Sicherheit im Internet der Dinge

Längst geht es aber nicht mehr nur um das Absichern von Benutzerkonten oder Servern. Immer mehr Geräte und Anlagen wandern ins Netz, Stichwort Internet of Things. Die neuen Herausforderungen in Sachen Sicherheit ­verlangen von vielen Unternehmen, ihre Strategien und Verhaltensweisen zu überdenken. So arbeitet die Operational Technology (OT) ganz anders als die klassische Informationstechnologie (IT). Der Begriff OT bezeichnet den Betrieb von physischen Industrie- und Produktionsanlagen, beispielsweise Robotern, Pumpen oder Metallpressen.

Der gravierendste Unterschied zwischen Operational Technology und IT zeigt sich in der Häufigkeit von Updates. Während in einer IT-Umgebung beim Erkennen einer Schwachstelle der Administrator schnell ein Sicherheits-Update im Hintergrund installiert, sieht das bei der Operational Technology ganz anders aus. Industrielle Steueranlagen sind in Produktionsumgebungen im Dauerbetrieb – ohne die Möglichkeit, kurz für ein Update ausgeschaltet zu werden.

„OT ist seit Jahren im Einsatz, ohne dass die Sicherheit hierbei an erster Stelle steht, was sie von vornherein unsicher macht“, so der Befund von Kay Ernst, Regional Director DACH beim IoT-Sicherheitsspezialisten Otorio. Auch ihm zufolge sind Upgrades und Patches in Betriebsumgebungen, die rund um die Uhr laufen, nicht einfach. „Leider sind Ausfallzeiten keine Option. Es gibt daher in der Tat viele Löcher in OT-Umgebungen, weshalb der Zugang zu ihnen eingeschränkt und regelmäßig überprüft werden sollte.“

Der einzig wirksame Weg, Ransomware-Angriffen in industriellen Umgebungen zu begegnen, besteht laut Kay Ernst darin, nicht reaktiv, sondern proaktiv zu handeln: „Dazu gehört es, die Angriffsfläche und die Sicherheitslage einer industriellen Umgebung zu ermitteln, die Wirksamkeit der Sicherheitskontrollen zu bewerten und zu verstehen, welche Schwachstellen wirklich offenliegen und ausgenutzt werden können.“ Ein risikobasierter Ansatz, bei dem nicht die Schwachstellen selbst, sondern die Ausnutzungsvektoren analysiert werden, ermögliche eine bessere Konzentration auf die wichtigsten Risiken. „Die Leute neigen dazu, sich auf die Erkennung und Reaktion zu konzentrieren. Obwohl dies eine wichtige Maßnahme ist, ist es immer noch ein reaktiver Ansatz, der zu spät kommt, um mit solchen Angriffen fertigzuwerden.“

Doch viele OT-Geräte, zum Beispiel Produktionsanlagen, laufen noch mit altem Windows 95 oder XP – und lassen sich häufig schlicht nicht mehr aktualisieren. Das bedeutet nach Ansicht von Udo Schneider von Trend Micro aber nicht, dass man solche Anlagen gar nicht „vernetzen“ könne. „Vielmehr ist für passende Security Controls zu sorgen.“ Natürlich sei es am besten, wenn man die Systeme selber updaten könne. Aber auch ohne diese Möglichkeit gebe es technische Maßnahmen, zum Beispiel Virtual Patching auf Netzwerkebene, die das Expositions­risiko auf ein verwaltbares Maß reduzieren. „Auf der einen Seite ist die Gefahr aufgrund des Systemalters und der genutzten Protokolle hoch. Auf der anderen Seite sind diese Systeme als ,Fixed-Function-Device‘ zu betrachten. Das heißt, man weiß sehr genau, was überhaupt an Verkehr und Protokollen im Einsatz ist.“ Dementsprechend ließen sich diese Systeme auch mit überschaubarem Aufwand schützen. Wo dies mit Industrial-Endpoint-Lösungen nicht möglich sei, gebe es immer noch die Option, sich auf die Transparenz des Netzwerks zu fokussieren.

Der Idee, alle OT-Geräte regelmäßig aktualisieren zu wollen, liegt laut Max Rahner ein schwerwiegendes Missverständnis zugrunde. Laut dem Senior Regional Director DACH & Eastern Europe beim IoT-Sicherheitsspezialisten Claroty ist generell zu bedenken, dass der Erneuerungszyklus in der OT anders ist als in der IT. Während in der IT Geräte nach drei bis fünf Jahren ausgetauscht würden, ziele OT auf 25 bis 50 Jahre Einsatzzeitraum ab. „Neben der Wirtschaftlichkeit ist die physische beziehungsweise funktionale Sicherheit der Grund dafür. Physische, funktionale Sicherheit steht häufig, wenn nicht gar in der Regel, in direktem Konflikt zu Cybersecurity, wenn sie wie in der IT verstanden und umgesetzt wird.“ Prozesse in der Operational Technology seien oft Realtime-Prozesse, in denen schon kleinste Veränderungen Auswirkungen auf die Prozessstabilität und den Prozesserfolg hätten. Sowohl ein Agent einer Security-Lösung als auch ein Update der System-Software könnten diese kleinen Veränderungen – oder manchmal auch sehr große – verursachen, sodass die Prozessintegrität nicht mehr gewährleistet sei.

Die gute Nachricht: „OT ist kein großes Security-Loch“, so das klare Statement von Max Rehner. „Wer aber will, dass OT ein großes Safety-Loch wird, fordert die Kollegen in Betriebstechnik und Instandhaltung am besten dazu auf, alle Systeme zu patchen.“

Grundsätzlich empfiehlt Claroty-Mann Rahner einen Blick in die B3S-Branchenstandards des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie generell anwendbare Regelwerke wie die IEC 62443. „Würde dies flächendeckend so gehandhabt, wäre ein Großteil der Sorgen um die Cybersecurity in Industrieumgebungen schon behoben.“ Es sei wichtig, zu verstehen, dass OT-Security keine Frage eines Tools ist. „Hier gibt es eine entscheidende Gemeinsamkeit mit IT-Security: Cybersecurity ist ein stetiger Prozess.“

Zero Trust, Identitätsmanagement, SSE und wie die vielen Technologien zur Absicherung der Infrastruktur alle heißen – die Möglichkeiten, um Unternehmen zu schützen, sind eigentlich vorhanden. Doch wie steht es  um die Security-Spezialisten, die das Ganze in der Praxis verantworten müssen?

Das Marktforschungsunternehmen Wakefield Research führte jüngst eine weltweite Umfrage unter 1600 Führungskräften aus den Bereichen IT und Cybersicherheit durch. Die Studie „The State of Data Security“ ergab, dass das Thema Cybersicherheit die Unternehmen stark belastet: Es fehlen Fachkräfte in den IT- und SecOps-Teams, aber auch Tools und Lösungen. Führungskräfte in IT und SecOps berichten in der Befragung von unzureichenden Budgets zum Schutz von Daten sowie von einer geringen Priorisierung der Datensicherheit durch das C-Level-Management. Gleichzeitig seien sich die verschiedenen Teams oft uneinig, welcher Ansatz gegen Cyberangriffe am besten schütze. Fast alle befragten Führungskräfte (96 Prozent) berichten davon, einschneidende emotionale oder psychische Auswirkungen zu verspüren.

„Burn-out, die steigende Komplexität von IT-Infrastrukturen und eine schnelllebige Bedrohungslandschaft belasten die Prozesse und Menschen“, resümiert Michael Pietsch von Rubrik. In Unternehmen, die bei der Cyber­sicherheit sparten, könne sich die Lage deshalb immer weiter verschärfen.