Umgebungen, in denen IT-Komponenten steuernd in die „wirkliche Welt“ eingreifen, lassen sich mit den Standardrezepten der IT-Security nicht immer wirksam und zugleich hinreichend nebenwirkungsfrei schützen. Operational Technology (OT) und IoT (Internet of Things) verlangen nach neuen, kreativen Ansätzen für die Sicherheit. Um hier tragfähige Sicherheitskonzepte auf den Weg zu bringen, benötigt man zuerst einen Orientierungsrahmen für den Projektumfang (Scope) und Best Practices.

Gerade erst hat man sich daran gewöhnt, „Informationssicherheit“ statt „IT-Sicherheit“ zu schreiben, wenn es in einem Unternehmen tatsächlich um den Schutz von Informationsbeständen geht und nicht um die Sicherheit von Infrastrukturen. Und schon kommt mit Macht ein neues Gebiet ins Spiel, das mit der eingeübten Terminologie nicht zu erfassen ist. Steht schon wieder ein Paradigmenwechsel ins Haus?

Mehr Manipulationsszenarien

Es geht um Bereiche wie „OT-Security“ (Sicherheit der „Operational Technology“, also von Produktionsanlagen), „ICS-Security“ (Sicherheit von Industrial Control Systems, gleichbedeutend mit OT), „IoT-Security“ (Sicherheit von Geräten im Internet of Things) und Sicherheit für medizinische Geräte. Den erwähnten Umgebungen gemeinsam ist, dass sie IT-gestützte Steuerungen dazu einsetzen, Vorgänge in der realen Welt zu beeinflussen: die Herstellung eines physischen Produkts, die Gewinnung von Messwerten aus der Umwelt, die Steuerung einer Maschine oder die Heilung, Pflege oder Unterstützung eines Menschen.

Zwar sind in all diesen Fällen immer auch mehr oder weniger schützenswerte Informationen im Spiel; doch bei den Security-Zielen steht zwangsläufig immer die Integrität von Prozessen im Vordergrund, die direkt in die Umwelt eingreifen. In der Medizin oder Pflege ist dies unmittelbar nachvollziehbar, aber auch ein um sich schlagender Roboter oder ein fehlkontrolliertes Fahrzeug können nicht nur Dinge, sondern auch Menschen gefährden.

Die klassische NIST-Kategorisierung von Sicherheitsmaßnahmen in Identify, Protect, Detect, Respond und Recover passt gut zu OT- und IoT-Umgebungen.

Lange Zeit waren die Systeme der erwähnten Technologiesektoren von den IP-Netzen der Geschäftswelt und damit vom Internet hinreichend getrennt, sodass sich Maßnahmen gegen Manipulation und Datendiebstahl vor allem auf den physischen Schutz im Sinne des klassischen Zutritts-Managements beschränken konnten. Mit der fortschreitenden Digitalisierung allerdings nehmen die Schnittstellen zwischen OT- und IT-Welt zu – und damit die Chancen von Cyberkriminellen, auf Prozesse mit direkten Auswirkungen in der realen Welt zuzugreifen.

Das Arbeitsfeld „Sabotage“ wird interessant, denn es gibt viele Möglichkeiten, Schaden anzurichten: die Manipulation von Medikamentengaben, Fehlsteuerungen von Umweltkontrollen, die erwähnten unkontrollierbar agierenden Roboter, Rezepturänderungen an teuren Produkten etc. Man darf davon ausgehen, dass Kriminelle auch an lukrativen Erpressungsszenarien auf diesem Gebiet arbeiten: „Gib mir x Millionen, oder Du bekommst Dein Werk in Brasilien erst in vier Tagen wieder in den Griff!“ Für manchen Hersteller könnte ein derart langer Produktionsstillstand so erhebliche Einbußen bedeuten, dass er wider besseres Wissen sofort zahlt.

Die Suche nach dem richtigen Maß

Was den Umgang mit den neuen Risiken betrifft, so stößt man in vielen betroffenen Organisationen auf eine eigenartige Gemengelage. Einerseits nehmen Sicherheitsverantwortliche durchaus wahr, welche Gefahren drohen, andererseits hat man Digitalisierungsprojekte häufig bereits komplett ohne Prüfung der damit verbundenen Sicherheitsfaktoren auf den Weg gebracht. Die Erkenntnis, dass etwas zu tun ist, ereilt Unternehmen häufig zuerst ganz konkret in Form von Anfragen oder Assessments, die von Partnerunternehmen, Kunden oder Industrieorganisationen ausgehen. In dieser Situation suchen die Sicherheitsteams dann nach einem geeigneten Orientierungsrahmen oder Best Practices, um ein vernünftiges allgemeines Schutzniveau herzustellen und einen dokumentierbaren Prozess zur Besserung des eigenen Security-Status auf den Weg zu bringen.

Erfahrungsgemäß herrscht an dieser Stelle bereits ein tiefes Missverständnis, dem manchmal nur mit langer und intensiver Argumentation beizukommen ist: Es gibt nicht „das“ richtige Schutzniveau für jede Produktionsumgebung oder jede Klinik und nicht „die“ richtigen Basismaßnahmen, die sich für alle Organisationen eignen.

Mit dem „ICS-Security-Kompendium“ des BSI lässt sich in Verbindung mit einem individuellen Assessment die Ist-Aufnahme der Security in einem produzierenden Unternehmen wirksam steuern.

Ohne ein zumindest rudimentäres Risiko-Assessment und ohne eine erste Statuserfassung lässt sich in IT- und IoT-Umgebungen das gewünschte „angemessene“ Schutzniveau nicht erreichen – ebenso wenig, wie man ein klassisches ISMS (Informationssicherheits-Management-System) für eine Business-Umgebung ohne diese Schritte aufbauen könnte. Wer Maßnahmen einfach nach „Schema F“ implementiert, riskiert Sicherheitslücken und teure Fehlinvestitionen zugleich.

Folgende Punkte zur Scope-Bestimmung für eine Anhebung des Sicherheitsniveaus spielen in fast jeder betroffenen Organisation eine Rolle:

  • Interne Segmentierung: Welche Standorte, Produktionsstraßen, Maschinen oder Anlagen lassen sich als getrennt zu betrachtende Einheiten behandeln? Welche gehören zusammen? Gibt es ein Netzwerk-Segmentierungskonzept, das diese Strukturen widerspiegelt?
  • Gilt für die ermittelten Einheiten ein gemeinsames Risikoniveau oder nicht? Wie lange etwa darf welche Einheit ausfallen, bevor Schaden entsteht, und in welchem Maße sind jeweils Personen gefährdet?
  • Wie hoch ist dabei das Vertraulichkeitsrisiko, also die Folgen eines Datendiebstahls direkt am Gerät oder übers Netz?
  • Existieren für die jeweilige Einheit bereits ein Sicherheitskonzept und zugewiesene Verantwortlichkeiten? Bestehen definierte Notfall-Kommunikationswege zum fraglichen System oder Ort?
  • Wie hoch ist der Vernetzungs- oder Digitalisierungsgrad? Welche Digitalisierungs- oder Vernetzungsschritte sind bereits geplant oder kurz vor der Umsetzung?
  • Wie sieht gegebenenfalls das Fernwartungskonzept aus?
  • Gibt es bereits ein Verfahren für die Zutritts- und Zugangssicherheit?
  • Wie alt ist das jeweilige System? Lässt es sich mit Standard-IT-Verfahren wie regelmäßigen Updates versorgen und mit Virenschutz-Software ausstatten oder ist dies ausgeschlossen? Gibt es als Ersatz vorgeschaltete Sicherheits-Gateways?
  • Ist die Steuerung womöglich ein Fremdsystem, auf das der Anwender keinen direkten Einfluss hat? Welches Sicher-
  • heitskonzept verfolgt der fragliche Partner?
  • Fand bei der Einführung des Systems oder der Anlage eine Sicherheitsprüfung statt?

Diese Fragen helfen gewöhnlich recht gut, einen ersten Eindruck des Ist-Zustands und der wichtigsten Risiken im OT-Bereich zu erhalten. Wie man ein entsprechendes Assessment im Detail durchführt und welche Techniken sich für die Informationsgewinnung bewährt haben, behandelt ein späterer Beitrag dieser Serie.

Für produzierende Unternehmen mit internationalen Standorten ist es typisch, dass nach einem ersten Assessment ein eklatantes Reifegradgefälle zwischen den Lokationen nahe der Zentrale und andernorts auf der Welt zutage tritt. Mit etwas Glück sind dann jene Standorte, die das schlechteste Sicherheitsniveau aufweisen, auch diejenigen mit dem geringsten Digitalisierungsgrad. Anderenfalls besteht sehr dringender Handlungsbedarf.

Serie: Aspekte der OT-Security
Im Rahmen dieser Serie befasst sich LANline in loser Folge mit Aspekten moderner OT- und IoT-Sicherheit. Was das IoT-Umfeld betrifft, so stehen dabei keine Geräte im Mittelpunkt, die hauptsächlich von Privatanwendern verwendet werden, sondern professionell eingesetzte Systeme in der Medizin, in der Produktion oder als Komponente von Anlagensteuerungen.

Beiträge zu folgenden Themenbereichen sind geplant:

  1. Orientierungsrahmen (Scope und Best Practices)
  2. Zutritts- und Zugriffs-Management
  3. Assessment-Praxis (Ist-Zustand und Risiken)
  4. Ein SOC für IT und OT

Hilfreiche Dokumente

Erst nach dieser Vorab-Standortbestimmung lohnt sich die Suche nach Best Practices oder Orientierungsdokumenten, die man dann auf taugliche Vorschläge abklopfen kann. Groß ist die Auswahl in diesem Bereich bisher nicht.

Hat es ein Unternehmen bereits erlebt, dass ihm Partner oder Kunden Self-Assessment-Bögen zugesandt haben oder konnte man Erfahrungen mit entsprechenden Vor-Ort-Audits sammeln, lässt sich daraus der praktikabelste erste Orientierungsrahmen ableiten, denn die Dokumente oder Erlebnisse betreffen direkt die bereits bestehenden Geschäftsbeziehungen. Eine zweite wichtige Quelle können Branchenverbände sein – die Automobilzulieferer etwa haben hier Zugriff auf durchaus brauchbare Vorlagen des Verbands der Automobilindustrie (VDA).

Darüber hinaus eignet sich der Katalog der Norm ISO 27002 für eine tiefergreifende Standortbestimmung, denn viele der dort gelisteten Maßnahmen oder Kontrollmechanismen („Controls“) lassen sich auch auf OT-Umgebungen anwenden. Dies gilt allerdings nicht für die Bereiche Patch-Management, Malware-Schutz und Identitäts- und Zugriffs-Management, denn dort gelten speziell in der OT gänzlich andere Gesetze als in einem typischen Büroumfeld. Speziell der Access-Management-Sektor ist dabei so wichtig und „fremd“, dass wir ihn ebenfalls in einer gesonderten Folge dieser Serie behandeln werden.

IoT und OT
Vor allem in produzierenden Unternehmen verschwimmen oft die Begriffe „IoT“ (Internet of Things) und „OT“ (Operational Technology). Verwunderlich ist das nicht, denn auch eine millionenteure Produktionsstraße ist ein mit dem Internet verbundenes „Ding“. Es unterscheidet sich in seiner Wirkmächtigkeit zwar erheblich von einem 10-Euro-Consumer-Gerät fürs automatisierte Blumengießen, aber der Faktor „direkte Umweltbeeinflussung“ ist beiden Systemen gemein. Sicherheitsfachleute, die sich in einem Unternehmen mit „IoT“ oder „OT“ befassen sollen, sind gut beraten, wenn sie die OT- und IoT-Terminologie intern exakt klären, bevor sie zur Tat schreiten oder Konzepte entwickeln – einfach deshalb, weil das Management mit beiden Begriffen möglicherweise unterschiedliche Vorstellungen verbindet und ihnen unterschiedliche Zuständigkeiten zuordnet. Mitunter ist die „Produktsicherheit“, also die Sicherheit von hergestellten Waren mit Internetanbindung, ein dritter getrennter Sektor.

Als wertvoll für die Kategorisierung der Maßnahmen erweist sich bei immer mehr Unternehmen zusätzlich das „Framework for Improving Critical Infrastructure Cybersecurity“ der US-Institution NIST (National Institute of Standards and Technology) mit seiner praxisgerechten Einteilung in die Felder Identify, Protect, Detect, Respond und Recover (Download: www.nist.gov/cyberframework/draft-version-11, man greife zur PDF-Version 1.1 ohne Markups).

Zwei weitere Dokumente, die mit Listen konkreter Vorgehensweisen weiterhelfen, sind das „Industrial Internet of Things Volume G4: Security Framework“ des Industrial Internet Consortiums (Download: www.iiconsortium.org/pdf/IIC_PUB_G4_V1.00_PB.pdf) und das „ICS-Security-Kompendium“ des BSI (Bundesamt für Sicherheit in der Informationstechnik; Download: www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.html). Das erste der beiden Dokumente ist durchaus empfehlenswert; man merkt ihm aber auch an, dass es stark von Herstellern beeinflusst ist. Mit dem BSI-Text hat ein Autor dieses Beitrags sehr gute Erfahrungen im Beratungskontext gemacht, sofern das Dokument als grober Rahmen Verwendung findet und auf ein echtes Assessment der oben beschriebenen Art bezogen wird.

Bettina Weßelmann ist Beraterin für Unternehmenskommunikation und Fachautorin mit dem Spezialgebiet Informationssicherheit. Dr. Johannes Wiele ist freier Autor und arbeitet als Managing Security Consultant.