NIS-2 und die Operational Technology: (K)ein Trauermärchen
NIS-2 ist keine reine IT-Sicherheitsübung. Die Gesetzgebung verankert Cybersicherheit auch in industriellen Infrastrukturen. Die Herausforderung besteht darin, die sogenannte OT-Sicherheit schlank, handhabbar und dennoch konsequent und sinnvoll umzusetzen. Gründe dafür gibt es für Unternehmen auch abseits der Paragraphen genug.
Die NIS-2-Richtlinie und das daraus resultierende NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bedeuten für Tausende deutsche Unternehmen in mehrfacher Hinsicht Neuland. Zum einen werden sie ab Oktober 2024 gesetzlich zu nachweisbarer Cybersicherheit verpflichtet. Zum anderen müssen sie sich erstmals auch gezielt mit der Cybersicherheit ihrer industriellen Infrastrukturen – der Steuerungs- und Prozessleittechnik beziehungsweise der Operational Technology (OT) – auseinandersetzen.
Stand Mai 2024 verpflichtet § 30 (1) des Referentenentwurfs des NIS2UmsuCG Einrichtungen dazu, „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dabei sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen.”
Dieser Absatz des NIS2UmsuCG gibt der OT gleich doppeltes Gewicht:
- Der Verweis auf die für die Leistungserbringung relevanten Systeme macht die OT automatisch zur essenziellen Infrastruktur, da sie für die Wertschöpfung unabdingbar ist.
- Der Fokus auf die Risikoexposition gibt der OT einen besonderen Stellenwert, denn OT-Komponenten und -Netze waren in der Vergangenheit von Cybersicherheit komplett ausgenommen.
Es gibt keine sichere OT
Dass die OT im Kern unsicher ist, lag (und liegt noch immer) am Fokus der Komponentenhersteller und Betreibenden auf Verfügbarkeit, Prozessstabilität und Einfachheit. Die Cybersicherheit hat erst in den letzten Jahren aufgrund der zunehmenden OT-Störungen durch Cyberangriffe an Relevanz gewonnen (siehe Abbildung 1).
Abbildung 1: Öffentlich bekannt gewordene Cyberangriffe auf industriell geprägte Unternehmen nehmen jährlich zu.
Das bestätigen auch die Schwachstellenanalysen, die wir initial bei der Implementierung eines Angriffserkennungssystems in den OT-Netzen unserer Kunden durchführen: 2023 identifizierten wir durchschnittlich 26 versteckte Schwachstellen in OT-Netzen, welche die Sicherheit und/oder Verfügbarkeit der Anlagen bedrohten (siehe Abbildung 2).
Abbildung 2: OT-Netzwerke stecken voller unbekannter Schwachstellen und Cyberrisiken.
Unsichere Authentifizierungsmethoden fanden sich in fast allen Netzen genauso wie veraltete und nicht benötigte Protokolle und Dienste. Meist wurden die Betreiber erst durch die Analysen auf die Schwachstellen aufmerksam. Denn neben fehlender Sicherheit mangelt es in der OT vor allen Dingen einem: Sichtbarkeit.
Was braucht die OT an Maßnahme?
Grundsätzlich gelten mit NIS-2 für OT-Netze die gleichen Sicherheitsanforderungen wie für die Unternehmens-IT. Allerdings ergeben sich bei der Umsetzung in der OT einige Schwierigkeiten, die sich aus der spezifischen Zielsetzung ableiten. Verfügbarkeit, Prozessstabilität und Kontinuität stehen in der OT weit vor den Zielen Sicherheit und Integrität. Darüber hinaus ergeben sich aus den OT-spezifischen Eigenschaften einige Konflikte mit NIS-2, wie in Tabelle 1 auf der nächsten Seite dargestellt.
Abbildung 3: OT-Sicherheit basiert auf der Sichtbarkeit aller Assets im Netzwerk mit den dazugehörigen Eigenschaften.
Die Ziele einer sinnvollen OT-Sicherheitsstrategie müssen deshalb sein:
1. Sichtbarkeit auf die Assets und Sicherheitsvorfälle zu schaffen,
2. die bestehenden Restrisiken und Schwachstellen zu kennen und zu kontrollieren (das heißt, zu überwachen),
3. das Sicherheitsteam zu befähigen, schnell und gezielt auf Störungen zu reagieren,
4. internes OT-Sicherheits-Know-how aufzubauen.
Reichen Firewalls und SIEM?
Auch in der OT-Sicherheit bleiben Firewalls, Segmentierung und Security-Information-and-Event-Management-(SIEM)-Systeme wichtige Elemente der Angriffsabwehr, haben aber ihre klaren Grenzen. Klassische Firewalls erkennen weder die vielen Zero-Day-Schwachstellen noch bösartige Netzwerkzugriffe, die authentische Zugangsdaten (stolen credentials) ausnutzen.
Zwischen 2018 und 2022 stieg der Anteil der Angriffe ohne Malware von 39 Prozent auf 71 Prozent. Diese beruhen zu einem Großteil auf gestohlenen Zugangsdaten. Sind die Angreifer erst einmal im Netzwerk, hilft keine Firewall mehr – und die OT-Komponenten empfangen neue Nutzer gern mit offenen Armen.
Ein SIEM wiederum benötigt Unmengen an Daten, um Angriffsmuster zu erkennen. Ohne ein dediziertes OT-Monitoring, das diese Daten aus der OT-Kommunikation liefert, bleibt selbst das beste SIEM auf dem OT-Auge blind.
NIS-2-Herausforderungen bewältigen
Die Sichtbarkeit (siehe Abbildung 3) und die Kontrolle des Restrisikos sind daher zentrale Themen der OT-Sicherheit. Beide Ziele können durch ein netzwerkbasiertes Intrusion-Detection-System (Network-Intrusion-Detection-System, NIDS) erreicht werden. Es nutzt dabei die Eigenschaft der deterministischen, repetitiven Kommunikation in OT-Netzen, um Bedrohungen in Echtzeit zu erkennen, zu dokumentieren und zu melden.
Tabelle 1: Die NIS-2-Anforderungen bergen in der OT einiges an Konfliktpotenzial.
Es überwacht den gesamten laufenden Verkehr im OT-Netz, vergleicht ihn mit der Baseline und meldet Abweichungen. Ein NIDS, das die OT schützt und zugleich die Betreibenden gegenüber der geltenden Rechtsprechung absichert, muss dabei einige spezielle Anforderungen erfüllen:
- Es darf die OT weder bei der Integration noch im Betrieb beeinträchtigen. Das NIDS agiert passiv und rückwirkungsfrei, um sowohl die limitierte Bandbreite als auch die industriellen Prozesse nicht zu stören.
- Es muss alle in der OT relevanten industriellen Protokolle analysieren können.
- Es sollte alle Unregelmäßigkeiten erkennen, inklusive Anomalien, die bislang unbekannt sind oder über autorisierte Kanäle erfolgen, zum Beispiel Admin-Konten, Wartungszugänge, installierte Softwareupdates. Dadurch wird auch die NIS-2-Anforderung erfüllt, andere Sicherheitssysteme wie Firewalls oder Authentifizierungssysteme auf fehlerfreies Funktionieren zu überprüfen (Defense-in-Depth).
- Es sollte unabhängig von den Systemherstellern sein und funktionieren, um Vendor Lockin und Überwachungslücken zu vermeiden.
- Es muss einfach zu bedienen sein. Sinnvolle Filter, aufgeräumte Oberflächen, automatisierte Risikobewertungen und Schnittstellen zu gängigen SIEM-Systemen wie Splunk und IBM QRadar reduzieren den internen Arbeitsaufwand im Betrieb. Treten bei identifizierten Anomalien Fragen auf, sollte ein Supportteam zur Verfügung stehen, um die Meldung zu analysieren.
In der OT (und auch in der IT) gibt es schon lange keine absolute Sicherheit mehr. Mit dem Fokus auf die Sichtbarkeit und Überwachung des Restrisikos schaffen Unternehmen eine Basis, um mit dieser permanenten Unsicherheit umzugehen. Dieses Prinzip des Defense-in-Depth in der OT-Sicherheit schützt die Perimeter mithilfe von bekannten Sicherheitsmechanismen vor gängigen Angriffsmustern, während ein NIDS die innere Sicherheit gewährleistet, erfolgreiche Netzwerkeinbrüche erkennt und alle verdächtigen Veränderungen meldet und dokumentiert.
Dieses mehrstufige Sicherheitskonzept schafft nicht nur Rechtssicherheit. Es ist auch eine effektive Antwort auf die Herausforderungen von NIS-2 in der OT und die sich rasant verändernde Gefährdungslandschaft durch staatliche und kriminelle Akteure.
Uwe Dietzmann ist Sales Manager bei der Rhebo GmbH.