von Patches (sofern sie überhaupt verfügbar sind) eine Herausforderung darstellen, da Systeme oft kontinuierlich laufen und nicht schnell offline genommen werden können. Selbst eine kurze Ausfallzeit für das Patchen kann möglicherweise kritische Vorgänge stören. OT-Systeme reagieren empfindlicher auf Änderungen, und ein Patch könnte versehentlich eine Fehlfunktion verursachen. Einige OT-Systeme sind abgelegen und nicht verbunden, wie Offshore-Öl- und Gasplattformen, was eine zusätzliche Herausforderung darstellt – insbesondere, wenn Mitarbeiter an mehreren Standorten eingesetzt werden müssen, um Systeme physisch zu aktualisieren.
- Unterschiedliche physische Auswirkungen
Cyberangriffe auf IT-Systeme zielen in der Regel darauf ab, Daten zu stehlen (z. B. Spionage), finanziellen Schaden zu verursachen (z. B. Ransomware) oder den Betrieb zu stören (z. B. Wiper). Die Auswirkungen dieser Angriffe beschränken sich in der Regel auf virtuelle, finanzielle oder datenbezogene Schäden. OT-Cyberangriffe können jedoch zu physischen Schäden an kritischer Infrastruktur führen, darunter Energienetze, Wasseraufbereitungsanlagen und Transportsysteme. Solche Angriffe können Menschenleben gefährden und weitreichende Störungen verursachen.
OT und IT: Unterschiedliche Sicherheitsansätze
Aufgrund der oben diskutierten Unterschiede und der Tatsache, dass sie in unterschiedlichen Umgebungen mit einzigartigen Prioritäten arbeiten, gehen IT und OT sehr unterschiedlich mit den wichtigsten Grundsätzen der Cybersicherheit um. Insbesondere:
- Segmentierung und Netzwerkisolation
Eine der bewährten Methoden zur Sicherung von OT-Systemen ist die Netzwerksegmentierung, die sicherstellt, dass kritische OT-Systeme von IT-Netzwerken isoliert werden, um Angriffsflächen zu minimieren. Dadurch wird die Fähigkeit von Angreifern eingeschränkt, sich seitlich zwischen OT- und IT-Umgebungen zu bewegen. Der Nachteil ist, dass diese Isolierung zusätzliche Sicherheitsstrategien und -kontrollen erfordert, die beide Umgebungen abdecken, was zusätzliche Software, Hardware und Personal bedeuten kann.
- Echtzeitüberwachung
IT-Umgebungen verfügen in der Regel über Echtzeit-Überwachungstools, um anormales Verhalten zu erkennen und potenzielle Bedrohungen zu identifizieren. Cybersicherheitslösungen wie Data Loss Prevention (DLP) können verhindern, dass Daten das Unternehmen verlassen, Continuous Threat Exposure Management (CTEM) kann die größten Risiken für kritische Assets identifizieren und Endpoint Detection and Response (EDR) kann Geräte überwachen, um Cyberbedrohungen wie Ransomware und Malware zu erkennen und darauf zu reagieren. Echtzeitüberwachung ist auch für die Cybersicherheit in der OT von entscheidender Bedeutung, aber aufgrund der Sensibilität der Vorgänge weitaus komplexer. Jedes OT-Sicherheitsüberwachungssystem muss sicherstellen, dass es die physischen Prozesse, die das OT-System steuert, nicht versehentlich unterbricht.
- Reaktionsplanung bei Vorfällen
Während IT-Teams häufig Reaktionspläne für Vorfälle wie Datenschutzverletzungen oder Systemausfälle erstellt haben, benötigen OT-Umgebungen maßgeschneiderte Pläne, die potenzielle physische Schäden und Sicherheitsrisiken berücksichtigen. Bei der Reaktion auf Vorfälle in OT müssen die Betriebskontinuität und die Sicherheit der Mitarbeiter Vorrang haben, und die Reaktionsprotokolle sollten unter Berücksichtigung dieser Aspekte erstellt werden.
Das Fazit
Die Konvergenz von IT- und OT-Systemen in der heutigen Industrie- und Unternehmensumgebung schafft neue Herausforderungen im Bereich der Cybersicherheit. Durch die Zunahme vernetzter Geräte und IIoT-Technologien sind OT-Systeme denselben Cyber-Bedrohungen ausgesetzt, die die IT seit Jahrzehnten plagen. Da diese Systeme jedoch für physische Prozesse von entscheidender Bedeutung sind, erfordert ihre Sicherung einen einzigartigen Ansatz für die OT-Sicherheit, bei dem Sicherheit und betriebliche Integrität im Vordergrund stehen.
In der Vergangenheit wurden IT und OT innerhalb von Organisationen getrennt voneinander betrieben, wobei es kaum oder gar keine Zusammenarbeit gab. Ab einer bestimmten Größe und einem bestimmten Umfang einer Organisation trennen sich die Rollen der IT- und OT-Sicherheit aufgrund der jeweils erforderlichen Spezialisierung. Im Zeitalter der digitalen Transformation müssen diese Teams jedoch zusammenarbeiten, um eine umfassende Cybersicherheit zu gewährleisten. Die Abstimmung von IT und OT erfordert eine gemeinsame Steuerung, Kommunikation, Tools und Prozesse sowie ein Verständnis für die unterschiedlichen Prioritäten und Herausforderungen der einzelnen Bereiche.
Organisationen können effektive Cybersicherheitsstrategien implementieren, die ihre digitalen Assets und physischen Abläufe schützen, indem sie die wichtigsten Unterschiede und Schwachstellen von IT- und OT-Systemen verstehen. Ob durch Netzwerksegmentierung, Echtzeitüberwachung oder Zusammenarbeit zwischen IT- und OT-Teams – das Ziel besteht darin, Risiken zu minimieren und gleichzeitig sicherzustellen, dass kritische Abläufe ununterbrochen weiterlaufen. So wie sich die Branchen weiterentwickeln, sollte auch ihr Cybersicherheitsansatz weiterentwickelt werden, um sicherzustellen, dass IT- und OT-Umgebungen vor immer ausgefeilteren Bedrohungen geschützt sind.
Weitere Informationen:
Continuous Exposure Management
XM Cyber deckt auf, wie Angreifer Ihre Umgebung ausnutzen können – vollautomatisch. Unsere Lösung visualisiert sämtliche Angriffspfade zu kritischen Ressourcen in einem Diagramm. So können Sie sich auf die 2 % der Fixes konzentrieren, mit denen sich die wirklich relevanten Angriffspfade durchkreuzen lassen – und vergeuden keine Zeit mehr mit Maßnahmen, die sich nicht auf Ihr Risiko auswirken.
Bild/Quelle: https://depositphotos.com/de/home.html