Leitfaden aus Sicht von Pentestern und Netzwerkanalysten: OT-Sicherheit in den Griff bekommen

Advertorial

Für Neulinge und kleine Teams kann sich OT-Sicherheit anfühlen wie eine Mammutaufgabe. Komplexe, über Jahrzehnte organisch gewachsene und mit äußerstem Pragmatismus betriebene Infrastrukturen müssen plötzlich unter einen Sicherheitsschirm gebracht werden. Während Standards wie das BSI-Kompendium oder IEC 62443 einen Rundumschlag für die Cybersicherheit von OT und IT bereitstellen, können diese Leitfäden Unternehmen schnell überfordern. Gleichzeitig fehlen in der OT in vielen Fällen Grundlagen wie Sichtbarkeit und der Austausch mit der erfahrenen IT. Wo also anfangen?

Dabei muss in vielen OT-Umgebungen längst auch die Cybersicherheit berücksichtigt werden. Das ergibt sich nicht nur aus der Risikobewertung, die im Zuge geopolitischer Anspannungen und wachsender Vernetzung von IT und OT industrielle Infrastrukturen in den Fokus rückt. Spätestens seit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) gibt es für rund 30.000 Unternehmen in Deutschland auch zwingende rechtliche Gründe, sich mit OT-Sicherheit auseinanderzusetzen.

OT-Sicherheit richtig priorisieren

Trotz des externen Drucks sollten Cybersicherheitsteams weder in blinden Aktionismus noch in die Vogel-Strauß-Taktik verfallen (Bisher hat sich erst ein Drittel der von NIS-2 betroffenen Unternehmen beim BSI registriert.). Stattdessen gilt es, diese Herausforderung Schritt für Schritt anzugehen und gut zu priorisieren. Dabei sollte ein risikobasierter Ansatz verfolgt werden. Welche Schlupflöcher gibt es in der eigenen OT? Wie bewegen sich Angreifende? Was benötigen sie, um kritische Prozesse zu stören? Wo existieren blinde Flecken in der eigenen OT? Welche Sicherheitsoptionen bieten die bestehenden Systeme?

Das OT-Sicherheitsunternehmen Rhebo und der Pentester Patrick Latus von ITrocks haben ihre Beobachtungen, Strategien und Erkenntnisse der letzten Jahre in einem Leitfaden zusammengetragen. Das „Playbook für OT-Sicherheit – Nach Art eines Pentesters“ gibt kurz und bündig Empfehlungen, wie die gravierendsten Sicherheitslücken in der OT schnellstmöglich geschlossen werden können. Der Leitfaden erklärt,

• welche Vorbereitungen notwendig sind, um priorisieren zu können;
• welche zehn Härtungsmaßnahmen Pentester und Angreifende abschrecken;
• wie ein Network Intrusion Detection System (NIDS) in der OT aufgebaut wird.

Neben klaren Handlungsanweisungen und praktischen Tipps werden auch zwei Penetrationstests rekapituliert, welche die komplexe Lage der OT-Sicherheit in vielen Unternehmen besonders eindrücklich wiedergeben.

Den Wissenstransfer nutzen

Darüber hinaus stehen viele Unternehmen, die mit NIS-2 erstmals auch ihre OT absichern müssen, vor der Herausforderung des Personalmangels. Zudem muss die Wissensbasis in Bezug auf OT-spezifische Cyberrisiken und -strategien vielerorts erst noch aufgebaut werden.

Woran erkennt man sicherheitsrelevante Vorgänge in der OT? Wie kann ein System zur Angriffserkennung nach den Maßgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) in der OT betrieben werden, ohne dass die empfindlichen und teils kritischen Prozesse beeinträchtigt werden? Wie kann ein NIDS für die OT in die allgemeine IT-Sicherheit integriert werden? Wie sind detektierte Anomalien zu bewerten? Welche Anomalien in der Netzwerkkommunikation sind kritisch?

Fehlende Ressourcen, mangelndes Know-how und ein begrenztes Budget bremsen viele Organisationen bei der Beantwortung dieser Fragen aus. Umso entscheidender ist es, dass Unternehmen bei der Umsetzung ihrer OT-Sicherheit fachkundige Unterstützung erhalten und ein System zur Angriffserkennung in ihrer OT etablieren, das sowohl die gesetzlichen, spezifischen infrastrukturellen und sicherheitstechnischen Anforderungen erfüllt, als auch einfach in der Handhabung bleibt.

Das kann im ersten Moment überwältigend sein. Um trotzdem handlungsfähig zu bleiben, empfiehlt es sich, beim Einsatz von Systemen zur Angriffserkennung auf zwei Punkte zu achten:

1. 1. Die eingesetzten Systeme – insbesondere das für Industrieunternehmen häufig neue NIDS – müssen einfach und zeiteffizient betrieben werden können. Intuitive, aufgeräumte Oberflächen, Fokus auf relevante Funktionen, effektive Filterfunktionen, Schnittstellen zu gängigen SIEM-Systemen wie Splunk und IBM QRadar und eine saubere, sinngebende Darstellung der Anomaliemeldungen sind ein Muss.
2. Der Aufbau und Betrieb des NIDS können schrittweise erfolgen. So ist es sinnvoll, den Betrieb gemeinsam mit dem Hersteller zu starten. Rhebo bietet diese Form des „Co-Piloting“, um die Verantwortlichen im Unternehmen Schritt für Schritt mit dem NIDS und den Eigenheiten der OT-Kommunikation vertraut zu machen. Dabei stehen die schnelle Etablierung der Baseline des NIDS, die Bewertung von Anomaliemeldungen und die Auswahl geeigneter Maßnahmen im Fokus. Der Wissenstransfer wird aktiv betrieben, um die Nutzenden des NIDS zu befähigen, ihre OT-Sicherheit selbstständig überwachen zu können.

Die Einfachheit der Werkzeuge und die Kooperation mit direkten Ansprechpartnern unterstützen die kleinen Cybersicherheitsteams in industriellen Unternehmen so, die Doppelbelastung abzufedern und die OT-Sicherheit in die Umsetzung zu bringen.

Mehr erfahren.