Industrie-Umgebungen: Cyber-Sicherheit trotz OT mit Alt-Systemen

Alt-Systeme in OT-Umgebungen weisen zwar Schwachstellen auf, können aber dennoch geschützt werden

[datensicherheit.de, 03.12.2024] In seiner aktuellen Stellungnahme betont Klaus Stolper, „Sales Director DACH“ bei TXOne Networks, dass Alt-Systeme in OT-Umgebungen zwar Schwachstellen aufwiesen, aber dennoch geschützt werden könnten. „In vielen Unternehmen lautet eine der wichtigsten Fragen bezüglich der Betriebstechnologie (Operational Technology / OT): Wie schützt man die sogenannten Alt-Systeme richtig?“ Gerade im OT-Bereich sei viel veraltete Software im Einsatz, denn die Geräte und Maschinen in den Produktionsumgebungen seien oft vor zehn, 15 oder gar 20 Jahren angeschafft worden.

Foto: TXOne Networks

Klaus Stolper rät zu einer OT-nativen Sicherheitsstrategie mit OT-nativen Sicherheitslösungen

Simpler Ausweg mittels OT-Patch oder -Update meist unmöglich

Entsprechend alt seien auch die Betriebssysteme („Windows XP“ und älter). „Sie bieten mittlerweile keine oder nur rudimentäre Sicherheitskonzepte“, stellt Stolper klar. Allerdings könnten diese alten Maschinen, wenn sie überhaupt noch unterstützt werden, nicht einfach mit einem Patch oder Update versehen werden, wie dies in der IT-Umgebung möglich sei.

Im Weg stehe die Ausfallsicherheit, denn zur Aktualisierung müsse die Maschine wahrscheinlich abgeschaltet werden, was zum Stillstand der Produktion und damit zu einem finanziellen Schaden führen könne – „der schnell in die Millionen geht“. Dies seien völlig andere Voraussetzung als in der IT-Sicherheit, wo der Ausfall eines Computers in der Büro-IT einfacher verkraftet werden könne.

OT-Angriffe und -Ausfall können verheerende Folgen nach sich ziehen

Im Zuge der Digitalen Transformation anlässlich der Idee der sogenannten Industrie 4.0 würden diese veralteten Systeme jedoch zuerst ans interne Unternehmensnetzwerk und dadurch schließlich ans Internet angeschlossen – „mit verheerenden Folgen, denn diese ungesicherten Alt-Systeme mit teils bekannten Schwachstellen waren nie für diese Vernetzung gedacht und öffnen nun Hackern Tür und Tor ins Unternehmensnetz“.

Eine erfolgreiche Infiltration bzw. ein damit einhergehender Ausfall könne im OT-Bereich verheerende Folgen nach sich ziehen: Produktionsausfall mit enormen finanziellen Einbußen, Geldbußen oder Maschinenschäden bis hin zu lebensbedrohlichen Worst-Case-Szenarien wie beispielsweise in der chemischen Industrie. Stolper unterstreicht: „Doch Unternehmen müssen diesen Schritt der Vernetzung ihrer Anlagen gehen, um langfristig konkurrenzfähig bleiben zu können, weil dies die Produktivität und Effizient erhöht. Ein Dilemma!“

Mindestmaß an Sicherheit: EU drängt Unternehmen, ihre IoT- und OT-Umgebungen zu schützen

Mit neuen Regularien wie der NIS-2-Richtlinie und dem „Cyber Resilience Act“ (CRA) verpflichte die EU zwar Unternehmen, ihre IoT- und OT-Umgebungen zu schützen und fordere dafür ein Mindestmaß an Sicherheit, doch dies sei kein Garant für ein sicheres Netzwerk. „Will heißen, nur weil man alle Richtlinien befolgt, ist man nicht zwangsweise geschützt. Wegen jüngerer Entwicklungen wie im Bereich der Künstlichen Intelligenz (KI) sind Angriffe sowohl zahlreicher als auch professioneller geworden.“ Der Gesetzgeber dagegen könne mit der Geschwindigkeit, mit der diese neuen Technologien bereitgestellt würden, nur bedingt Schritt halten.

Es sei daher entscheidend, dass Unternehmen dem Thema der OT-Sicherheit über die „Compliance“ hinaus eine besondere Beachtung schenkten und es in den ständigen Fokus ihrer Cyber-Sicherheitsstrategie stellten. „Vor allem, jedoch nicht ausschließlich dann, wenn es sich um Alt-Systeme handelt.“

TXOne Networks gibt Tipps zur Stärkung der OT-Sicherheit

Die folgenden Punkte sind laut Stolper entscheidende Schritte zu einer umfänglichen OT-Sicherheit auch bei Alt-Systemen:

Ein Risiko-Management durchführen!
„Durch Beurteilung der Kritikalität eines bestimmten Legacy-Kontrollsystems könnten gezielte technische Vorkehrungen für bestimmte – als ,kritisch’ eingestufte – Assets durchgeführt werden, ohne Ressourcen und Zeit in anderen Bereichen zu verschwenden.“

Ein OT-spezifisches Netzwerkgerät installieren!
„Vor eine einzelne Anlage oder eine Gruppe von Legacy-Systemen wird ein spezielles Device platziert, dass als Schutzschild dient und virtuelle Patching-Funktionen bietet.“ Damit werde das Gerät mit modernen Methoden geschützt, obwohl das Betriebssystem veraltet ist.

Mit einem Passwort geschützte Geräte durch Biometrik ersetzen!
Durch KI sei das Stehlen von Passwörtern in einem weitaus größeren und professionelleren Stil möglich geworden. „Mit Biometrik geschützte Geräte und Funktionen sind hier die sicherere Wahl, weil diese Faktoren nur schwierig nachgeahmt werden können, zum Beispiel Fingerabdrücke.“

IT- und OT-Netzwerke trennen!
„Um den digitalisierten Betrieb am Laufen zu halten, müssen OT-Geräte im Unternehmensnetzwerk die Möglichkeit haben, miteinander zu kommunizieren, ohne von Angreifern, die sich in der IT gerade tummeln, gesehen zu werden. Das heißt, es bedarf einer physischen wie virtuellen Trennung von IT- und OT-Netzwerken innerhalb eines Unternehmens.“ Ist Ersteres infiltriert, könne der Angreifer nicht auf Letzteres zugreifen. Eine sogenannte Virtual Air Gap sorge dafür, dass auf OT-Geräte nur über eine sichere Verbindung zum Netz zugegriffen werden könne und dass OT-Netzwerk von der IT und somit vom Rest der Welt abgeschirmt bleibe.

Mikro-Segmentierung einführen!
„Hierbei bestimmt ein Netzwerkgerät, welche Kommunikation zwischen den einzelnen Geräten und Maschinen zugelassen wird.“ Dazu komme ein virtueller Patch. Es helfen demnach auch bereits bekannte Angriffe: Mit Signaturen auf dem Netzwerkgerät sehe man, „wenn diese alten Schwachstellen ausgenutzt werden sollen und kann entsprechend darauf reagieren“. Nach der Segmentierung des Netzwerks, also in einen OT- und einen IT-Bereich, werde nun innerhalb des OT-Teils auf Mikro-Ebene nochmal segmentiert, um wiederum isolierte Zonen mit scharfen Kontrollen des Datenverkehrs an ihren Grenzen zu erschaffen. „Wiederum verhindert dies, dass ein Hacker, der in eine Zone eindringt, die gesamte OT-Umgebung attackieren kann.“

Richtiger Schutz der OT-Umgebungen hilft Unternehmen sicher und konkurrenzfähig zu bleiben

„Im Zuge der Digitalen Transformation und der Industrie 4.0 ist es für Unternehmen überlebensnotwendig geworden mit der neuesten Technologie Schritt zu halten.“ Ihre Produktionsumgebungen liefen jedoch zumeist noch auf teils sehr alten Systemen, „die zu ersetzen oder zu aktualisieren kaum oder nicht möglich ist“. Bekannte Schwachstellen würden durch die Anbindung dieser Legacy-Systeme ans Internet zu Einfallstoren für Cyber-Kriminelle und stellten somit ein erhebliches Risiko dar.

Durch den richtigen Schutz der OT-Umgebungen indes könnten Unternehmen aber dafür Sorge tragen, dennoch sicher und somit konkurrenzfähig zu bleiben. Eine ausgearbeitete OT-Sicherheitsstrategie sei dabei entscheidend und unumgänglich, denn es sei möglich, die alten Systeme angemessen zu schützen, „wenn eine OT-native Sicherheitsstrategie mit OT-nativen Sicherheitslösungen angegangen wird“, gibt Stolper abschließend als Empfehlung.

Weitere Informationen zum Thema:

datensicherheit.de, 26.11.2024
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen / Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB

datensicherheit.de, 02.10.2024
Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht / BSI unterstreicht, dass der sichere Betrieb von OT große Herausforderungen birgt

datensicherheit.de, 17.09.2024
Mehr Cyber-Sicherheit für OT in Unternehmen erforderlich / KRITIS und Produktionsumgebungen heute stärker denn je Cyber-Bedrohungen ausgesetzt