Risikomanagement in der OT-Sicherheit
Risiken bewerten, kosteneffizient schützen
Zwei Komponenten tragen maßgeblich zum Schutz der industriellen IT bei: Zuerst die Visualisierung und Überwachung der OT-Netzwerke, etwa mit einem Network Intrusion Detection System (IDS). Noch weiter können Firmen mit dem Betrieb einer Plattform gehen, die auf Basis aktueller Standards laufend Risiken in den Netzen bewertet.
Bild: ©industrieblick/stock.adobe.comBei der digitalen Transformation werden stetig mehr physische Geräte auf allen Ebenen der Produktion vernetzt. Diese Vernetzung bringt jedoch auch hochkritische Produktionsumgebungen hervor, die Angriffsflächen für Cyberattacken bieten. In der Produktion von Gefahrstoffen etwa können OT-Cyberangriffe nicht nur finanzielle Folgen haben: Es drohen Umweltschäden und die Gefährdung von Menschenleben. Ein weltweit tätiger Produzent von Spezialchemikalien sah sich einem besonders großen Sicherheitsrisiko ausgesetzt: Die Produktionslinien sind unternehmensweit miteinander vernetzt und dutzende Anlagen laufen mit unterschiedlichen Systemtypen und Topologien. Das bestehende Cyber-Sicherheitssystem deckte zwar die IT-Netzwerke gut ab. Als dieses jedoch auf die OT-Netzwerke angewendet wurde, zeigten sich gefährliche Funktionslücken. Beispielsweise konnte das System die spezifischen Netzwerkprotokolle nicht verarbeiten. Auch war es nicht möglich, alle Anlagen an jedem Standort zu erfassen. Daraufhin identifizierte das Unternehmen Anforderungen, um Angriffe auf seine verteilten OT-Netzwerke frühzeitig erkennen zu können: Das Cyber-Security-System sollte sämtliche OT-Assets kontinuierlich überwachen, Bedrohungen genauso wie Anomalien erkennen, aktiv vor ihnen warnen, Logikänderungen an allen industriellen Steuerungen verfolgen und schließlich Alarme an das Security Information and Event Management System, SIEM, melden.
Alles sichtbar machen
Die Entscheidung fiel auf Radiflow, ein Security-Anbieter, der auf kritische industrielle Geschäftsabläufe spezialisiert ist. Dessen 'Industrial Threat Detection System' (iSID) kann, an einem zentralen Standort eingesetzt, Bedrohungen an beliebig vielen entfernten Standorten erkennen - oder alternativ lokal an jedem einzelnen Standort. Auch eine Kombination aus beiden Ansätzen ist möglich. Im Anwendungsszenario wurde lokal in jeder Produktionsanlage eine iSID-Einheit installiert. Da jede Anlage mehrere Subnetze umfasst, erhielt jedes Subnetz zusätzlich einen 'iSAP Smart Collector'. Dieses Gerät ermöglicht es, einen gespiegelten Strom des gesamten TCP/IP-Datenverkehrs an das lokale iSID zu senden. An jedem Standort installiert, empfangen die Smart Collectors den gesamten LAN-Verkehr vom lokalen Switch und filtern die Daten. Diese werden komprimiert und über VPN-Tunnel an das zentrale iSID gesendet. iSID kann die gesammelten Daten nutzen, um ein Modell der Netzwerktopologie zu visualisieren. Die Visualisierung des Netzwerkes enthält alle Anlagen, Ports und Protokolle mit ihren vollständigen Eigenschaften und ordnet diese jeweils den entsprechenden Geschäftsprozessen zu.
Den Angreifern voraus
Um auch für zukünftige Bedrohungslagen gewachsen zu sein, sollten Unternehmen die Sicherheitsarchitektur so optimieren, dass sie den Angreifern die sprichwörtliche Nasenlänge voraus sind. Dies erfordert eine Priorisierung der Sicherheitsmaßnahmen. Im McKinsey-Bericht 'Risk-based approach to cybersecurity' heißt es: "Die fortschrittlichsten Institutionen gehen von einem 'maturity based'- zu einem 'risk based'-Ansatz für das Management von Cyberrisiken über." Bei einem risikobasierten Netzwerkschutz sollten sich die Aktivitäten - basierend auf Bedrohungsdaten - auf zwei Faktoren konzentrieren: Erstens auf die Angreifer und Angriffstechniken, die das Netzwerk tatsächlich bedrohen, und zweitens auf die Geschäftseinheiten, die am kritischsten sind. Die Risikobewertung des Netzwerks ergibt sich aus der Summe der Wahrscheinlichkeit eines Angriffs - bezogen auf einzelne Geschäftseinheiten -, gewichtet mit der Auswirkung, die ein Angriff verursacht, beispielsweise ein finanzieller Verlust. Das Ziel ist eine Risikobewertung, die ständig aktuell ist sowie eine priorisierte Liste von Maßnahmen, die die Kosteneffizienz der OT-Sicherheitssysteme sicherstellen. Angriffe auf automatisierte Netzwerke können simuliert und die effektivsten Abwehrmaßnahmen priorisiert werden. Sicherheitsverantwortliche wie CISOs (Chief Information Security Officer) verfügen damit über ein Instrument für datengesteuerte Entscheidungen.
Mehr als nur Alarmierung
Die aktuelle Bedrohungslage erfordert einen ganzheitlichen Ansatz zur Absicherung industrieller Abläufe, der mehr leistet als die Alarmierung bei Cyper-Angriffen. CISOs müssen die Netzwerksicherheit tiefer in die langfristige Planung und den täglichen Betrieb integrieren und ihre Risikoposition und ihre einzigartige Bedrohungslandschaft auf Basis verlässlicher Daten überwachen und bewerten. Auf OT-Netzwerke spezialisierte Plattformlösungen kombinieren den Bedrohungsgrad für jedes einzelne Gerät und jede Geschäftseinheit sowie die Auswirkungen eines Angriffs auf jede Geschäftseinheit. Algorithmen simulieren zehntausende Angriffsszenarien und können so das Netzwerkrisiko berechnen. Die Radiflow-Plattform CIARA (Cyber Industrial Automated Risk Anlysis) erstellt auf dieser Grundlage eine Roadmap, auf der sich das angestrebte Sicherheitsniveaus gegen die anfallenden Kosten rechnen lässt. Eine automatische Optimierung ermöglicht die Einhaltung der Sicherheitsanforderungen jeder Geschäftseinheit bei gleichzeitiger Berücksichtigung des tolerierbaren Risikoniveaus des jeweiligen Unternehmens.
Zwei Komponenten tragen maßgeblich zum Schutz der industriellen IT bei: Zuerst die Visualisierung und Überwachung der OT-Netzwerke, etwa mit einem Network Intrusion Detection System (IDS). Noch weiter können Firmen mit dem Betrieb einer Plattform gehen, die auf Basis aktueller Standards laufend Risiken in den Netzen bewertet.
Bild: ©industrieblick/stock.adobe.comBei der digitalen Transformation werden stetig mehr physische Geräte auf allen Ebenen der Produktion vernetzt. Diese Vernetzung bringt jedoch auch hochkritische Produktionsumgebungen hervor, die Angriffsflächen für Cyberattacken bieten. In der Produktion von Gefahrstoffen etwa können OT-Cyberangriffe nicht nur finanzielle Folgen haben: Es drohen Umweltschäden und die Gefährdung von Menschenleben. Ein weltweit tätiger Produzent von Spezialchemikalien sah sich einem besonders großen Sicherheitsrisiko ausgesetzt: Die Produktionslinien sind unternehmensweit miteinander vernetzt und dutzende Anlagen laufen mit unterschiedlichen Systemtypen und Topologien. Das bestehende Cyber-Sicherheitssystem deckte zwar die IT-Netzwerke gut ab. Als dieses jedoch auf die OT-Netzwerke angewendet wurde, zeigten sich gefährliche Funktionslücken. Beispielsweise konnte das System die spezifischen Netzwerkprotokolle nicht verarbeiten. Auch war es nicht möglich, alle Anlagen an jedem Standort zu erfassen. Daraufhin identifizierte das Unternehmen Anforderungen, um Angriffe auf seine verteilten OT-Netzwerke frühzeitig erkennen zu können: Das Cyber-Security-System sollte sämtliche OT-Assets kontinuierlich überwachen, Bedrohungen genauso wie Anomalien erkennen, aktiv vor ihnen warnen, Logikänderungen an allen industriellen Steuerungen verfolgen und schließlich Alarme an das Security Information and Event Management System, SIEM, melden.
Radiflow Ltd.
Dieser Artikel erschien in IT&Production 7 (September) 2021 - 06.09.21.Für weitere Artikel besuchen Sie www.it-production.com
