Angesichts der zunehmenden Konvergenz von Informationstechnologie und Automatisierungstechnik bzw. Prozessleittechnik sehen sich viele Industrieunternehmen mit einer veränderten Bedrohungslage konfrontiert. Weil immer mehr IT in den Bereich der Operational Technology (OT) integriert wird, nimmt die Gefahr von Cyber-Angriffen auf Produktionsanlangen und kritische Infrastrukturen zu.

Von Wolfgang Kiener und Dr. Benedikt Westermann

TÜV Rheinland hat anhand des Purdue-Modells für industrielle Anlagen bekannte Schwachstellen und potenzielle Angriffe auf den verschiedenen Ebenen analysiert (siehe Abbildung 1). Durch die Verschmelzung von IT und OT rücken typische Schwachstellen aus dem IT-Umfeld bei der Risikobetrachtung von OT-Umgebungen in den Vordergrund und sind kritisch zu betrachten. Darüber hinaus werden vermehrt Schwachstellen in OT-Komponenten auf Ebene 2 identifiziert und veröffentlicht. Mein Kollege Dr. Benedikt Westermann hat in einer Live-Demo auf der IT-Security-Messe it-sa 2018 zum Thema „Industrial Security: AIR GAP – Yes or No!?“ gezeigt, wie die Sicherheitsmechanismen auf den Ebenen 1 bis 5 ausgehebelt werden und der Zugriff auf Sensoren und Aktoren auf Ebene 0 möglich ist.

Threat-Management

Abbildung 1: Schwachstellen und Angriffe im Purdue Model

Quelle: Purdue model was adopted from the Purdue Enterprise Reference Architecture (PERA) model by ISA-99.

Neue Anforderungen an das Security Operation Center (SOC)

Der simulierte Angriff zeigt, dass klassische Sicherheitsmechanismen zum Schutz der Infrastruktur in der Automatisierungs- und Prozessleittechnik alleine nicht ausreichen. Aber auch notwendige kompensierende Schutzmaßnahmen können das Risiko verbleibender Schwachstellen nicht immer auf ein akzeptables Niveau reduzieren. Darüber hinaus sind weitere Maßnahmen notwendig. Insbesondere das Erkennen, Bewerten und Behandeln von Bedrohungen und Angriffen in einem Security Operation Center (SOC) sind entscheidend für einen sicheren und zuverlässigen Betrieb. Jedoch setzt der erfolgreiche Einsatz eines solchen Systems im Bereich OT ein fundiertes Verständnis von funktionaler Sicherheit (Safety) und Widerstandsfähigkeit (Resilience) in OT-Umgebungen voraus. Ein typisches SOC aus dem Umfeld IT-Sicherheit schätzt die Schutzziele potenziell falsch ein.

In industriellen Umgebungen und kritischen Infrastrukturen hat das rechtzeitige Erkennen und das entsprechende Behandeln von Bedrohungen und Angriffen einen besonders hohen Stellenwert, da auf den unteren Ebenen nur wenige bis keine effektiven Schutzmaßnahmen existieren und daher ein Vordringen des Angreifers zu diesen Ebenen unbedingt verhindert werden muss. Ansonsten drohen unmittelbare Gefahren für den Schutz des Menschen und der Umwelt – abgesehen von direkt messbaren Ausfällen und Auswirkungen auf das Geschäft des betroffenen Unternehmens.

Ein für industrielle Umgebungen geeignetes Security Operation Center verfolgt ein risikobasiertes Threat Management und versteht die OT-spezifischen Risiken, Abhängigkeiten und Begrenzungen. Unabdingbar ist ein integrales Verständnis von Unterschieden und Zusammenhängen der Schutzzielmodelle (siehe Abbildung 2).​

Threat-Management 2

Abbildung 2: Safety, Reliability and Privacy: Digital Security Imperatives

Quelle: Gartner Security & Risk Management Summit: „Tutorial: Gartner Essentials: Top Cybersecurity Trends for 2016 – 2017”; Earl Perkins, 12 – 13 Sept. 2016

Fazit: Unternehmen müssen auf Angriffe vorbereitet sein

Die zunehmende Verwendung von IT in der Operational Technology sowie die Vernetzung der beiden Bereiche sind integrale Bestandteile der digitalen Transformation. Vor diesem Hintergrund wird der Schutz von Produktionsanlangen und kritischen Infrastrukturen vor Cyber-Angriffen immer wichtiger. Klassische Sicherheitsmechanismen wie zum Beispiel Segmentierung und Firewalls können keinen hundertprozentigen Schutz gewährleisten. Daher sollten die Unternehmen auf den Fall eines erfolgreichen Angriffs in OT-Umgebungen vorbereitet sein und entsprechende weitere Maßnahmen zur Erkennung und Behandlung von Bedrohungen und Angriffen berücksichtigen. Die operativen Teams im SOC müssen die Besonderheiten von IT bzw. OT sowie die entsprechenden Schutzzielmodelle verstehen und entsprechend handeln.

Autor des Beitrags

Wolfgang Kiener

Wolfgang Kiener

Leiter Center of Excellence

Wolfgang Kiener (M.Sc.) leitet das Center of Excellence für Advanced Threats in im Bereich Cybersecurity bei TÜV Rheinland. Er verantwortet die strategische Entwicklung von Dienstleistungen im Bereich Threat Management und industrieller Sicherheit. Mit mehr als 15 Jahren Berufserfahrung in internationalen Großkonzernen wie Siemens, REWE, T-Systems, Verizon und CSC steuert Wolfgang die Entwicklung von innovativen Dienstleistungen unter Berücksichtigung von technologischen und kommerziellen Gesichtspunkten. Wolfgang hält zahlreiche Zertifizierungen im Bereich IT und Cybersecurity wie CISSP, CISM, CRISC, CCSK, ITIL, ISO 27001 Lead Implementer und GIAC.

Meist gelesene Beiträge

Ladeinfrastruktur

Elektromobilität – Ladeinfrastruktur auf dem Vormarsch

Das neue Jahrzehnt steht ganz im Zeichen des Klimaschutzes – und zu den großen Herausforderungen zählt eine klimaschonende (Elektro-)Mobilität. Eine wichtige Etappe ist das neue Emissionsziel der EU.
Stellenanzeigen

Sexy Titel, keine Bewerber? Stellenanzeigen auf dem Prüfstand

War for Talents, Fachkräftemangel, demografischer Wandel – alles bekannte und beliebte Themen im Buzzword-Bingo unter Personalfachleuten. Der Arbeitsmarkt wird für Unternehmen schwieriger.
Digitale Trends

Digitale Trends 2020: Denkanstöße für mehr Sicherheit

Cybersecurity Trends 2020: Was bedroht unsere digitale Gesellschaft – und wie können wir uns davor schützen? TÜV Rheinland benennt sieben Trends zu aktuellen Cyberbedrohungen.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Niemand mag Pop Ups. Aber Sie werden unseren Newsletter mögen

Erhalten Sie regelmäßig Blogartikel zu den Themen Digitalisierung, Modernes Leben, Energie und Technik.