Spätestens seit den letzten beiden Jahren ist die Cloud in den meisten Branchen nicht mehr wegzudenken. Zunehmend binden nun auch Industrieunternehmen nach und nach Cloud-Infrastrukturen in ihre cyber-physischen Abläufe und andere Prozesse ein. Genau wie in anderen Sektoren sollen der Betrieb und die Benutzerfreundlichkeit verbessert werden, indem die Prozesse auch in OT-Netzwerken effizienter und datengesteuert gestaltet werden. Die Vorteile der Cloud-Nutzung sind vielfältig: So ermöglicht sie unter anderem eine bessere Telemetrie und Analyse der Geräteleistung sowie die Fernkonfiguration von Geräten, erlaubt eine zentralisierte Ansicht der industriellen Prozesse, kann die Redundanz verbessern und schließlich die Infrastrukturkosten senken.
Allerdings hat dies auch einen gewissen Preis: Die zunehmende Konvergenz bringt auch zunehmende und neue Risiken mit sich. Unternehmen müssen folglich stets einen Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit finden. Die vor langer Zeit strikt getrennten OT-Netzwerke sind zwar in aller Regel längst irgendwie mit dem Internet verbunden. Doch durch die Cloud wird die Angriffsfläche nochmals vergrößert. Und je mehr Unternehmen ihre OT-Netzwerke in die Cloud verlagern, desto eher werden sie zu Zielen von Cyberkriminellen, die versuchen, die durch diese Konnektivität entstandenen Schwachstellen auszunutzen.
OT-Cloud-Infrastruktur
Im Allgemeinen bedeutet die Migration zu einer Cloud-basierten Infrastruktur, dass ein Teil der Infrastruktur des Unternehmens auf entfernten Servern gehostet wird, die von Drittanbietern wie Google, Amazon oder Microsoft verwaltet werden. Zu dieser Infrastruktur gehört eine Cloud-basierte Verwaltungsplattform, die die verschiedenen Nutzer der Unternehmensdienste unterstützt, z. B. Administratoren oder Ingenieure. Benutzer- und Rollenrichtlinien legen fest, welche Funktionen jeder Benutzer ausführen darf und welche Berechtigungen er hat. Dies gilt selbstverständlich auch für OT-Netzwerke in der Cloud: Mithilfe der Verwaltungsplattform können Betreiber und Administratoren Einstellungsänderungen vornehmen, Konfigurationen bearbeiten und das Technologienetzwerk der Anlage über das erweiterte Internet der Dinge (XIoT) verwalten. Die Standortleiter können auch die Logik verwalten, mit der speicherprogrammierbare Steuerungen (SPS) Geräte der Ebene 0 wie Sensoren und Aktoren steuern, sowie konfigurieren, welche Daten gesammelt und an die Managementplattform gesendet werden sollen.
Cloud-Anbieter bieten zahlreiche Dienste und Infrastrukturen an, die sowohl für industrielle Kontrollsysteme (ICS) als auch für die IT verfügbar sind. Ein Beispiel ist eine mandantenfähige Cloud-Umgebung, bei der jeder Kunde einen separaten, sicheren Raum für die Speicherung von Daten und Projekten erhält. Jeder Kunde kann dabei nur auf seine eigenen gespeicherten Daten zugreifen und der Cloud-Anbieter setzt eine Berechtigungs- und Sicherheitsrichtlinie durch, um den Zugriff auf andere Kunden zu verhindern.
In einer typischen cloudbasierten ICS-Architektur können Ingenieure, das Management und Administratoren über die Cloud auf die verschiedenen Produktionsstätten zugreifen. Sie verfügen damit über einen einzigen zentralen Steuerungspunkt, der jedoch gleichzeitig ein einzelner Ausfallpunkt (Single Point of Failure) ist.
IT-Sicherheit wird zum OT-Problem
In einem klassischen isolierten OT-Netzwerk müssen sich Angreifer, die den gesamten Betrieb kompromittieren wollen, Zugang zu jedem einzelnen Standort verschaffen, um die Kontrolle über die Steuerungen zu erlangen. Da die Cloud-Verwaltungsplattform jedoch zu einem Single Point of Failure geworden ist, kann eine einfache Schwachstelle für einen Angreifer ausreichen, um die Verwaltungsplattform zu übernehmen, die den Zugriff auf alle verwalteten Geräte ermöglicht. Schwachstellen, die normalerweise ein Problem für die IT-Sicherheit darstellen, werden so zu einer Herausforderung für die OT-Sicherheit.
Diese einzelnen Ausfallpunkte sind dabei nicht zwangsläufig auf einen Nutzer oder Kunden beschränkt, sondern können auch andere betreffen. Denken wir an mandantenfähige Systeme: Hat ein Angreifer Zugriff auf das von einem Dienstanbieter verwaltete Hostsystem, ist er theoretisch in der Lage, jede virtuelle Instanz auf diesem Host und somit potenziell jeden Kunden anzugreifen, der das vom Cloud-Anbieter bereitgestellte Hostsystem nutzt.
Bottom-Up- vs. Top-Down-Angriffe
In Cloud-basierten OT-Netzwerken kann man zwei Hauptangriffsszenarien unterscheiden. Der Top-Down-Angriff geht von der Cloud aus und arbeitet sich nach „unten“. Hierbei wird die Verwaltungskonsole kompromittiert, etwa durch die Ausnutzung eine Schwachstelle in der Cloud. Auf diese Weise erhalten Angreifer Zugriff auf alle hier verwalteten Konten und Geräte. Sie können so bösartige Anwendungen auf allen angeschlossenen Geräten installieren, was nicht nur die vollständige Kontrolle über die Endgeräte (Stufe 1 des Purdue-Modells), sondern auch laterale Netzwerkbewegungen ermöglicht. Der Angriff kann so auch auf andere Systeme innerhalb des Industrienetzes übergreifen.
Beim Bottom-up-Ansatz zielen die Angreifer auf die Endgeräte ab und arbeiten sich dann bis zur Cloud-basierten Verwaltungskonsole vor. Die Sicherheitsforscher von Team82 haben gezeigt, dass ein solcher Ansatz möglich ist, indem eine Schwachstelle in einer Cloud-verwalteten SPS ausgenutzt und schließlich das Cloud-basierte Host-Konto übernommen wird.
Diese beiden Angriffsarten sind innovativ und überaus effektiv. Sie bedrohen nicht nur die Prozessintegrität, indem sie Feldgeräte wie z. B. speicherprogrammierbare Steuerungen gefährden, sondern auch die Datenintegrität: Für Unternehmen stellt sich so die Frage, ob sie den Daten-Uploads vertrauen können, die Geräte an die Cloud zurücksenden.
Cloud-Risiken reduzieren
Gleichwohl sind diese Angriffe nicht die einzigen Risiken, die durch eine Cloud-Migration entstehen. Je nach Situation und Gegebenheit können andere Bereiche relevant werden. Unternehmen sollten deshalb insbesondere drei Felder beachten.
1. Kennen Sie Ihre Daten: Verschlüsselung und sichere Kommunikation
Die Datensicherheit war einst eine weniger risikobehaftete Variable für industrielle Prozesse. Allerdings sollte sie nunmehr zur Priorität werden. Dies gilt insbesondere für stark regulierte Branchen. Unternehmen müssen dabei nicht nur die Bedrohungen, sondern auch die Risiken bewerten, z. B. die fehlende Protokollunterstützung für Verschlüsselung und Authentifizierung. So kann beispielsweise Verschlüsselung dazu führen, dass einige Tools keinen vollständigen Einblick in die Netzwerkressourcen erhalten. In einer abgeschirmten Umgebung kann die Nichtverschlüsselung von Daten als akzeptables Risiko betrachtet werden, aber sobald ein Asset online ist, sieht die Sache anders aus. Die Verschlüsselung von Daten während der Übertragung ist eine bewährte Praxis und unerlässlich, wenn Unternehmen beginnen, Dienste und Anwendungen wie Historian-Datenbanken in die Cloud zu verlagern, die Daten von Level-1-Geräten wie SPS empfangen. Industrieunternehmen sollten:
- Überprüfen, ob die ICS-Geräte Cloud-Protokolle wie MQTT oder HTTPS über Web Client/REST unterstützen. Diese werden für den Datenaustausch zwischen SPS und Cloud verwendet.
- Sicherheitsmechanismen verwenden wie die Verschlüsselung und Signierung von Daten und Kommunikation mit X.509-Zertifikaten oder hardwarebasierte Verschlüsselung.
2. Kennen Sie Ihr Unternehmen: Authentifizierung und Identitätsmanagement
Zahlreiche Vorfälle wie der Angriff auf die Wasserversorgung in Oldsmar, Florida im Februar 2021 haben die Risiken aufgezeigt, die mit unzureichenden Kontrollen des Systemzugangs und der Verwaltung von Berechtigungen verbunden sind. Jedem muss klar sein, dass ein ganzes Unternehmen, einschließlich aller Endgeräte, aufgrund eines Mangels an starker Authentifizierung oder eines einzigen Lecks der wichtigsten Anmeldeinformationen kompromittiert werden kann. Es ist deshalb von größter Wichtigkeit, die Authentifizierung und das Identitätsmanagement als Teil der Defense-in-Depth-Pläne eines Unternehmens für OT in der Cloud einzubeziehen. ICS-Betreiber sollten:
- Eine mehrstufige Authentifizierung nutzen und durchsetzen.
- Zugangsdaten, insbesondere Passwörter, verstärken, um Fernverbindungen zu sichern.
- Granulare Benutzer- und Rollenrichtlinien verwenden.
3. Kennen Sie Ihre Zuständigkeiten: Schaffen Sie Klarheit über die unscharfen Grenzen
Mit der Verlagerung der OT-Prozess- und -Systemverwaltung in die Cloud muss das OT-Personal eine Neuausrichtung seiner Aufgaben vornehmen. In Cloud-verwalteten Netzwerken wird wie beschrieben ein Teil der Unternehmensinfrastruktur auf Remote-Servern gehostet, die von Drittanbietern verwaltet werden. Wer ist nun aber für die Sicherheit „der Cloud“ zuständig? Hier greift das Modell der geteilten Verantwortung: Der Cloud-Anbieter ist in der Regel für die Sicherung der Host-Server, der virtuellen Maschinen und der physischen Sicherheit der Rechenzentren verantwortlich. Die Nutzer/Kunden sind in der Regel für die Datensicherheit (Verschlüsselung), die Authentifizierung und das Identitätsmanagement, die Anwendungssicherheit und die Plattformsicherheit (Konfigurationen/Patching) verantwortlich. Einige Verantwortlichkeiten der Nutzer können sich je nach den von ihnen gewählten Diensten und Bedingungen ändern. Die Festlegung einer Grenze zwischen den Verantwortlichkeiten des Nutzers/Kunden und den Verantwortlichkeiten des Cloud-Anbieters sind entscheidend für die Verringerung der Risiken in der Cloud-Umgebung und der erste Schritt zum ordnungsgemäßen Management von Sicherheitsrisiken in Cloud-verwalteten OT-Netzwerken.
Sicherheit vs. Nutzerfreundlichkeit
Die Migration von OT-Netzwerken in die Cloud bietet zahlreiche Chancen, birgt aber auch etliche Herausforderungen. Anlagenbetreiber und Manager, die Cloud-verwaltete OT-Netzwerke beaufsichtigen, müssen die potenziellen Risiken bewerten und managen. Der Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit wird zu einer Risikomanagement-Gleichung, der sich ICS-Betreiber und -Eigentümer in Zukunft stellen müssen. Der Schlüssel liegt darin, sicherzustellen, dass das eine nicht vollständig auf Kosten des anderen geht.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.