Suchen

Security-Integration OT-Sicherheit lässt sich schlank integrieren

Autor / Redakteur: Klaus Mochalski / Sebastian Human

Beim Upgrade der Cybersicherheit in der vernetzten Produktionsumgebung ist ein integrativer Ansatz sinnvoll, bei dem neue Sicherheitsmechanismen in bestehende Netzwerkkomponenten eingebettet werden.

Firmen zum Thema

Früher noch primär hardwarebasiert sind effektive Security-Lösungen längst als App oder Zusatzfunktion von OT-Assets verfügbar.
Früher noch primär hardwarebasiert sind effektive Security-Lösungen längst als App oder Zusatzfunktion von OT-Assets verfügbar.
(Bild: gemeinfrei / Pixabay )

Es vergeht keine Woche, in der nicht neue Schwachstellen auf industriellen Komponenten öffentlich gemacht werden. Bereits im Februar 2020 meldete Rhebo an Beckhoff Automation eine Schwachstelle auf dem Buskoppler BK9000, die für Denial-Of-Service-Angriffe ausgenutzt werden kann. Auch aus Netzwerkmonitoring-Projekten mit Anomalieerkennung wissen wir: im Durchschnitt finden sich innerhalb der ersten zwei Wochen 23 Schwachstellen und Sicherheitslücken in der Automatisierungs- und Steuerungstechnik (nachfolgend kurz OT für Operational Technology). Spätestens mit den im Juni 2020 bekannt gewordenen Ripple20-Schwachstellen geraten auch IoT-fähige Geräte aller Hersteller in den Fokus.

Beispielhafte sicherheitsrelevante (rot) und betriebstechnische (blau) Anomalien in der Produktions-IT.
Beispielhafte sicherheitsrelevante (rot) und betriebstechnische (blau) Anomalien in der Produktions-IT.
(Bild: Rhebo)

Das Problem liegt unter anderem in der zunehmenden Heterogenität der Hersteller in Produktionsanlagen. Sicherheitsfunktionen – soweit überhaupt existent – sind selten zwischen den Herstellern abgestimmt. Zusätzlich gefährden Fehlkonfigurationen, Konflikte zwischen Geräten sowie intransparente Werkeinstellungen die operative Stabilität der Produktion.

Stabilität und Sicherheit sind gleichwertig

Die Stabilität als Kernfokus der Betriebsführung bedingt auch, dass bestehende Konfigurationen an Anlagenkomponenten häufig nicht geändert werden – selbst wenn dies eine höhere Gefährdung durch Cyberangriffe bedeutet. Dies und die oftmals veralteten Systeme mit Lebenszyklen von mitunter 20 Jahren und mehr erschweren somit eine komponenten-basierte Cybersicherheitsstrategie. Dass viele industrielle Systeme nicht oder nur mit starker Verzögerung gepatcht werden, ist ein offenes Geheimnis.

OT-Cybersicherheit sollte deshalb zwischen den Anlagenkomponenten ansetzen und sich möglichst schlank und einfach integrieren lassen, ohne dass die Produktion davon beeinträchtigt wird

Aus diesem Grund sitzt ein industrielles Netzwerkmonitoring mit Anomalieerkennung innerhalb der OT an Knotenpunkten der Anlagenkommunikation.

In der Regel wird über Mirrorports auf Switches oder Netzwerk-Taps die Kommunikation gespiegelt und im Detail ausgewertet. Das Netzwerkmonitoring mit Deep-Packet-Inspection-Technologie erlaubt dadurch eine detaillierte und rückwirkungsfreie Analyse der gesamten Kommunikation innerhalb der OT – unabhängig davon, welche Anlagentypen oder Hersteller in der Produktion selbst genutzt werden. Die Anomalieerkennung gewährleistet, dass alle Abweichungen der meist deterministischen Kommunikation in der OT identifiziert, dokumentiert und gemeldet werden.

OT-Cybersicherheit als Embedded System

Was in den vergangenen Jahren mehrheitlich hardware-basiert erfolgte, wird durch die fortschreitende Digitalisierung und Integration als Embedded System weiter vereinfacht. So ist das Netzwerkmonitoring mit Anomalieerkennung empfehlenswerter Anbieter längst als App oder Zusatzfunktion auf OT-Komponenten weit verbreiteter Hersteller wie Bosch Rexroth, Siemens Ruggedcom, Phoenix Contact, Wago und Cisco integriert. Betreiber des IBM QRadar-Systems können die Anomalieerkennung als dedizierten OT-Datenlieferant in das übergeordnete Security Information and Event Management System (SIEMS) einbinden.

Das industrielle Netzwerkmonitoring wird alleinstehend oder über bestehende Komponenten in die OT integriert. Dadurch schafft es innerhalb der OT vollständige Transparenz.
Das industrielle Netzwerkmonitoring wird alleinstehend oder über bestehende Komponenten in die OT integriert. Dadurch schafft es innerhalb der OT vollständige Transparenz.
(Bild: Rhebo)

Industrieunternehmen schlagen so zwei Fliegen mit einer Klatsche. Sie können zum einen ein ganzheitliches, herstellerunabhängiges und damit bedingungslos objektives Monitoring ihrer OT umsetzen. Zum anderen müssen sie keinen teuren Infrastrukturumbau in der Produktion vornehmen. Das Sicherheits- und Stabilitäts-Upgrade der OT erfolgt reibungslos, ohne Produktionsunterbrechung oder zusätzliche Netzwerklast.

(ID:46933605)