Direkt zum Inhalt

Identität und Sicherheit im OT-Umfeld

Semperis

Hardware- und Software-Technologien, die in IT- und OT-Welten verwendet werden, sind in großen Teilen identisch; die Anforderungen an Funktionalität und Sicherheit hingegen oft unterschiedlich. Dies sollte sowohl in der Identitätsverwaltung als auch in der Systemhärtung Berücksichtigung finden.

Der Artikel geht unter anderem auf folgende Fragen ein:

  • Warum unterscheiden sich die Anforderungen an Identitätsverwaltung und Sicherheit zwischen IT und OT?
  • Welche Herausforderungen ergeben sich durch die Konvergenz von IT und OT?
  • Welche Rolle spielen veraltete Technologien im OT-Bereich für die Cybersicherheit?
  • Wie kann die Sicherheit zwischen IT und OT effektiv gewährleistet werden?
  • Welche Vorteile bietet die Trennung von IT und OT in Bezug auf Sicherheit?
  • Welche technischen Lösungen unterstützen die Trennung von IT und OT?
  • Wie kann eine logische Trennung zwischen IT und OT auch in transparenten Netzwerken umgesetzt werden?
  • Welche langfristigen Trends beeinflussen die Sicherheit von IT und OT?

Die Automatisierung im OT-Bereich (Shopfloor-IT, Lagersteuerung, Point of Sale, Logistik und so weiter) unterscheidet sich sowohl in der Architektur als auch im Betrieb bisweilen stark von der klassischen Office-IT mit ihren weitgehend homogenen Endpoint-Landschaften, zentralisierten Serverfarmen und Cloud-Applikationen. Dennoch benötigen beide einen gewissen Satz an Basisdiensten wie Netzzugang, DNS, DHCP und – last but not least! – Authentifizierung und Autorisierung. Die Technologie hinter diesen Basisdienste ist oft in IT und OT identisch, was in vielen Organisationen dazu geführt hat, dass diese aus demselben System für beide Welten bereitgestellt werden. Dies wiederum führt dazu, dass der Sicherheitsanspruch der zentralen Basisdienste durch die schwächeren Standards im OT-Bereich geprägt wird. Dabei liegen sowohl die primären Angriffspunkte für den Erstkontakt (Arbeitsplatzrechner und Office-Anwendungen) als auch die besonders begehrten Unternehmensdaten (Entwicklung, kaufmännische Korrespondenz, Unternehmenskommunikation) eher im IT-Teil der Infrastruktur.

Allerdings schneidet das zweischneidige Schwert der Konvergenz in beide Richtungen. Legt ein Angreifer auf der Jagd nach Vertragsdokumenten oder Mails des Vorstands die zentralen Basisdienste wie DNS, File Services oder Active Directory lahm, ist in der Regel auch der OT-Bereich betroffen. Produktionsdateien können nicht auf die Maschinen aufgespielt werden, Signalisierung versagt, und die Übertragung von Logistik-Daten an Carrier, Partner oder Subunternehmer funktioniert auch nicht. So ist von einem Angriff, der eigentlich „nur“ der IT galt, auch OT betroffen.

Die ewig Gestrigen

Warum sind die Anforderungen und die Sicherheitsstandards zwischen IT und OT so unterschiedlich? Das hat nicht zuletzt mit Entwicklungs- und Supportzyklen zu tun, doch auch die unterschiedlichen technologischen Plattformen tragen dazu bei, dass OT zum Teil dringend notwendige Härtungsmaßnahmen im IT-Bereich verhindert. Industriemaschinen haben oft Abschreibungsfristen von zehn bis zwölf Jahren und laufen in manchen Betrieben bei guter Wartung gern doppelt so lange. Darüber freut sich einerseits die Finanzabteilung, stellt die Neuanschaffung einer größeren Industriemaschine doch eine erhebliche finanzielle Belastung dar, die nicht immer zur rechten Zeit kommt. Andererseits bedeutet der Betrieb einer 20 Jahre alten Maschine, die auf eine AfA-Dauer von zehn Jahren ausgelegt war, dass die an das OT-Netz angeschlossenen Steuerungs- und Überwachungsmodule einen Technikstand von vor 25 Jahren aufweisen, mit einem letzten Hersteller-Update, das auch bereits acht bis zwölf Jahre alt ist. Die Entwicklung dieser Module steht bei den Herstellern oft eher im Zeichen der Langlebigkeit und Zuverlässigkeit als der Cybersicherheit; die „State-of-the Art“-Technik ist in den Maschinen selbst zu finden, doch selten in den sie unterstützenden Computer-Modulen und Software-Programmen.

Während die Netzwerktechnik sich in den letzten Jahren nicht gravierend geändert hat, haben Anforderungen an die proaktive und reaktive Cybersicherheit eine rasante Entwicklung durchlaufen. Authentifizierungsprotokolle wie NTLM sind aus Sicherheitssicht kaum mehr tragbar. Alte Versionen der verbreiteten Datenzugriffsprotokolle wie SMBv1 öffnen Tür und Tor für eine große Auswahl an Angriffsvektoren. Diese Technologien finden sich jedoch auf Schritt und Tritt in Maschinensteuerungen, IoT-Sensoren oder Logistik-Terminals. Verschlüsselungsprotokolle, die von den Standardisierungsbehörden wie dem US-amerikanischen NIST1 bereits vor Jahren als untauglich eingestuft wurden, sind im OT-Bereich noch Gang und Gäbe, da die eingesetzte Hardware oft nicht leistungsfähig genug ist, um moderne Verschlüsselungsverfahren in Echtzeit zu bewältigen. Software-Produkte, die ursprünglich für 16-Bit-Betriebssysteme entwickelt wurden, können oft nicht ohne eine Generalüberholung auf moderne 64-Bit-Technik portiert werden, was zum dauerhaften Einsatz von nicht mehr unterstützten Betriebssystemen und Frameworks wie Flash oder Silverlight im OT-Bereich führt. Viele dieser alten Verfahren können nicht selektiv aktiviert oder deaktiviert werden, sondern gelten global – ist die Firma gezwungen, ein Terminal unter Windows XP zu betreiben, bedeutet dies, dass auch Domain Controller SMBv1 und RC4, womöglich sogar NTLM, unterstützen müssen!

Allerdings birgt OT nicht nur Risiken, sondern bietet auch Chancen für die Cybersicherheit. Die ständig wachsende Mobilität der User und der konstante Wandel der Client-Plattformen, immer kürzere Update-Zyklen und unkontrollierte Einführung neuer Anwendungen und Verfahren, welche die IT-Verantwortlichen täglich plagen, spielen auf dem Shopfloor kaum eine Rolle.

Teile und herrsche

Die wirkungsvollste Methode, die verschiedenen Anforderungen unter einen Hut zu bringen, liegt darin, die IT und OT getrennt zu verwalten. Idealerweise würde man diese Trennung durch eine Netzwerktrennung untermauern und nur die Kommunikationsbeziehungen an der Firewall zulassen, die auch wirklich benötigt werden. In zentralen Niederlassungen, wo Büro-IT und OT sich oft in unterschiedlichen Gebäuden befinden, ist so etwas in der Regel problemlos möglich. In Unternehmen mit kleineren Außenstellen, die oft einen einzigen VPN-Tunnel in die Zentrale haben, muss für die Trennung der beiden Welten der „neue Perimeter“ sorgen, der sich in den letzten Jahren immer deutlicher ausgebildet hat: die Identität. In Umgebungen, deren Identitätsverwaltung auf Active Directory basiert, bedeutet dies: getrennte AD-Forests für IT und OT.

Da, wo eine Netzwerktrennung möglich ist, schafft der Betrieb von IT und OT in unterschiedlichen „Identitätsblasen“ eine sehr effiziente Sicherheitsbarriere. Diese gilt in beide Richtungen – sowohl das Erkunden der OT-Welt durch einen „frisch gephishten“ Büro-User als auch die Ausweitung vom Shopfloor in das Office-Backend sind durch die Kombination aus Netzwerk-Firewall und getrennten Identitätsspeichern extrem erschwert. Der IT-Bereich muss bei der Härtung und Absicherung seiner Systeme die Kompatibilität zu den niedrigeren Sicherheitsstandards der OT nicht mehr berücksichtigen. Für den nahtlosen und sicheren Datentransport sorgen Gateway-Systeme wie beispielsweise SMB-Gateways, die auf einem Netzwerk-Interface (OT) die Version 1 des Protokolls sprechen, während die andere Netzwerkkarte (IT) ausschließlich das aktuelle SMBv3 unterstützt. Diese Vorrichtungen können oft auch die Authentifizierung „übersetzen“: der Zugriff aus dem IT-Bereich wird durch Kerberos authentifiziert und autorisiert, während zu den Maschinen hin ein auf dem Gateway hinterlegtes Dienstkonto unter Verwendung von NTLM kommuniziert.

Doch auch in transparenten Netzwerken kann eine logische Trennung zwischen IT und OT umgesetzt werden. In der Regel ist die IT-Seite hier flexibler und muss deswegen dafür sorgen, nicht nur sich selbst, sondern auch die OT-Welt zu schützen. Dies beginnt bereits an der Client-Firewall, welche mittels Richtlinien nicht nur eingehenden Verkehr blockiert, sondern auch den ausgehenden Traffic zu den OT-Endpunkten unterbindet. Deaktivierung alter Authentifizierungsverfahren wie NTLM (und RC4-Verschlüsselung in Kerberos) sorgt dafür, dass OT-Systeme, welche keine modernen Verfahren beherrschen, keine authentifizierten Verbindungen in den IT-Bereich aufbauen können. Und während im OT-Bereich meistens ein Mix aus authentifizierungsfreien Kommunikationsbeziehungen und auf Kennwörtern basierender Authentifizierung zu finden ist (lediglich die Netzzugangssteuerung beruht immer häufiger auf 802.1X und Computerzertifikaten), befindet sich die IT in vielen Betrieben der Produktion und Logistik bereits auf dem Weg in Richtung „passwordless“ oder sichert wichtige Zugriffe wenigstens mit einem zweiten Authentifizierungsfaktor ab.

Verwaltbarkeit sicherstellen

Das zweite Gesetz der „10 Immutable Laws of Security Administration” lautet „Security only works if the secure way also happens to be the easy way”. Die Notwendigkeit, die Identitäten in IT und OT separat zu verwalten, muss nicht gleich einen doppelten Management-Aufwand auf der ganzen Linie bedeuten. Wenn Sie bereits eine IAM-Infrastruktur, einen Red Forest oder eine RDP-Bastion im Betrieb haben oder den Einsatz solcher Vorrichtungen planen, können Sie diese für beide Welten einsetzen. Die Management-Paradigmen sind die gleichen, und die entsprechenden Systeme sind meistens Multiforest-fähig. Auch operationelle Unterstützungsdienste wie Backup oder Monitoring können oft zwischen IT und OT geteilt werden, ohne dass gleich die Sicherheitsbarriere zwischen diesen so verschiedenen Welten durchbrochen wird.