Die zentrale Bedeutung der OT-Sicherheit im produzierenden Gewerbe wird oftmals unterschätzt. Methoden und Lösungen aus der IT eignen sich nicht, um Maschinen und Steuergeräte zu schützen.

Das Thema OT Security ist von hoher Dringlichkeit, da die Angriffe immer ausgefeilter und professioneller werden. Mal werden IoT-Endgeräte über Schwachstellen gehackt. Mal ermöglicht es eine Lücke in bekannten Software-Bibliotheken, Steuerungssysteme anzugreifen, die Java verwenden. Und in manchen Fällen entwickeln die Angreifer sogar auf bestimmte Unternehmen oder Maschinen spezialisierte Sabotage-Malware.

Unterschiede zwischen IT und OT

Grob gesagt steuert die Betriebstechnologie (Operational Technology, OT) Geräte und Maschinen und die Informationstechnologie (Information Technology, IT) steuert die Daten und Nutzerberechtigungen. Bei der IT stehen die Integrität und Vertrauenswürdigkeit von Systemen und Daten im Mittelpunkt. OT kümmert sich um Hardware und Software zur Kontrolle von industriellem Equipment und umfasst spezialisierte Systeme, die etwa in der Fertigung, im Energiesektor, in der Medizin bis hin zur Steuerung von Robotern in einer Werkshalle zum Einsatz kommen. Dazu kommen Prozessleitsysteme (PLS), Switches und Sensoren, die in der Regel eigenen Standards folgen. Ein weites Feld, das es zu schützen gilt. Während sich in der IT inzwischen ein großes Sicherheitsbewusstsein durchgesetzt hat und zahlreiche technische Maßnahmen umgesetzt werden, wirkt der Umgang mit der OT-Sicherheit eher stiefmütterlich.

Ein Stolperstein liegt in der schnelllebigen Technik-Welt. Viele Geräte im OT-Umfeld sind auf Langlebigkeit ausgerichtet, die ungleich größer ist als im Bereich der IT. Während in der IT eine Lebenserwartung von fünf Jahren als hoch anzusehen ist, laufen viele OT-Geräte 30 Jahre oder länger. Gründe dafür liegen in den hohen Anschaffungskosten und am großen Anteil von individuell zugeschnittenen Lösungen, deren Implementierung mit viel Aufwand verbunden ist. Damit einher geht, dass sich diese langlebigen Systeme mitunter schlecht oder gar nicht patchen lassen.

Gleichzeitig sind viele Unternehmer anscheinend noch immer der Meinung, dass eine funktionierende IT-Security auch die Produktion mit absichert. Das ist ein Trugschluss, denn OT-Geräte wie Produktionsmaschinen benötigen eine darauf zugeschnittene Security. Klassische IT-Security-Lösungen sind anders konzipiert und ungeeignet für eine OT-Security. Diese muss sämtliche Geräte und Maschinen schützen, auch wenn sie mit exotischen Betriebs- oder Steuerungssystemen laufen und ungewöhnliche Protokolle nutzen.

Eigenschaften und Herausforderungen der OT Security

Das Purdue Reference Model beschreibt die IT und OT in einem Schichtenmodell. Die Schichten 0 bis 3 beschreiben die Funktionsebene, die Produktionsebene, die Kontrollebene. Das ist OT. Die Schichten darüber beschreiben die typische IT. Das umfasst das ERP-System, Cloud-Anwendungen und Büronetzwerke. Beide Bereiche sind unterschiedlich zu schützen. Ein Beispiel: Auf einem PC läuft mit einem bestimmten Betriebssystem. Auf einer Fertigungsmaschine läuft das gleiche Betriebssystem. Dennoch sind ganz unterschiedliche Security-Technologien notwendig. Auf dem PC läuft ein Office-Paket und Anwendungen für den privaten Bereich. Auf der anderen Seite in der Fertigung läuft vielleicht eine WinCC-Anwendung, die eine Maschine steuert. Diese Software verwendet ganz andere Protokolle, auch die Ein- und Ausgaben unterscheiden sich. In der OT kommen viele unterschiedliche Netzwerk-Protokolle zum Einsatz, nicht TCP/IP, sondern zum Beispiel das Protokoll Profinet, das „Process Field Network“. Das bedeutet, dass eine Security-Lösung aus der IT, die nicht in der Lage ist, diese Protokolle zu erkennen und zu verstehen, in der OT nutzlos ist. Auch gelten dort andere Regularien wie etwa die Maschinenverordnung der EU, Tisax in der Automobilindustrie oder die Normenreihe IEC 62443 für die Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme.

Auch die Prioritäten sind in der OT anders gelagert als in der IT. „Wenn der Büro-PC streikt oder mit Malware infiziert ist, dann kann man ihn in aller Ruhe vom Netz nehmen, die Malware beseitigen und ihn dann wieder anschließen und laufen lassen. Das ist in der Produktion schlichtweg unmöglich. Dort laufen getaktete, ineinandergreifende Prozesse. Wenn auch nur ein Rechner in der Automatisierungskette in Quarantäne muss, dann steht die gesamte Produktion still“, erläutert Terence Liu, CEO von TXOne. „Die Prioritätenfolge lautet in der OT Availibility-Integrity-Confidentiality (AIC), weil der Produktionsbetrieb der entscheidende Motor für die Wertschöpfung eines Unternehmens ist“, so Liu weiter.

Auch wenn jedes Unternehmen eigene Anforderungen mitbringt, so ähneln sich die Herausforderungen bezüglich der OT-Security doch vielerorts: veraltete Systeme, die sich nicht mehr patchen lassen, Echtzeit-Betriebssysteme, industrielle Protokolle und Systeme, die in der IT nicht bekannt sind, Steuerungstechnik mit eingeschränkten Möglichkeiten zur Authentifizierung, geteilte Passwörter durch interne und externe Benutzer und Techniker, sowie IoT-Geräte, die ohne Rücksicht auf die Sicherheit vernetzt werden.

Mangelndes Verständnis für die Bedrohungslage

Neben den technischen Herausforderungen spielen auch menschliche Faktoren eine Rolle. Es gibt zwar viele Unternehmen, die in Sachen OT Security schon recht weit sind. Das betrifft vor allem die größeren Konzerne, die oftmals eine eigene OT-Security-Abteilung betreiben und den Posten eines OT-Security-Officers besetzen. Im gehobenen Mittelstand trifft man auf ganz unterschiedliche Verhältnisse, etwa inhabergeführte und investorengeführte Unternehmen. Dort und in kleineren Unternehmen ist verbreitet das Bewusstsein nicht vorhanden und die Führungsetage meint, die Technologien der IT reichten doch völlig aus. Wenn ein Problembewusstsein vorhanden ist, dann mangelt es oftmals bei der Umsetzung. Hier empfiehlt sich die Unterstützung durch einen auf OT Security spezialisierten Partner. Nach Studien der Analysten von Gartner haben nur zehn Prozent der Unternehmen bereits solide OT-Cybersecurity-Strategien entwickelt.

Eine verbreitete Fehleinschätzung der IT beruht darauf, dass keine Angriffe von außen möglich seien, da ja alles abgeschottet sei. Doch Produktionsanlagen mit einer Steuerungssoftware müssen regelmäßig gewartet werden. Ein Techniker kommt ins Haus, steckt seinen Rechner an und macht ein Firmware-Update. Wenn sich auf seinem Rechner unbemerkt eine Malware versteckt, dann ist die Produktionsmaschine somit infiziert. So genannte Air-Gapped-Systeme, die nicht mit dem Netzwerk verbunden sind, bleiben dennoch anfällig für interne Angriffe. Um OT-Umgebungen zu schützen, müssen IT und Produktion zusammenarbeiten. Es ist wichtig, dass die Kommunikation zwischen diesen beiden Abteilungen reibungslos funktioniert.

OT Zero Trust

Ursprünglich kommt das Konzept „Zero Trust“ aus der IT und bedeutet: Vertraue niemanden! In einem gerätezentrierten Ansatz lässt sich dies auf die OT übertragen. „Die OT-Zero-Trust-Methodik beruht auf drei Technologie-Säulen beruht“, erläutert Liu. Im Mittelpunkt steht die Produktionsmaschine, die von einem Hersteller zum Kunden gelangt. An dieser Stelle beginnt die OT Security. Ein Portable Inspector, eine Security-Lösung in Form eines USB-Sticks, lässt sich an die Produktionsmaschine anstecken, scannt die neue Maschine und nimmt Asset-Daten auf wie Betriebssystem, Patch-Level, Hardware, Software, Peripherie. Mit diesem Stick und einer Management-Plattform lässt sich dann ein detailliertes Asset Management durchführen.

Sobald die Maschine die Produktion aufnimmt, geht es um einen kontinuierlichen Schutz der Maschine selbst. Das erfolgt mit einer agentenbasierten Software-Lösung, die Schutzmechanismen mitbringt und Anomalien erkennt. Die Herausforderung besteht darin, dass die Fertigung oftmals historisch gewachsen ist. Manche Maschinen sind mehr als 20 Jahre alt und nutzen vielleicht noch ein sehr altes Betriebssystem. Dazu kommen einige Dutzend verschiedene OT-Netzwerkprotokolle, die die Schutzsoftware alle beherrschen muss. Ein infiziertes Endpoint-System lässt sich mit einem zusätzlichen IPS (Intrusion Prevention System) versehen. Dann kann die Malware nicht raus aus der Maschine, und die Maschine kann weiterlaufen bis zu einem vorgesehenen Wartungsfenster, um dann bereinigt zu werden.