Sicherheit in IT- und OT-Umgebungen
Aktives vs. passives Scanning
Die Vernetzung von IT- und OT-Umgebungen forcieren Unternehmen als Teil der digitalen Transformation besonders. Fernwartung, schnellere Produktionszyklen, kleinere Produktionsmengen, schnellere Lieferketten und vor allem auch mehr Geschwindigkeit von der Prototypenentwicklung hin zu Produktion sind nur einige der Vorteile. Die Einführung von 5G beschleunigt die Produktionsprozesse noch einmal deutlich.
Nachteile einer solchen Vernetzung von IT- und OT-Umgebungen bestehen jedoch in Sachen Cyber- und Ausfallsicherheit. Zahlreiche Technologien zur Erkennung von Gefahren in OT-Netzwerken scheitern daran, dass sie mit den Anforderungen der OT-Ingenieure nach einem möglichst unterbrechungsfreien Betrieb der Umgebungen nicht mithalten können. Im schlimmsten Fall stellen sie sogar selbst ein Problem dar. Aus Security-Sicht stellt sich deshalb oft die Frage, welche Art des Scannings zu welchem Zeitpunkt und in welcher Umgebung sinnvoll ist.
Wozu braucht es überhaupt einen Scan der OT-Umgebung? Ein kürzlich entdecktes trojanisches Pferd, das genau darauf abzielt, ist EKANS. Es ist speziell auf industrielle Steuerungssysteme und deren Soft- und Hardware ausgerichtet, die in allen Bereichen von Ölraffinerien über Stromnetze bis hin zu Produktionsanlagen zum Einsatz kommen.
Ähnlich wie bei anderen Lösegeldforderungen verschlüsselt EKANS Daten und zeigt den Opfern eine Notiz an, in der sie die Zahlung für die Freigabe verlangen.
Malware speziell für Industriesabotage
EKANS kann jedoch noch viel mehr: Es ist so konzipiert, dass es 64 verschiedene Softwareprozesse auf den Computern der Opfer beendet. Darunter sind viele, die spezifisch für industrielle Steuerungssysteme sind. Es kann dann die Daten verschlüsseln, mit denen diese Steuerungssystemprogramme interagieren. Im Vergleich zu anderer Malware, die Hacker speziell für die industrielle Sabotage entwickelt haben, ist dies ein grober Schlag für Software, die zur Überwachung kritischer Infrastrukturen, wie etwa der Pipelines einer Ölgesellschaft, eingesetzt wird.
Dies kann gefährliche Folgen haben. Wenn beispielsweise eine Fernüberwachung nicht mehr möglich ist, kann das im Falle einer Störung die Maschinen dauerhaft beschädigen, was nicht nur hohe Kosten, sondern auch Gefahren für die Umwelt mit sich bringt. Bereits vor einigen Jahren haben Sicherheitsexperten die Ransomware Industroyer entdeckt, die es ebenfalls auf Maschinen abgesehen hat. Um solche Gefahren schnell zu erkennen und Gegenmaßnahmen einzuleiten, ist es daher unabdingbar, passives und aktives Scanning in OT-Umgebungen durchzuführen.
Aktives Scanning
Was ist eigentlich aktives Scanning? Eine Umgebung, ganz gleich ob IT oder OT, aktiv zu scannen, ist in der Cybersicherheit einer der wichtigsten Maßnahmen. Besondere Bedeutung hat es, sich einen Überblick über die Vorgänge zu verschaffen und die "Gesundheit" der Systeme zu überprüfen. Wichtige Informationen lassen sich oft nur durch aktive Anfragen herausfinden und sind nicht im normalen Datenverkehr zu finden oder werden von den Systemen automatisch übermittelt.
Das aktive Scanning funktioniert durch das Versenden eines Testverkehrs in das Netzwerk und die Abfrage von einzelnen Endpunkten. Die aktive Überwachung kann sehr effektiv sein, um grundlegende Profilinformationen wie Gerätename, IP-Adresse, NetFlow- oder Syslog-Daten sowie detailliertere Konfigurationsdaten wie Marke und Modell, Firmware-Versionen, installierte Software/Versionen und Betriebssystem-Patch-Level zu erfassen.
Durch das direkte Senden von Paketen an Endpunkte kann aktives Scannen die Datenerfassung beschleunigen. Jedoch erhöht dies das Risiko von Fehlfunktionen an den Endpunkten, indem man dadurch inkompatible Abfragen an sie richtet oder kleinere Netzwerke mit Datenverkehr sättigt.
Dagegen ist ein Vorteil des aktiven Scannings, dass es das Netz normalerweise nicht rund um die Uhr überwacht, sodass es möglicherweise keine temporären Endpunkte oder Geräte im Listen-only-Modus erkennt.
Nachteile entstehen vor allem bei OT-Umgebungen. Diese Systeme, vor allem die Steuerungssoftware, sind oftmals nicht darauf vorbereitet, ihre Aufgaben durchzuführen, während sie Datenverkehr empfangen und wieder zurückschicken. Die Gefahr, dass man die Controller verwirrt und sie anschließend nicht mehr wissen, was ihre eigentliche Aufgabe ist, besteht in der Realität. Viele dieser Systeme sind proprietär und reagieren deshalb umso empfindlicher auf äußere Einflüsse. Aus diesem Grund führt man vor allem in OT-Umgebungen eher passive Scans durch.
Bei einem passiven Scan wird der Netzwerkverkehr "stillschweigend" analysiert, um Endpunkte und Verkehrsmuster zu identifizieren. Es erzeugt keinen zusätzlichen Netzwerkverkehr und birgt fast keine Risiken bei der Unterbrechung kritischer Prozesse durch direkte Interaktion mit den Endpunkten. Die passive Überwachung kann jedoch mehr Zeit für die Erfassung von Asset-Daten benötigen, da sie darauf warten muss, dass Netzwerkverkehr zu oder von jedem Asset erzeugt wird, um ein vollständiges Profil zu erstellen. Außerdem sind in einigen Fällen nicht alle Bereiche des Netzwerks verfügbar, was die Fähigkeit zur passiven Überwachung des Datenverkehrs in der gesamten OT-Umgebung einschränken kann.
Aktive Scans als Ergänzung für passives Scanning
Dennoch sollte der Verantwortliche von Zeit zu Zeit zusätzlich aktive Scans durchführen. Allerdings muss er dafür gewisse Vorbereitungen treffen, um Ausfälle oder sogar physische Schäden zu vermeiden. Am besten lassen sich solche Scans durchführen, wenn die Maschinenparks und Produktionsstraßen stillstehen. Denn selbst, wenn im besten Fall lediglich Latenzzeiten auftreten, kann niemand garantieren, dass es nicht doch noch zu anderen Problemen kommen könnte.
Lösungen für die Erkennung und Überwachung von OT-Umgebungen vereinen inzwischen sowohl aktive als auch passive Scanning-Techniken. Sie erlauben es OT-Teams, mehr Transparenz in ihren ICS-Umgebungen zu erreichen. Sie ermöglichen es ihnen gleichermaßen, für jedes Teilsystem den richtigen Ansatz zu verwenden. Die Lösungen müssen darüber hinaus sicherstellen, dass das Risiko einer Unterbrechung möglichst auf null reduziert wird. Beispiele solcher Gefahren sind Endpunkt-Fehlfunktionen durch passive Überwachung des Netzwerks oder die fehlerhafte Zuordnung von Firmware-Versionen und Kommunikationsprotokollen. Ein weiteres Beispiel ist die Möglichkeit, die Anzahl der gleichzeitig durchgeführten Abfragen zu begrenzen, um eine Überlastung von OT-Netzwerken mit geringerer Bandbreite zu vermeiden.
Kombination aus beiden Scanvarianten ist sinnvoll
Immer mehr IT-Organisationen müssen sich der Herausforderung stellen, nicht nur die IT-Umgebung, sondern auch die industrielle Betriebstechnik abzusichern. Aktives und passives Scanning sind wichtig, um sich einen Überblick über die Vorgänge in den OT-Umgebungen zu verschaffen und Bedrohungen wie EKANS oder Industroyer frühzeitig zu stoppen. Doch ist es wichtig, sich über die Folgen eines Scannings bewusst zu sein. Aktives Scanning sollte man daher nur temporär oder im äußersten Notfall durchgeführen, um Produktionsausfälle oder Störungen zu vermeiden. Passives Scanning bietet eine geringere Wahrscheinlichkeit von Störungen an, liefert jedoch nicht die gleichen Ergebnisse. Aus diesem Grund benötigen Unternehmen Lösungen, die beides in sich vereinen und genug Erfahrung mit OT-Umgebungen haben, um sowohl aktive als auch passive Scanning durchzuführen.
Eine solche Lösung ist beispielsweise ForeScout Technologies. Sie bietet eine cloudbasierte Lösung zur unternehmensweiten Netzwerksegmentierung an. Die Software hilft, die Sicherung kritischer Anwendungen zu erleichtern, die Anfälligkeit gemischter IT/OT-Umgebungen zu reduzieren und die Auswirkungen von Angriffen auf das Netzwerk zu begrenzen. Die Lösung ermöglicht es Unternehmen, ihre Netzwerksegmentierung zu definieren und zu implementieren. Dazu gehören komplexe Unternehmensnetzwerke, Rechenzentren, Clouds und vor allem auch OT-Umgebungen.
Lesen Sie mehr zum Thema
