• All Blogs
OT-Security

OT-Security – Wo soll man anfangen?

| Jul 31, 2018

OT oder Operational Technology kann definiert werden als die Hard- und Software, die dazu dient, physikalische Prozesse durch direkte Überwachung und/oder Steuerung physischer Geräte wie Ventile, Pumpen usw. zu erkennen oder zu verändern.  Für diejenigen unter uns, die sich in der IT-Welt zu Hause fühlen, mag dies wie ein fremder Bereich erscheinen und Begriffe wie SCADA (Supervisory Control and Data Acquisition), DCS (Distributed Control System), ICS (Industrial Control System) und PLC (Programmable Logic Controller) könnten Sie verunsichern.  Niemand möchte sich gerne als der Noob fühlen und die Kluft zwischen IT und OT ist für beide Seiten unangenehm, da keiner das Gefühl hat, in der Welt des anderen richtig zurechtzukommen.  Angesichts der zunehmenden Sicherheitsbedrohungen im Bereich der operativen Technologie und der erhöhten Sichtbarkeit dieses neuen Vektors in vielen Unternehmen müssen sich beide Seiten in der Mitte treffen, um das Problem anzupacken.  Die Frage ist nur, wo man anfangen soll.  Viele Unternehmen geraten in Schwierigkeiten, weil die OT-Teams darauf beharren, die Eingriffe in den laufenden Betrieb des OT-Netzwerks und der angeschlossenen Geräte so gering wie möglich zu halten. Diese Haltung ist vertretbar, da sich die Eingriffe hier auf die Geschäftsergebnisse auswirken und möglicherweise Geräte beschädigen, aber auch zu Verletzungen oder im schlimmsten Fall zum Verlust von Menschenleben führen können.  IT-Security-Teams kennen in der Regel nicht die Altlasten von Systemen und Netzwerken auf der betriebstechnischen Seite und die Probleme, mit denen sich das OT-Team auseinandersetzt, wenn es darum geht, Systeme am Laufen zu halten, bei denen die Systemverfügbarkeit in Jahren gemessen wird.

 

Eine OT-Security-Richtlinie entwickeln

Eine der einfachsten und häufig übersprungenen Einstiegsmöglichkeiten ist die Entwicklung einer OT-Security-Richtlinie.  Es ist äußerst schwierig, wenn nicht sogar unmöglich, Stufen im Entwicklungszyklus effektiv zu überspringen; deshalb ist das Überspringen der Entwicklung einer OT-Security-Richtlinie so kritisch.  Ausgehend von der Richtlinie gibt es für beide Seiten des Unternehmens einen Ausgangspunkt für Gespräche, die zu einer Überbrückung von Meinungsverschiedenheiten und zu einem gemeinsamen Verständnis dessen führen können, was das Ergebnis für die OT-Security sein sollte.  Das OT-Team wird verstehen, welche Kontrollmechanismen vorgeschlagen werden, und das IT-Security-Team wird verstehen, wo und warum Kontrollen funktionieren und warum nicht. Hier ist ein guter Vergleich von NIST 800-82:

Kategorie 
IT-System
Industrial Control System
Leistungsanforderungen Nicht-Echtzeit Die Reaktion muss kohärent sein Hoher Durchsatz ist gefordert Hohe Verzögerung und Jitter sind ggf. akzeptabel Weniger kritische Notfallinteraktion
Streng eingeschränkte Zugriffskontrolle kann in dem für die Sicherheit notwendigen Umfang implementiert werden
Echtzeit Reaktion ist zeitkritisch Geringer Durchsatz ist akzeptabel Lange Verzögerung und/oder Jitter sind nicht akzeptabel Die Reaktion auf menschliche und andere Notfallinteraktionen ist kritisch Der ICS-Zugriff muss streng kontrolliert werden, darf aber die Interaktion zwischen Mensch und Maschine nicht behindern oder stören
Anforderungen an die Verfügbarkeit (Zuverlässigkeit) Reaktionen wie Neustart sind akzeptabel. Verfügbarkeitsdefizite können oft toleriert werden, abhängig von den betrieblichen Anforderungen des Systems Reaktionen wie Neustart sind aufgrund von Anforderungen an die Prozessverfügbarkeit ggf. nicht akzeptabel Verfügbarkeitsanforderungen können redundante Systeme erforderlich machen Ausfälle müssen Tage/Wochen im Voraus geplant und terminiert werden
Die hohe Verfügbarkeit erfordert umfassende Tests vor dem Einsatz
Anforderungen an das Risikomanagement Daten verwalten
Vertraulichkeit und Integrität der Daten ist oberstes Gebot
Fehlertoleranz ist weniger wichtig – kurze Ausfallzeiten sind kein großes Risiko
Wesentliche Risikowirkung ist die Verzögerung des Geschäftsbetriebs
Steuerung der physischen Welt
Die menschliche Sicherheit steht an erster Stelle, gefolgt vom Schutz des Prozesses
Fehlertoleranz ist unerlässlich, auch kurze Ausfallzeiten sind ggf. nicht akzeptabel
Wesentliche Risikowirkungen sind die Nichteinhaltung von Vorschriften, Umweltbelastungen, Verlust von Menschenleben, Ausrüstung oder Produktion
Systembetrieb Die Systeme sind für den Einsatz mit gängigen Betriebssystemen konzipiert
Upgrades sind durch die Verfügbarkeit von automatisierten Deployment-Tools problemlos möglich
Unterschiedliche und möglicherweise proprietäre Betriebssysteme, oft ohne integrierte Sicherheitsfunktionen
Softwareänderungen müssen vorsichtig vorgenommen werden, in der Regel von Softwareherstellern, da es sich um spezielle Regelalgorithmen und eventuell modifizierte Hard- und Software handelt
Ressourcenbeschränkungen Die Systeme sind mit ausreichenden Ressourcen ausgestattet und unterstützen das Hinzufügen von Drittanbieteranwendungen wie z. B. Security-Lösungen Die Systeme sind so konzipiert, dass sie den vorgesehenen industriellen Prozess unterstützen, und verfügen möglicherweise nicht über genügend Arbeitsspeicher und Computerressourcen, um das Hinzufügen von Sicherheitsfunktionen zu ermöglichen
Kommunikation Standard-Kommunikationsprotokolle
Vorwiegend kabelgebundene Netzwerke mit einigen lokalen Drahtlosfunktionen
Typische IT-Netzwerkpraktiken
Zahlreiche proprietäre und Standard-Kommunikationsprotokolle
Verschiedene Arten von Kommunikationsmedien wie z.B. kabelgebundende und Drahtloskommunikation (Funk und Satellit)
Netzwerke sind komplex und erfordern manchmal das Know-how von Regeltechnikern
Change Management Softwareänderungen werden bei guten Sicherheitsrichtlinien und -verfahren zeitnah umgesetzt.
Die Abläufe sind oft automatisiert.
Softwareänderungen müssen gründlich getestet und inkrementell in einem System implementiert werden, um sicherzustellen, dass die Integrität des Steuerungssystems erhalten bleibt.
ICS-Ausfälle müssen oft Tage/Wochen im Voraus geplant und terminiert werden.
ICS verwendet ggf. Betriebssysteme, die nicht mehr unterstützt werden
Managed Support Ermöglicht vielfältige Supportmöglichkeiten Der Service-Support erfolgt in der Regel über einen einzigen Anbieter
Lebensdauer der Komponenten Lebensdauer in der Größenordnung von 3 bis 5 Jahren Lebensdauer in der Größenordnung von 10 bis 15 Jahren
Standort der Komponenten
Die Komponenten sind in der Regel lokal und leicht zugänglich Komponenten sind ggf. isoliert, weit entfernt und erfordern einen hohen Aufwand, um Zugang zu ihnen zu erhalten.

 
 

Anpassen der OT-Security-Richtlinien des NIST

Wie bei jeder anderen Auseinandersetzung mit Richtlinien empfiehlt es sich auch hier, mit einer von der Branche akzeptierten Richtlinie zu beginnen, die jedoch auf das Unternehmen zugeschnitten werden sollte.  Es ist wichtig, zu verstehen, wie der Endzustand sein soll, und eine realistische Roadmap zu entwickeln, um ans Ziel zu gelangen.  Optimalerweise sollte dies aus einer risikoorientierten Perspektive angegangen werden, wobei das Verständnis der Risikotoleranz in einem gegebenen Umfeld den Endzustand der Kontrollen angibt und in der Regel Aufschluss über die zeitliche Entwicklung gibt, wie offensiv der Endzustand erreicht werden soll.  Wenn Sie auf der Suche nach einem Ausgangspunkt und einem geeigneten Rahmen sind, dann empfehle ich einen Blick in NIST 800-82, den NIST Guide to Industrial Control Systems (ICS) Security.  Dieser Leitfaden ist nicht nur ein guter Ausgangspunkt für die Richtlinienentwicklung, sondern bietet auch eine gute Einführung für diejenigen, die mit der OT und den Fachbegriffen nicht vertraut sind.

 

Verbesserungen der OT-Security mit geringen Eingriffen anstreben

Sobald Sie sich auf einen Rahmen einigen und einen Plan zur Richtlinienumsetzung entwickeln, suchen Sie nach Möglichkeiten, kleine Erfolge zu erzielen, bei denen Sie die Fähigkeit demonstrieren können, die Sicherheitslage mit nur geringen Eingriffen zu verbessern.  Eine der wichtigsten Anforderungen in vielen Umgebungen ist schlicht und einfach eine exakte Bestandsaufnahme, welche Geräte und Systeme sich im Netzwerk befinden, und eine Möglichkeit, bei einer Änderung wie dem Hinzufügen oder Entfernen eines Geräts eine Meldung zu erzeugen.  Dies kann durch die Implementierung einer passiven Scan-Technologie erreicht werden, um Informationen zu sammeln, die für jedes angeschlossene Gerät ohne Auswirkungen auf das Netzwerk verfügbar sind.  Dieser Schritt lässt sich dann dahingehend erweitern, dass diese Informationen genutzt werden können, um wiederum relevante Sicherheitsdetails wie Informationen über Schwachstellen, Verbindungen zu bösartigen Geräten und potenziell bösartige Verbindungsinformationen zu erhalten.  Dies alles kann ohne Auswirkungen auf das Netzwerk und die OT-Umgebung erfolgen.  Hier beginnen Sie, indem Sie die Lücke zwischen den Organisationen durch ein gemeinsames Verständnis, eine gemeinsame Taxonomie und die Implementierung von Kontrollen schließen, die beiden Gruppen zugute kommen.  OT-Security ist ein Bereich, den wir nicht mehr auf die leichte Schulter nehmen können.

Erfahren Sie mehr über OT-Security in unserem kostenfreien On-Demand-Webinar: Visibility and Cybersecurity in the World of ICS \ SCADA