Sicherheitsverantwortliche können nicht schützen, was sie nicht sehen. In der Welt der kritischen Infrastruktursysteme und der Betriebstechnologie (OT) ist das Thema Hochverfügbarkeit entscheidend. Doch es ist schwieriger, alle Geräte zu sehen als in der gewöhnlichen Unternehmens-IT.

Industrielle Umgebungen bestehen nicht nur aus Computern und Webservern. Von intelligenten Pumpen und Roboterarmen bis hin zu automatisierten Beleuchtungssystemen und Smartwatches der Mitarbeiter gibt es eine Vielzahl von Geräten, die nicht mit herkömmlichen IT-Sicherheits-Tools verwaltet werden können.

IT/OT-Integration erfordert vollständige Netzwerktransparenz

Mit der IT/OT-Konvergenz und dem Aufkommen des Internet of Things (IoT) und zusätzlich des Industrial Internet of Things (IIoT) steigt die Zahl der Geräte, die mit den Netzen von Industrieunternehmen verbunden sind, kontinuierlich an. Eine Studie von GSMA Intelligence prognostiziert, dass die Zahl der IoT-Verbindungen weltweit von 10,3 Milliarden im Jahr 2018 auf fast 25 Milliarden im Jahr 2025 steigen wird. Der GSMA-Bericht zeigt auch, dass die intelligente Fertigung das am schnellsten wachsende Segment darstellen wird.

Industrie 4.0-Initiativen fördern die Konvergenz von IT-, OT- und IoT-Geräten und ermöglichen datengesteuerte Entscheidungen, höhere betriebliche Effizienz und Kosteneinsparungen für Unternehmen. Mehr digitale Geräte tragen jedoch auch dazu bei, die Angriffsfläche in industriellen Umgebungen zu vergrößern.

Herkömmliche IT-Geräte in Unternehmen, wie PCs und Server, können durch Endpunktlösungen überwacht werden, da auf ihnen die Installation von Sicherheitsagenten möglich ist. ICS-, OT- und IoT-Geräte können jedoch nicht mit Agenten ausgestattet werden und sind daher aus einer herkömmlichen Sicherheitsperspektive heraus nicht zu verwalten. OT- und IoT-Geräte können über Wi-Fi direkt mit dem Internet verbunden sein. Zudem ist auch eine Verkettung über Protokolle, wie Bluetooth, mit anderen angeschlossenen Geräten möglich.

Beispiele für OT-Geräte sind speicherprogrammierbare Steuerungen (Programmierbare Logik-Controller / PLCs), Mensch-Maschine-Schnittstellen (Human Machine Interface / HMIs), Barcode-Scanner, Roboterarme in einer Produktionslinie, intelligente Gabelstapler und viele mehr. Die Liste der IoT-Geräte ist lang. Einige Beispiele sind:

  • Smartphones, Tablets und Smartwatches,
  • Smart TVs, Beleuchtungssysteme und Sicherheitskameras,
  • Drucker und digitale Assistenten wie Alexa sowie
  • kabellose Tastaturen, Mäuse und Headsets.

Eine von Armis in Auftrag gegebene Studie zeigt, dass 90 Prozent der Geräte in industriellen Umgebungen nicht verwaltet werden. Diese Assets sind ein leichteres Ziel für Cyberangriffe, vor allem da Bedrohungen gegen kritische Infrastrukturen und Hersteller zunehmen, insbesondere in Form von Ransomware. Der BYOD-Trend (Bring your own device), bei dem Mitarbeiter persönliche Geräte für die Verbindung zu Unternehmensnetzwerken verwenden dürfen, und die Einführung von Clouds und virtuellen Maschinen schaffen noch mehr blinde Flecken.

Herausforderungen der Asset-Verwaltung bei „Industrie 4.0“

Sicherheitsteams müssen Aktivitäten und Risiken in verwalteten und nicht verwalteten Geräten sowie in Cloud-, Multi-Cloud- und hybriden Umgebungen erkennen. Hier sind einige der Probleme im Bereich Asset-Management im Industriebereich:

  • Endpunktschutz ist in industriellen Umgebungen, in denen die meisten Geräte keinen Agenten hosten können, unwirksam.
  • Bei der Entwicklung von OT- und IoT-Geräten wird nicht ausreichend auf Sicherheit geachtet.
  • Viele Geräte verfügen über keine einfache Methode zur automatischen Aktualisierung der Firmware.
  • Betriebstechnologie hat einen längeren Lebenszyklus. Ältere Systeme erhalten möglicherweise keine Sicherheits-Patches mehr vom Entwickler.
  • Herkömmliche Netzwerksicherheitssysteme erkennen den drahtlosen Peer-to-Peer-Datenverkehr nicht.
  • Die Netzwerkzugangskontrolle (NAC) überwacht das Verhalten der Geräte nicht.
  • Scans sind störend und können zum Absturz von Betriebssystemen führen, was zu Ausfallzeiten und Sicherheitsrisiken führt.

Man kann OT nicht ohne IT sichern

OT- und IT-Teams müssen immer enger zusammenarbeiten – vor allem jetzt, da der Air Gap, der das ICS-Netzwerk von der Unternehmens-IT bisher trennte, verschwunden ist. Die öffentlichkeitswirksamen Verstöße gegen die Cybersicherheit, die OT betreffen, haben auf der IT-Seite begonnen.

Die WannaCry-Malware, die sich über Computer mit Microsoft Windows verbreitete, hat weltweit zu Produktionsunterbrechungen geführt, wie im Fall des Chipherstellers TSMC und der Renault-Werke. LockerGoga, eine weitere auf Windows abzielende Schadsoftware, führte dazu, dass der Aluminiumhersteller Norsk Hydro seine Produktion vorübergehend einstellen musste und Verluste in Höhe von über 40 Mio. Dollar erlitt.

Wie Gartner in seinem Market Guide for Operational Technology Security feststellt, werden in letzter Zeit vermehrt Taktiken wie Spear-Phishing beobachtet, um sich zunächst Zugang zum IT-Netzwerk zu verschaffen, bevor die Bedrohungsakteure zum OT-Netzwerk übergehen. Eine wirksame Cybersicherheitsstrategie muss eine Gerätetransparenz sowohl im IT-Unternehmen als auch in der Fabrikhalle bieten. Mit anderen Worten: Die Sicherheitslösung muss alle Assets umfassen, sowohl verwaltete als auch nicht verwaltete.

Netzwerkgerätetransparenz ist nötig

Unternehmen wissen nicht, was sich alles in ihren Netzwerken befindet. Oftmals bleiben Assets lange Zeit unbemerkt, zum Beispiel:

  • ein Mitarbeiter-Smartphone, das mehrere Unternehmensnetzwerke scannt,
  • Überwachungskameras, die Teil eines Botnets sind,
  • Amazon Echo im Büro des Vorstandsvorsitzenden hört ununterbrochen zu und übermittelt Daten,
  • Drucker mit einem offenen Hotspot, der zur Umgehung von NAC verwendet werden könnte,
  • Diebstahl von Anmeldedaten durch ein Firmen-Laptop, das mit einem unseriösen Netzwerk verbunden ist,
  • oder ein Thermostat, das zu bestimmten Zeitpunkten eine große Datenmenge überträgt.

Zur Asset-Verwaltung in Echtzeit gehört die Erkennung, Identifizierung und Klassifizierung aller Geräte, die mit dem Netzwerk oder in dem Luftraum verbunden sind. Dabei sollte die Generierung eines umfangreichen Datenspeichers erfolgen, der unter anderem folgende Informationen enthält:

  • Gerätedetails wie Gerätetyp, Hersteller, IP-Adresse, MAC-Adresse und Nutzername,
  • Software-Informationen wie Betriebssystem, Anwendungen und Versionen sowie
  • Verbindungsinformationen wie Verbindungstyp, Traffic-Volumen und -dauer sowie aufgerufene Internetdomänen.

Datenverkehr und Geräteverhalten müssen analysiert werden, einschließlich des Verhaltens von Gerät zu Gerät und der Datenübertragungen über drahtlose Protokolle wie Bluetooth und Zigbee. Beispiele für Risiken sind die Reputation des Herstellers, besuchte bösartige Domains und die Historie von Software-Schwachstellen. Die folgenden Informationen sind in diesem Kontext entscheidend:

  • Auf welche Daten, Anwendungen und Netzwerkressourcen jedes Gerät zugreifen muss,
  • welche Software-Schwachstellen und andere Risiken jedes Gerät aufweist und
  • ob sich jedes Gerät in seinem Kontext normal verhält.

Ein umfassender Fahrplan für ein effektives Cybersecurity Asset Management sollte daher die folgenden vier Aspekte abdecken:

  • Mit der Entdeckung von Assets beginnen: Die Erkennung von Assets ist der erste Schritt zu einer erfolgreichen Cybersicherheitsstrategie in der Ära der Industrie 4.0. Sicherheitsteams müssen wissen, was sich in den Betriebs- und Unternehmensumgebungen befindet, um sowohl OT- als auch IT-Ressourcen zu verwalten.
  • Wissen, wie sich die Assets im Bestand verhalten: Unternehmen müssen auch erkennen, wenn sich Geräte unerwartet verhalten, denn das könnte darauf hindeuten, dass sie gefährdet sind. Mit einer adäquaten Risikobewertung für jedes Gerät kann das Sicherheitsteam leichter Schwachstellen priorisieren und proaktive Schritte unternehmen, um die Angriffsfläche zu minimieren.
  • Assets durchgehend überwachen, aber passiv: Die Echtzeit-Überwachung von Ressourcen und Datenverkehr ist für die aktive Erkennung von Bedrohungen entscheidend. Die passive Überwachung stellt sicher, dass das Netzwerk, die Systeme und Geräte kontinuierlich und ohne Unterbrechung überwacht werden.
  • Verwaltung von Risiken durch automatische Durchsetzung von Richtlinien und Segmentierung: Unternehmen benötigen außerdem die Durchsetzung von Richtlinien in Echtzeit und automatische Abhilfemaßnahmen, um Geräte zu isolieren, Warnungen auszulösen und Software-Updates zu initiieren. Wenn automatisch Segmentierungsrichtlinien erstellt werden, kann die Gefährdung durch Bedrohungen reduziert werden.

Matt Hubbard ist Senior Technical Product Marketing Manager bei Armis.

Armis