Never change a running system?
Industrielle Fertigung / Industrial Manufacturing ist einer der Vorreiter bei der Umsetzung von digitalen Konzepten. Security wird hier oft als Einschränkung empfunden - zu Recht oder doch nicht?
Die bisher isolierten und mit eigenen Protokollen ausgestatteten OT-Netzwerke werden immer mehr in das unternehmensweite IT-Netzwerk integriert, ebenso wie andere Systeme der Supply Chain oder des Vertriebs wie ERP Systeme. Das hat natürlich viele Vorteile und ist auch einer der wesentlichen Punkte, die Industrie 4.0 ausmachen, wie Sichtbarkeit, Automatisierung, Feedback und Kontrolle in Echtzeit.
Die Lieferkette umfasst nicht nur Rohstoffe für die Herstellung, sondern auch Drittanbieter von Komponenten, ausgelagerte Mitarbeiter für nicht zum Kerngeschäft gehörende Geschäftstätigkeiten und Subunternehmer zur Erfüllung spezieller Konstruktions-, Montage-, Test- und Vertriebsaufgaben. Jedes dieser Elemente der Lieferkette ist eine Angriffsfläche.
Die pauschale Aussage, dass Produktionsnetzwerke anfälliger für viele Arten von Security Attacken sind, ist sicher nicht übertrieben. Die speziellen Rahmenbedingungen der OT erleichtern potenziellen Angreifern das Überwinden vorhandener Sicherheitssysteme:
OT sind isoliert und damit automatisch geschützt
Die wohl häufigste Annahme ist, dass Fertigungsnetzwerke isoliert von anderen Bereichen (physikalisch und logisch) arbeiten und damit vor externen Bedrohungen geschützt sind. Die zunehmende Vernetzung hebelt dieses Argument allerdings zunehmend aus.
OT sind von normalen IT-Routinen ausgenommen
Aus den unterschiedlichsten Gründern werden in der OT die in der IT üblichen Routinen bei Software-Updates- und Patching nicht so streng eingehalten. Passwörter bei oft durch Hersteller integrierte Features wie Firewalls bleiben oft jahrelang unverändert.
OT laufen auf veralteten Betriebssystemen
Nach einer Untersuchung von Trend Micro (Stand Dezember 2020) sind bei über 60 Prozent der Industrieanlagen noch Betriebssysteme auf dem Stand von Microsoft Windows 7 oder älter in Verwendung. Diese Betriebssysteme werden nicht mehr aktualisiert und stellen damit einen erheblichen Risikofaktor für Anlagen dar.
Niemand ist eine Insel
Leider weisen somit auch OT-Netzwerke Schwachstellen auf. Diese Tatsache ist natürlich auch Angreifern nicht entgangen Die Anzahl der Angriffe auf OT Systeme nimmt stetig zu.
Zusätzliche Brisanz kann aus der Tatsache entstehen, dass auch Anlagen, welche die öffentliche Infrastruktur betreffend, davon betroffen sein können, Stichwort Smart City oder Fälle von gehackter kritischer Infrastruktur, bekannt vor allem sind hier die Fälle von Colonial Pipeline aus dem Vorjahr, welche die Bezinversorgung in Teilen der USA lahmlegte.
Die meisten Schwachstellen betreffen dabei Schnittstellen wie HMIs (Human-Machine-Interfaces), speziell wenn diese Anwendungen auch einen Web-Zugang haben. Damit sind auch herkömmliche Web-Exploits gefährlich und können als Angriffsweg ausgenutzt werden.
Und natürlich muss immer wieder erwähnt werden: die Gegenseite nutzt sämtlich erkannten Schwachstellen aus und agiert hoch professionell.
Oft als Problem gesehen: reibungslose Integration der Security Maßnahmen
Die Digitalisierung, speziell auch in der Fertigungsindustrie, zeigt sich beispielsweise bei der Automatisierung von Fertigungsprozessen oder der Skalierung von technischen Ressourcen. Themen wie „künstliche Intelligenz“ und „Machine Learning“ sind allgegenwertig. Gleichzeitig ist allerdings zu beobachten, dass die Strukturen in Unternehmen mit der technologischen Entwicklung oft nicht Schritt halten.
Ein oft zitiertes und vorgebrachtes Argument gegen einen gezielten Fokus auf Security Maßnahmen rund um IoT und Industrie 4.0 Lösungen ist, dass diese den reibungslosen Ablauf von Prozessen stören, komplexer für die Anwender machen oder diesen komplett unmöglich machen würden.
Obwohl diese Einwände verständlich sind, dürfen sie nicht als Vorwand eines Verzichtes oder zumindest geringen Fokus auf die relevanten Sicherheitsaspekte rund um vernetzte Systeme dienen. Speziell der Schutz von (geistigem) Unternehmenseigentum, die Abwehr von Gefahren für Arbeitnehmer und Kunden und die damit verbundenen Auswirkungen auf betroffene Unternehmen sollten schon allein die notwendigen Maßnahmen rechtfertigen, um diesen Aspekt bei der Einführung und dem Betrieb von modernen Systemen ausreichend zu berücksichtigen.
Verwenden sie IT-Security Standards auch im OT Bereich
Trotz aller Vorbehalte sind Unternehmen gut beraten, Security ernst zu nehmen. Das heißt, dass Prinzipien, die bei klassischen IT-Systemen seit langem Standard sind, übernommen werden müssen. Besonders durch den Umstand, dass viele OT Anlagen im Vergleich zu IT-Systeme sehr lange Lebenszyklen aufweisen, gilt es, diese Hinweise bei Auf- oder Umrüstung sowie Erweiterungen zu beachten.
Empfehlungen für OT-Security:
- Beschränkungen der Rechte auf Domain- oder Netzwerklevel sind ein geeigneter erster Schritt.
- Dazu gehört auch, Zugangsberechtigungen generell einzuschränken.
- Weiters müssen alle Zugriffe auf vertrauliche oder geschützte Informationen protokolliert werden.
- Generell sollten nur solche Personen Zugriff auf Datei- und Ressourcen bekommen, die Dateien lesen, ändern oder erstellen müssen.
- Das regelmäßige Entfernen oder Deaktivieren von unnötigen Diensten kann potenzielle Sicherheitsprobleme verhindern.
- Ebenso ist eine Passwort- Policy sinnvoll, um veraltete, unsichere oder verloren gegangene Zugriffsrechte zu verhindern.
- Vermeidung von veralteten Betriebssystemen sowie regelmäßige Update-Routinen der Systeme, um Schwachstellen zu vermindern. Oder Isolierung veralteter Betriebssysteme und strikte Abschottung dieser Systeme.
- Zentrale Verwaltung und Überwachung aller Wartungszugänge im OT-Bereich auf Maschinen und Anlagen durch Hersteller.
OT-Security: Wo soll man anfangen?
Der erste Schritt in der OT Security ist immer die Risikobewertung. So wird deutlich, welche Assets und Prozesse auf keinen Fall ausfallen dürfen und besonders gut geschützt werden müssen.
Beginnend mit den wichtigsten Assets und größten Bedrohungen implementiert man nun Maßnahmen, um Risiken zu mindern. Anschließend wird gemessen, wie gut eine Maßnahme wirkt oder ob weitere Aktionen nötig sind. Dieser Prozess sollte kontinuierlich wiederholt werden.
Fazit: OT-Sicherheitsrisiken verstehen
Die digitale Sicherheit muss von Grund auf und an allen Stellen im Ökosystem im gesamten Produktionsbereich integriert werden, um zu verhindern, dass Schwachstellen in einem Teil die Sicherheit des Ganzen gefährden.
Moderne OT-Ökosysteme sind komplex. Maschinen und Objekte in praktisch jeder Branche können verbunden und konfiguriert werden, um Daten zu senden. Das digitale Sicherheitsrisiko ist bei jedem Schritt auf dem Weg zur Industrie 4.0 vorhanden, und es gibt eine Reihe von Hackern, die die Sicherheitsanfälligkeit eines Systems ausnutzen würden.
Der erste Schritt für jedes IoT-Unternehmen besteht in einer gründlichen Bewertung des Sicherheitsrisikos, bei der Schwachstellen bei den Prozessen und OT-Systemen sowie in Benutzer- und Kunden/Lieferanten- sowie allen involvierten Backend-Systemen untersucht werden.
ABAX steht zu Ihren Fragen rund um die Themen Industrie 4.0 und OT-Security natürlich sehr gerne zur Verfügung.
Die nächste Möglichkeit sich mit Abax zu diesem spannenden Thema auszutauschen gibt es auf unserer Production & IT am 24.03.2022 in Linz!
Anmeldung und Infos zu weiteren Themen finden Sie auf unserer Eventpage.
