Cybersecurity für Maschinen und Anlagen: OT- und IT-Sicherheit
Das Risiko von Cyberattacken auf Maschinen und Anlagen ist in den letzten Jahren deutlich gestiegen. Wirtschaftsunternehmen erleiden mit zunehmender Häufigkeit Angriffe auf ihre digitalen Infrastrukturen, der deutschen Wirtschaft entsteht dadurch ein jährlicher Schaden von rund 203 Milliarden Euro. Unternehmen müssen sich deshalb gegen IT-Attacken und OT-Angriffe rüsten. Für die Cybersicherheit zur Erkennung und Abwehr dieser Angriffe ist die Sicherheit in der IT (Informationstechnologie) und in der OT (Operational Technology, Betriebstechnologie) erforderlich. Dabei unterscheiden sich IT- und OT-Sicherheit in vielen Punkten. Sicherheitskonzepte zur Minimierung der Cyberrisiken bei Anlagen und Maschinen müssen diese Unterschiede beachten, um erfolgreich zu sein.
Informationssicherheit, IT-Sicherheit und Cybersicherheit – was ist der Unterschied?
Aufgabe der Informationssicherheit ist der angemessene Schutz der Grundwerte Vertraulichkeit, Integrität (Unverfälschtheit) und Verfügbarkeit von Informationen. Dazu gehört auch die Absicherung der Informationsverarbeitung, also insbesondere der IT. Dabei ist Informationssicherheit und IT-Sicherheit nicht das Gleiche. Der Gegenstand der IT-Sicherheit ist der Schutz der IT-Systeme vor Beschädigung und Störung. In der Praxis werden die Begriffe häufig vertauscht und als Synonyme verwendet, bzw. oftmals mit Cybersicherheit gleichgesetzt. Doch auch hier bestehen Unterschiede.
Unter Cybersicherheit versteht man alle Aspekte der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyberraum ausgeweitet. Der Cyberraum umfasst alle weltweit auf Datenebene vernetzten oder vernetzbaren informationstechnischen Systeme. Diesem liegt als öffentlich zugängliches Verbindungsnetz das Internet zugrunde, welches durch beliebige andere Datennetze erweitert werden kann.
Für die Definition und Erstellung eines Sicherheitskonzepts ist eine genaue Definition und Verwendung der Begriffe elementar. Nur so kann sichergestellt werden, dass alle Beteiligten von der gleichen Aufgabe ausgehen, wenn etwa über Maßnahmen zur Steigerung der IT-Sicherheit gesprochen wird.
Was bedeutet OT-Sicherheit?
Unter OT (Operational Technology) versteht man Hardware und Software, die durch die direkte Überwachung und/oder Steuerung von Industrieanlagen, Anlagen, Prozessen und Ereignissen eine Änderung erkennt oder verursacht.
Das NIST (National Institute of Standards and Technology) definiert OT so: OT umfasst eine breite Palette programmierbarer Systeme oder Geräte, die mit der physischen Umgebung interagieren. Diese Systeme/Geräte erkennen oder bewirken eine direkte Änderung durch die Überwachung und/oder Steuerung von Geräten, Prozessen und Ereignissen. Beispiele umfassen
- Industriesteuerungssysteme (ICS),
- Gebäudeautomatisierungssysteme,
- Transportsysteme,
- Zugangskontrollsysteme,
- Überwachungssysteme für physische Umgebungen und
- Messsysteme für physische Umgebungen.
IT- und OT-Sicherheit im Bereich Maschinen und Anlagen
Trotz der unterschiedlichen Schutzbereiche und Aufgaben der IT- und der OT-Sicherheit ist es für die Sicherheit von Anlagen und Maschinen von zentraler Bedeutung, sowohl IT-Sicherheit als auch OT-Sicherheit zu gewährleisten.
Für die Umsetzung der OT-Sicherheit und der IT-Sicherheit gibt es mehrere Leitfäden, Handlungsempfehlungen und Standards, darunter insbesondere
- die internationale Normenreihe IEC 62443, die sich mit der Cybersecurity von „Industrial Automation and Control Systems“ (IACS) befasst,
- das ICS-Security-Kompendium des BSI und
- die ISO/IEC 27001.
Die Folgen möglicher Angriffe auf die OT
Bei Cyberangriffen auf Operational Technology denkt man an stillstehende Maschinen und Produktivitätsverlust. Aber bei OT-Attacken geht es nicht mehr „nur“ um Betriebsunterbrechungen, es geht um deutlich schwerwiegendere Konsequenzen, bis hin zu körperlichen Schäden und den Verlust von Menschenleben.
Wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) berichtet hat, spielen gerade in der Industrie die Attacken auf Lieferketten eine zentrale Rolle. In der industriellen Lieferkette gibt es Angriffsflächen und damit Einfallstore für Cyberattacken, die tief in die jeweils eigene Produktionsumgebung reichen können. Angriffe auf die OT eines Lieferanten können sich also auf die OT und IT des jeweiligen Industrieunternehmens auswirken.
Ebenso können bei OT-Attacken personenbezogene Daten in Gefahr geraten, sodass die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zum Tragen kommen können, zu denen auch Maßnahmen für die Sicherheit der Verarbeitung der Daten zählen.
Schwachstellen in OT und IT erkennen
Um in der eigenen IT-Infrastruktur nach vorhandenen Schwachstellen suchen zu können, bieten sich sogenannte Schwachstellen-Scanner an. Im einfachsten Fall ermitteln solche Scanner die Version der eingesetzten Hardware (Firmware) und Software und entnehmen aus Schwachstellen-Datenbanken dann die dazu bekannten Schwachstellen.
Fortgeschrittene Schwachstellen-Scanner können die Firmware und die Software auf Code-Ebene untersuchen, um dort Anzeichen (Signaturen) für Schwachstellen zu finden, ähnlich wie dies bei Malware-Scannern ist, die nach Schadprogrammen suchen.
Um Schwachstellen in OT-Systemen suchen zu können, müssen die eingesetzten Schwachstellen-Scanner auch die Besonderheiten der OT beherrschen. Will man sich über die aktuell größten Schwachstellen in der OT informieren, empfiehlt sich etwa die Durchsicht von speziellen Listen wie „Industrial Control System Security – Top 10 Bedrohungen und Gegenmaßnahmen“ der Allianz für Cybersicherheit.
In der aktuellen Liste finden sich als Hauptbedrohungen:
- Einschleusen von Schadsoftware über Wechseldatenträger und mobile Systeme
- Infektion mit Schadsoftware über Internet und Intranet
- menschliches Fehlverhalten und Sabotage
- Kompromittierung von Extranet- und Cloud-Komponenten
- Social Engineering und Phishing
- (D)DoS-Angriffe
- Soft- und Hardware-Schwachstellen in der Lieferkette
- usw.
Auf den ersten Blick erscheinen diese Bedrohungen nahezu identisch mit denen in der IT, doch die konkreten Schwachstellen und deren Ausnutzung hängen davon ab, ob es sich um ein OT-System oder ein IT-System handelt und um welches System genau.
Schwachstellenmanagement in der OT
Ein zentrales Ziel in der OT ist der störungsfreie Betrieb. Weder die Suche nach Schwachstellen noch die Installation einer möglichen Fehlerbehebung (Patch) darf die Betriebssicherheit mindern, also zu Ausfällen und Störungen im Betrieb führen.
Deshalb gilt es in der OT immer abzuwägen zwischen der Cybersicherheit und der Betriebssicherheit bei den OT-Systemen. Im Gegensatz zur IT will man also in der OT nicht immer möglichst schnell einen Patch installieren, sondern es gilt, auf Wartungsfenster zu warten. Mitunter entscheidet man sich auch gegen das Einspielen eines Patches, wenn die Störung des Betriebs größer erscheint als das Risiko einer möglichen Cyberattacke. Gibt es aktuell keine Patches oder kann ein Patch erst einmal nicht installiert werden, kann das sogenannte Virtual Patching helfen. Die Idee dahinter ist, dass die Schwachstelle nicht behoben, aber gegen bösartige Zugriffe abgeschirmt wird.
Security-Lösungen für IT und OT
Die Unterschiede zwischen IT und OT spiegeln sich auch bei den Security-Lösungen wider. Das beginnt bei den Schutzzielen, zu denen im OT-Bereich maßgeblich die Ausfallsicherheit gehört, schließt aber auch die Betriebssysteme und Anwendungen ein, die geschützt werden müssen. Zudem müssen die verschiedenen Kommunikationsprotokolle, über die Daten ausgetauscht werden, von der jeweiligen Security-Lösung unterstützt werden. Nicht zuletzt aber führen die verschiedenen Prozesse bei IT und OT auch zu anderen Security-Ansätzen.
Auch wenn sich die Security-Lösungen bei OT und IT unterscheiden, ist es sinnvoll, Security-Konzepte zu implementieren, die übergreifend den Schutz der Daten, Anwendungen und Systeme regeln. Dazu gehören zum einen Bereiche wie der sichere Fernzugriff, die Segmentierung von Netzwerken und das Schwachstellenmanagement, aber auch Security-Prozesse, die für IT und OT zum Tragen kommen.
Den kompletten Fachbeitrag mit weiterführenden Informationen finden Sie in unserem Praxismodul „Maschinenverordnung“.