Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

In fünf Schritten Cybersicherheit in der OT aufbauen

Advertorial

 

 

Kritische Infrastrukturen und Industrieunternehmen benötigen ein durchgängiges Cybersicherheitssystem, das auch die Operational Technology (OT) einbezieht. Rhebo schließt die Lücke zwischen IT und OT mit Next Generation OT Threat & Intrusion Detection. 

Industrielle Netzwerke sind einem starken Wandel unterworfen. Die zunehmende Digitalisierung und Systemintegration unterstützt die Ziele der Automatisierung, neuer Geschäftsmodelle und Flexibilität. Ergebnisse aus Monitoringprojekten in industriellen OT-Netzwerken zeichnen jedoch auch durchgängig das Bild eines hohen, teils unbekannten Cybersicherheitsrisikos. Das betrifft die Automatisierungstechnik in Industrieunternehmen genauso wie die Netzleit-, Fernwirk- und Prozessleittechnik kritischer Infrastrukturen.

Die fortschreitende Integration von IT und OT öffnet die industriellen Netze in Richtung Unternehmens-IT und damit dem Zugriff und den Cyberrisiken aus dem Internet. Spillover-Effekte aus der Unternehmens-IT auf die OT haben in den letzten Jahren mehrere Industrieunternehmen lahmgelegt.

Die Mehrzahl der OT-Komponenten weisen keine oder nur unzureichende Sicherheitsfunktionen auf. Die Zahl der bekannten CVE-Schwachstellen, die OT beeinträchtigen können, liegt derzeit bei rund 3.000. Für 400 davon gibt es teilweise mehrere öffentliche Exploits. Zwischen 2018 und 2020 ist die Anzahl der CVE-Meldungen um 33 Prozent gestiegen.

Next Generation Threat & Intrusion Detection für die OT

Rhebo schließt die bestehende Lücke in der OT-Sicherheit. Das Next Generation OT Threat and Intrusion Detection System Rhebo Industrial Protector kombiniert Threat Detection, Netzwerkmonitoring und Anomalieerkennung speziell für industrielle Netzwerke.

Das OT-Netzwerkmonitoring überwacht die komplette Kommunikation sowohl zwischen den Komponenten des Netzwerks, als auch nach und von außen. Dadurch schaffen die Verantwortlichen erstmals vollständige Sichtbarkeit in ihrer OT inklusive aller Geräte, Systeme, Verbindungen und Verbindungseigenschaften wie Protokolle und Kommunikationsfrequenz (Abb. 1). Das Monitoring funktioniert passiv über Netzwerk-Taps oder Mirrorports, um die in der Regel kapazitätslimitierte Infrastruktur nicht zu belasten.

Threat Detection und Anomalieerkennung befähigen, auch unbekannte Bedrohungen, die von signaturbasierten Sicherheitswerkzeugen übersehen werden, frühzeitig zu erkennen (Abb. 2). So wird auch schädliche Kommunikation gemeldet, die entweder über autorisierte Kanäle (z. B. Administratorzugang) erfolgt oder andere Verschleierungstaktiken nutzt. Die vom OT-Monitoring mitgelesene Kommunikation wird hierfür per Deep-Packet-Inspection bis auf Anwendungsebene analysiert. Abweichungen vom zu erwartenden Kommunikationsmuster – wie Cyberangriffe, Manipulation, Scans und technische Fehlerzustände – (sogenannte Anomalien) werden in Echtzeit gemeldet.

Der Ansatz der Anomalieerkennung ist in klassischen IT-Netzen untypisch, da dort die hohe Varianz und Dynamik der Kommunikation die Anwendung einschränkt. In der OT dagegen ist er absolut sinnvoll und erfolgreich, denn die Kommunikation verläuft hier planbar, wiederholend und somit vorhersagbar.

Schritt für Schritt Cybersicherheit in der OT integrieren

Wie in der IT-Sicherheit ist in der OT ein schrittweiser Aufbau des Systems zur Angriffserkennung sinnvoll. Der Prozess sollte mit einer detaillierter Risikoanalyse beginnen, wie sie in der ISO 27000 und ISO 62443 definiert ist. Rhebo unterstützt seine Kunden hierbei mit einem logisch aufgebauten Fünf-Stufen-Plan.

1. Schritt: Grundkonzept erstellen

Dauer: zwei Tage bis vier Wochen.

OT-Expert:innen identifizieren und bewerten mit den Anlagenverantwortlichen, Sicherheitsbeauftragten und der Netzwerk-Administration die Architektur, technischen Feinheiten, Funktionen und Abhängigkeiten in der OT. Aus diesen wird abgeleitet, welche Segmente, Schnittstellen und Standorte im Einzelnen betrachtet werden müssen.

2. Schritt: Asset Discovery & Inventory

Dauer: rund zwei Wochen.

Im Rahmen eines initialen Rhebo Industrie 4.0 Stabilitäts- und Sicherheitsaudits wird über das OT-Monitoring die gesamte Kommunikation innerhalb der OT aufgezeichnet. Die Integration (Abb. 3) erfolgt minimal-invasiv über Mirrorports, Netzwerk-Taps oder als Software auf bereits bestehenden OT-Komponenten (z. B. von Barracuda, Bosch Rexroth, Cisco, INSYS icom, RAD, Siemens Ruggedcom oder Welotec). Die Datensammlung erfolgt passiv und rückwirkungsfrei. Die Verantwortlichen erhalten damit den Innenblick auf ihre OT und erfahren u. a.: 

  • welche Geräte und Systeme in der OT existieren,
  • wie diese miteinander vernetzt sind und kommunizieren,
  • welche Protokolle genutzt werden,
  • welche Befehlsstrukturen und Wechselwirkungen bestehen,
  • welche Firmware-Version auf den Geräten läuft.

 

3. Schritt: Risiko- und Schwachstellenanalyse

Dauer: rund zwei Wochen.

OT-Expert:innen prüfen die gesammelten Daten per integrierter Anomalieerkennung auf Gefährdungsparameter. Das können sein: 

  • bekannte Schwachstellen
  • unnötige/unsichere Protokolle
  • Verbindungsversuche ins Internet (z. B. automatische Updates, Fehlkonfigurationen, Schadsoftware)
  • auffällige Verhaltensmuster
  • Kommunikationsabbrüche.

 

Die Analyse bildet die Grundlage dafür, Maßnahmen festzulegen und den Umfang der finalen OT Threat & Intrusion Detection zu bestimmen.

4. Schritt: Maßnahmenumsetzung

Dauer: rund zwölf Wochen.

Auf organisatorischer Ebene setzt das Unternehmen die Cybersicherheitsrichtlinien um und schult Personal und Dienstleistungsunternehmen. Auf technischer Ebene werden die Segmentierung optimiert und die Komponenten des Systems zur Angriffserkennung in die OT integriert. Weiterhin werden in Abstimmung mit den OT-Expert:innen identifizierte Schwachstellen, Redundanzen und Fehlkonfigurationen beseitigt. Das so bereinigte Kommunikationsmuster der OT bildet anschließend die Blaupause für die OT Threat & Intrusion Detection Rhebo Industrial Protector. Da das System bereits in Schritt 2 in der OT installiert wurde, kann der Testbetrieb direkt starten.

5. Kontinuierliche, durchgängige Cybersicherheit

Der Übergang in den Normalbetrieb ist der kritischste Punkt der Umsetzung. Hier empfiehlt sich ein schrittweiser Übergang vom Managed Service zum Eigenbetrieb. Unternehmen können den betreuten Betrieb nutzen, um die Belegschaft im Umgang mit dem System vertraut zu machen. Das OT Threat & Intrusion Detection System und andere Sicherheitskomponenten sollten an das zentrale Security Information and Event Management (SIEM) angebunden werden, um einen ganzheitlichen Blick für Trendanalysen und Risiken in der IT und OT zu erlangen. Weiterhin empfiehlt es sich, in den ersten Jahren und bei Anpassungen die Risikoanalyse in Form von Stabilitäts- und Sicherheitsaudits zu wiederholen. So lassen sich regelmäßig die umgesetzten Maßnahmen auf ihre Wirksamkeit prüfen und weiter verbessern. 

Die Lösungen von Rhebo werden auf der ITSA auf den Ständen der EnBW Full Kritis Service und IBM QRadar vorgestellt.

Autor: Klaus Mochalski (CEO, Rhebo)

Rhebo-logo 

 

 

 

2021-08-Rhebo-Industrial-Protector30-GUI-Netzwerkkarte-Details-DE-min

Abb. 1: Rhebo Industrial Protector visualisiert alle Systeme und Verbindungen innerhalb der OT und analysiert die Kommunikation fortlaufend auf schädliche Vorgänge.

 

2021-08-Rhebo-Industrial-Protector30-GUI-Meldungen_DE-min

Abb. 2: Rhebo Industrial Protector meldet eine Abweichung im zu erwartenden Kommunikationsmuster eines Gerätes (hier: neuer Endpunkt erscheint in der OT und beginnt, über Protokoll IEC-60870-5-104 zu kommunizieren)

 

Rhebo-Deployment-Kritis-2021-08_DE-highlighted-min

Abb. 3: Rhebo Industrial Protector kann rückwirkungsfrei als Hardware-Sensor oder als Software-Sensor auf bestehenden OT-Komponenten in die OT integriert werden.

 

 

 

Teaserfoto: © Adobe Stock/Alex