Umgebungen, in denen IT-Komponenten steuernd in die "wirkliche Welt" eingreifen, lassen sich mit den Standardrezepten der IT-Security nicht immer wirksam und zugleich hinreichend nebenwirkungsfrei schützen. Operational Technology (OT) und IoT (Internet of Things) verlangen nach neuen, kreativen Ansätzen für die Sicherheit. Um hier tragfähige Sicherheitskonzepte auf den Weg zu bringen, benötigt man zuerst einen Orientierungsrahmen für den Projektumfang (Scope) und Best Practices.
Gerade erst hat man sich daran gewöhnt, "Informationssicherheit" statt "IT-Sicherheit" zu schreiben, wenn es in einem Unternehmen tatsächlich um den Schutz von Informationsbeständen geht und nicht um die Sicherheit von Infrastrukturen. Und schon kommt mit Macht ein neues Gebiet ins Spiel, das mit der eingeübten Terminologie nicht zu erfassen ist. Steht schon wieder ein Paradigmenwechsel ins Haus?
Es geht um Bereiche wie "OT-Security" (Sicherheit der "Operational Technology", also von Produktionsanlagen), "ICS-Security" (Sicherheit von Industrial Control Systems, gleichbedeutend mit OT), "IoT-Security" (Sicherheit von Geräten im Internet of Things) und Sicherheit für medizinische Geräte. Den erwähnten Umgebungen gemeinsam ist, dass sie IT-gestützte Steuerungen dazu einsetzen, Vorgänge in der realen Welt zu beeinflussen: die Herstellung eines physischen Produkts, die Gewinnung von Messwerten aus der Umwelt, die Steuerung einer Maschine oder die Heilung, Pflege oder Unterstützung eines Menschen.
Zwar sind in all diesen Fällen immer auch mehr oder weniger schützenswerte Informationen im Spiel; doch bei den Security-Zielen steht zwangsläufig immer die Integrität von Prozessen im Vordergrund, die direkt in die Umwelt eingreifen. In der Medizin oder Pflege ist dies unmittelbar nachvollziehbar, aber auch ein um sich schlagender Roboter oder ein fehlkontrolliertes Fahrzeug können nicht nur Dinge, sondern auch Menschen gefährden.
Lange Zeit waren die Systeme der erwähnten Technologiesektoren von den IP-Netzen der Geschäftswelt und damit vom Internet hinreichend getrennt, sodass sich Maßnahmen gegen Manipulation und Datendiebstahl vor allem auf den physischen Schutz im Sinne des klassischen Zutritts-Managements beschränken konnten. Mit der fortschreitenden Digitalisierung allerdings nehmen die Schnittstellen zwischen OT- und IT-Welt zu - und damit die Chancen von Cyberkriminellen, auf Prozesse mit direkten Auswirkungen in der realen Welt zuzugreifen.
Das Arbeitsfeld "Sabotage" wird interessant, denn es gibt viele Möglichkeiten, Schaden anzurichten: die Manipulation von Medikamentengaben, Fehlsteuerungen von Umweltkontrollen, die erwähnten unkontrollierbar agierenden Roboter, Rezepturänderungen an teuren Produkten etc. Man darf davon ausgehen, dass Kriminelle auch an lukrativen Erpressungsszenarien auf diesem Gebiet arbeiten: "Gib mir x Millionen, oder Du bekommst Dein Werk in Brasilien erst in vier Tagen wieder in den Griff!" Für manchen Hersteller könnte ein derart langer Produktionsstillstand so erhebliche Einbußen bedeuten, dass er wider besseres Wissen sofort zahlt.
Was den Umgang mit den neuen Risiken betrifft, so stößt man in vielen betroffenen Organisationen auf eine eigenartige Gemengelage. Einerseits nehmen Sicherheitsverantwortliche durchaus wahr, welche Gefahren drohen, andererseits hat man Digitalisierungsprojekte häufig bereits komplett ohne Prüfung der damit verbundenen Sicherheitsfaktoren auf den Weg gebracht. Die Erkenntnis, dass etwas zu tun ist, ereilt Unternehmen häufig zuerst ganz konkret in Form von Anfragen oder Assessments, die von Partnerunternehmen, Kunden oder Industrieorganisationen ausgehen. In dieser Situation suchen die Sicherheitsteams dann nach einem geeigneten Orientierungsrahmen oder Best Practices, um ein vernünftiges allgemeines Schutzniveau herzustellen und einen dokumentierbaren Prozess zur Besserung des eigenen Security-Status auf den Weg zu bringen.
Erfahrungsgemäß herrscht an dieser Stelle bereits ein tiefes Missverständnis, dem manchmal nur mit langer und intensiver Argumentation beizukommen ist: Es gibt nicht "das" richtige Schutzniveau für jede Produktionsumgebung oder jede Klinik und nicht "die" richtigen Basismaßnahmen, die sich für alle Organisationen eignen.
Ohne ein zumindest rudimentäres Risiko-Assessment und ohne eine erste Statuserfassung lässt sich in IT- und IoT-Umgebungen das gewünschte "angemessene" Schutzniveau nicht erreichen - ebenso wenig, wie man ein klassisches ISMS (Informationssicherheits-Management-System) für eine Business-Umgebung ohne diese Schritte aufbauen könnte. Wer Maßnahmen einfach nach "Schema F" implementiert, riskiert Sicherheitslücken und teure Fehlinvestitionen zugleich.
Folgende Punkte zur Scope-Bestimmung für eine Anhebung des Sicherheitsniveaus spielen in fast jeder betroffenen Organisation eine Rolle:
Diese Fragen helfen gewöhnlich recht gut, einen ersten Eindruck des Ist-Zustands und der wichtigsten Risiken im OT-Bereich zu erhalten. Wie man ein entsprechendes Assessment im Detail durchführt und welche Techniken sich für die Informationsgewinnung bewährt haben, behandelt ein späterer Beitrag dieser Serie.
Für produzierende Unternehmen mit internationalen Standorten ist es typisch, dass nach einem ersten Assessment ein eklatantes Reifegradgefälle zwischen den Lokationen nahe der Zentrale und andernorts auf der Welt zutage tritt. Mit etwas Glück sind dann jene Standorte, die das schlechteste Sicherheitsniveau aufweisen, auch diejenigen mit dem geringsten Digitalisierungsgrad. Anderenfalls besteht sehr dringender Handlungsbedarf.
Beiträge zu folgenden Themenbereichen sind geplant:
Erst nach dieser Vorab-Standortbestimmung lohnt sich die Suche nach Best Practices oder Orientierungsdokumenten, die man dann auf taugliche Vorschläge abklopfen kann. Groß ist die Auswahl in diesem Bereich bisher nicht.
Hat es ein Unternehmen bereits erlebt, dass ihm Partner oder Kunden Self-Assessment-Bögen zugesandt haben oder konnte man Erfahrungen mit entsprechenden Vor-Ort-Audits sammeln, lässt sich daraus der praktikabelste erste Orientierungsrahmen ableiten, denn die Dokumente oder Erlebnisse betreffen direkt die bereits bestehenden Geschäftsbeziehungen. Eine zweite wichtige Quelle können Branchenverbände sein - die Automobilzulieferer etwa haben hier Zugriff auf durchaus brauchbare Vorlagen des Verbands der Automobilindustrie (VDA).
Darüber hinaus eignet sich der Katalog der Norm ISO 27002 für eine tiefergreifende Standortbestimmung, denn viele der dort gelisteten Maßnahmen oder Kontrollmechanismen ("Controls") lassen sich auch auf OT-Umgebungen anwenden. Dies gilt allerdings nicht für die Bereiche Patch-Management, Malware-Schutz und Identitäts- und Zugriffs-Management, denn dort gelten speziell in der OT gänzlich andere Gesetze als in einem typischen Büroumfeld. Speziell der Access-Management-Sektor ist dabei so wichtig und "fremd", dass wir ihn ebenfalls in einer gesonderten Folge dieser Serie behandeln werden.
Als wertvoll für die Kategorisierung der Maßnahmen erweist sich bei immer mehr Unternehmen zusätzlich das "Framework for Improving Critical Infrastructure Cybersecurity" der US-Institution NIST (National Institute of Standards and Technology) mit seiner praxisgerechten Einteilung in die Felder Identify, Protect, Detect, Respond und Recover (Download: www.nist.gov/cyberframework/draft-version-11, man greife zur PDF-Version 1.1 ohne Markups).
Zwei weitere Dokumente, die mit Listen konkreter Vorgehensweisen weiterhelfen, sind das "Industrial Internet of Things Volume G4: Security Framework" des Industrial Internet Consortiums (Download: www.iiconsortium.org/pdf/IIC_PUB_G4_V1.00_PB.pdf) und das "ICS-Security-Kompendium" des BSI (Bundesamt für Sicherheit in der Informationstechnik; Download: www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.html). Das erste der beiden Dokumente ist durchaus empfehlenswert; man merkt ihm aber auch an, dass es stark von Herstellern beeinflusst ist. Mit dem BSI-Text hat ein Autor dieses Beitrags sehr gute Erfahrungen im Beratungskontext gemacht, sofern das Dokument als grober Rahmen Verwendung findet und auf ein echtes Assessment der oben beschriebenen Art bezogen wird.