OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion

Warum physische Separierung für die  nicht mehr funktioniert

Von unserem Gastautor Christoph Schuhwerk, CISO in Residence bei Zscaler

[datensicherheit.de, 11.02.2025] Die Sicherheit für OT (Operational Technology) befindet sich in einem rasanten Umbruch. Hacker werden vermehrt auf die im Schnitt sehr alten Betriebssysteme aufmerksam. Sie müssen nur nach bekannten Schwachstellen googeln und finden Einfallstore ins System. Mit dem unvermeidlichen Anschluss vieler OT-Netzwerke an die interne IT und zunehmend auch direkt an das Internet vergrößert sich die Angriffsfläche. Bisher war der AirGap-Ansatz das übliche Mittel der Wahl.Laut Zscaler ThreatLabz 2024 Mobile, IoT and OT Threat Report nutzen über 50 Prozent der OT-Geräte Betriebssystemversionen, für die es längst keine Updates und keinen Support mehr gibt.

OT-Verantwortliche befinden sich daher oft in einem Dilemma: Zum einen sind sie dazu gezwungen, durch Digitalisierung die Produktivität zu steigern, um konkurrenzfähig zu bleiben. Zum anderen müssen sie aufgrund der dadurch erweiterten Bedrohungslage die veraltete Umgebung effizient vor Angriffen schützen.

Warum das traditionelle AirGap zur Illusion wird

Lange Zeit war das Mittel der Wahl eine klassische AirGap-Strategie. Hierbei wird versucht, einen “Graben” um die OT-Netze zu ziehen, den ein Angreifer aus anderen Netzen heraus nicht überwinden kann. Die OT soll dadurch nicht mit der Außenwelt kommunizieren können, im Idealfall auch nicht mit der hausinternen IT. Denn jeder Übergang zwischen den beiden Welten eröffnet potenzielle Angriffspunkte – egal wie viele Firewalls dazwischen postiert sind. Deshalb war die Überlegung lange Zeit nachvollziehbar: Wo keine Verbindung zwischen OT und IT besteht, können auch keine Angriffe überspringen.

Christoph Schuhwerk, CISO in Residence bei Zscaler, Bild: Zscaler

Theorie trifft auf Realität

In der Realität verliert dieser Ansatz zunehmend an Überzeugungskraft. Kaum ein Unternehmen kann noch zu 100 Prozent sicherstellen, dass dieser Burggraben unüberwindbar ist. Es gibt zu viele Ausnahmen und potenzielle Risiken in den verschiedensten Anwendungsbereichen, wo die OT auf IT- oder Internet-Konnektivität angewiesen ist. Da gibt es beispielsweise Wetterprognosedaten oder globale Berechnungen von Online-Diensten, die über eine API eingelesen und über ein Gateway in die Anlage gebracht werden. Oder Sensoren an Maschinen, die im Sekundentakt unzählige Daten nach außen an den Hersteller kommunizieren, wie zum Beispiel die Fälligkeit der nächsten Wartung. Und wo Daten in eine Richtung fließen, besteht in der Regel auch ein Weg in die entgegengesetzte Richtung. Nicht zuletzt ist genau dieser Weg entscheidend, damit Hersteller zu Wartungszwecken auf Maschinen zugreifen, selektiv Informationen abrufen oder Updates einspielen können. Auch wenn der Zugang meist nur temporär gestattet wird, indem vom Kunden auf dem Router ein bestimmter Port freigeschaltet wird, besteht über diesen Kanal während dieser Zeit ein Einfallstor für Angreifer.

Auch in der OT-Welt ist die Remote-Arbeit auf dem Vormarsch. Natürlich sind es Ausnahmefälle, wenn sich Experten etwa aus dem Urlaub in ein System einwählen, um ihren Kollegen eine wichtige Funktion zu erklären, oder wenn (wie zu Corona Zeiten) mehrere Kollegen gleichzeitig erkranken. Es müssen dementsprechend Remote Access Systeme für den Notfall existieren, insbesondere im Bereich der Kritischen Infrastruktur (KRITIS). Auch eine Verbindung zur internen IT stellt einen Brückenkopf für Angreifer dar. Dabei reicht es aus, wenn etwa nur temporär von einem Office-Rechner einmal auf die OT zugegriffen und danach ein Firewall-Port nicht sachgemäß wieder blockiert wurde.

Lückenloses AirGap ist Wunschdenken

Die Beispiele machen es deutlich: Ein lückenloses AirGap ist mittlerweile Wunschdenken. Zu viele Faktoren und Ausnahmefälle durchbrechen diesen luftleeren Raum um die OT herum. In der heutigen Produktionsumgebung kann nicht verhindert werden, dass Daten von außen benötigt oder nach draußen transportiert werden. Dieses Wissen wird verstärkt von Hackern eingesetzt, die sich in den letzten Jahren genau darauf spezialisiert haben, diese Brücken zu finden und für ihre Attacken auszunutzen. Sind sie einmal über eine Schwachstelle in eine Umgebung eingedrungen, haben sie wegen der veralteten Systeme leichtes Spiel und können unter Umständen die gesamte Produktion lahmlegen. Mit gravierenden Auswirkungen für Unternehmen, die ja gerade den Stillstand des Maschinenparks verhindern wollen.

Den Erfahrungsvorsprung der IT nutzen

Wenn ein klassisches AirGap also nicht den erwünschten Schutz bietet, was kann dann die kritische OT-Umgebung schützen? Denn aufgrund der beschriebenen Herausforderungen ist die Frage, die sich Unternehmen stellen müssen, längst nicht mehr ob, sondern wann ein Angriff auf die OT-Systeme stattfindet.

Die OT muss daher von der IT lernen, die einen jahrelangen Vorsprung in der Absicherung gegen das Angriffspotenzial aus dem Internet besitzt. Es kommt dabei nicht darauf an, Vorgehensweisen zu kopieren, sondern vielmehr ihre Grundlagen und Architekturen auf das OT-Umfeld zu übertragen. Denn die IT hat in Sachen Cybersicherheit einen enormen Wissens- und Erfahrungsvorsprung. Folgende Punkte können helfen, diesen auf die OT zu übertragen:

• Zero Trust einführen: Das Konzept von Zero Trust ist in der IT bestens bewährt. Es stuft grundsätzlich jeden User, jedes Gerät und jedes Netzwerk als nicht vertrauenswürdig ein. Dies ist ein Gegensatz zum vor allem in der OT noch vorherrschenden Prinzip. Hier wird meist das innere Netzwerk oder die Produktionsumgebung als vertrauenswürdig angesehen und es werden nur Verbindungen nach außen kontrolliert. Beim Zero Trust-Ansatz findet eine kontinuierliche Überprüfung und Authentifizierung aller User und Geräte statt, egal von wo aus diese zugreifen.
  Einen Connector vor das OT-Netz platzieren: In der OT ist es oft nicht möglich, ein System oder eine Software aufgrund abgeschlossener Umgebungen zu aktualisieren. Hier kann ein virtueller Türsteher in Form eines Connectors als Lösungsansatz dienen. Dieser wird vor der Maschine platziert und überprüft jede einzelne Verbindung. Dabei lässt er nur dasjenige Gerät oder denjenigen User eine Verbindung aufbauen, der autorisiert und authentifiziert ist und keine sonstigen Indikatoren für einen Angriff zeigt.
• Awareness-Trainings aktualisieren: Auch das Thema Awareness spielt eine wichtige Rolle. Da OT-Teams bisher nicht viel mit modernen Security-Themen konfrontiert waren, müssen Verantwortliche ihre Mitarbeitenden in diesem Bereich schulen. Sie müssen ihnen analog zur IT entsprechende Richtlinien und Maßnahmen erklären, die es zu beachten gilt. Hier ist die besondere Herausforderung, die oft sehr konservativen und auf Stabilität hin ausgerichteten Ansichten der Branche mit modernen Lösungsansätzen zu modernisieren. Dazu gehört mitunter, die nötige Vorlaufzeit einzuplanen. Denn die meisten Geräte in der OT laufen 24×7. Daher bedarf es mehr Zeit und Ressourcen, Änderungen oder Implementierungen auf den Weg zu bringen.
• Regelmäßige Tests durchführen: Durch regelmäßige Penetrationtests und Angriffssimulationen können die schwächsten Glieder in einer OT-Kette ausfindig gemacht werden. Im Anschluss kann man den Sicherheitsfokus an diesen Schwachstellen ausrichten und priorisieren. Dies sorgt dafür, dass Ressourcen möglichst effizient und effektiv eingesetzt werden.
• Eine einheitliche Plattform einsetzen: Statt vieler verschiedener Einzellösungen sollte man für die IT und die OT eine einheitliche Plattform verwenden. Ist in der IT beispielsweise schon eine Sicherheitssuite im Einsatz und erprobt, kann auch der Schutz der OT über dieselbe Zero Trust-Plattform abgewickelt werden, um Komplexität einzudämmen. Unternehmen sollten darauf achten, dass auf dieser Sicherheitsplattform separate Berechtigungen und Identitäten für IT und OT eingerichtet werden können. Dadurch verhindert man, dass eine IT-Identität durch einen Konfigurationsfehler auf die OT zugreifen kann. Eine einheitliche Lösung vereinfacht nicht nur die Kommunikation unter den einzelnen Geräten und Netzwerken. Sie wird auch besser von den Mitarbeitern angenommen, weil sie schon bekannt ist. Auch der Einkauf kann auf bestehende, großvolumige Lizenzverträge zurückgreifen.

Summary: OT-Security

OT-Sicherheitsteams stehen vor der Herausforderung, eine sichere und stabile Produktion zu gewährleisten und gleichzeitig ihr Netzwerk vor neuartigen Angriffen zu schützen. Um die noch weit verbreiteten Alt-Systeme zu schützen, setzte man bislang vor allem auf eine klassische AirGap-Lösung, bei der das komplette OT-Netzwerk vom Rest der Umgebung abgeschottet wird. Die Praxis zeigt jedoch, dass dieser Ansatz kaum mehr realisierbar ist. Zu viele Verbindungen bestehen bereits nach außen und diese lassen sich nicht so einfach eliminieren. Eine neue Sicherheitsstrategie muss deshalb einen differenzierten und ganzheitlichen Ansatz verfolgen, bei dem die OT von den Erfahrungswerten der IT profitiert. Zero Trust, Awareness-Trainings, regelmäßige Tests sowie eine einheitliche Plattform für IT und OT sind die ersten Schritte, um das schwerfällige Schiff der OT langsam in den Hafen der modernen Cybersicherheit zu steuern.

Weitere Informationen zum Thema:

datensicherheit.de, 11.02.2025
KRITIS immer öfter im Visier Cyber-Krimineller

datensicherheit.de, 16.07.2020
Praxisbericht aus der IIoT-Security: Digitale Identitäten in der Industrie