Wissenswertes für CIOs und CISOs: Fünf Methoden zum Schutz von OT-Systemen

Dieser Beitrag wurde ursprünglich auf LinkedIn veröffentlicht.

CIOs und CISOs sind es gewohnt, in Sachen IT-Sicherheit das alleinige Sagen zu haben. Um beim Schutz der Operativen Technologie (OT) die richtigen Prioritäten für das gesamte Unternehmen zu setzen, ist jedoch eine enge Absprache mit den zuständigen Kollegen erforderlich.

Produktionseinschränkungen und -unterbrechungen oder Anlagenausfälle können Verluste in (mehrstelliger) Millionenhöhe verursachen. Risikominderung ist eine unverzichtbare Voraussetzung für die Betriebskontinuität – entsprechend hat Cybersicherheit für OT-Systeme einen besonders hohen Stellenwert. Aus Sicht von Führungskräften im OT-Bereich ist jedoch ebenso unverhandelbar, dass Cybersicherheit niemals auf Kosten von Produktivität, Arbeitsschutz und Ausfallsicherheit gehen darf.

IT- und OT-Verantwortliche setzen teilweise gegensätzliche Prioritäten, die die Kommunikation erschweren können. Die Parole der einen lautet: „Cybersicherheit um jeden Preis“, das Motto der anderen: „Produktivität, Arbeitsschutz und Ausfallsicherheit“. Diese Widersprüche müssen jedoch nicht unbedingt zu unvereinbaren Positionen führen, sondern können durchaus konstruktiv sein. Denn es ist keineswegs so, dass „den OT-Leuten die Cybersicherheit egal ist“, wie aus Sicht der IT manchmal gerne behauptet wird. Richtig ist vielmehr, dass die IT ihre Prioritäten auf die Ziele der OT sowie die übergreifenden betriebswirtschaftlichen Zielen des Unternehmens abstimmen muss. Genauso richtig ist aber, dass OT-Verantwortliche der Cybersicherheit ebenfalls Priorität einräumen müssen – unbesehen etwaiger negativer Auswirkungen auf die Produktion (und damit auf die Geschäftsergebnisse) bei früheren „Einmischungen“ von IT-Beauftragten. Wie schafft ein CIO bzw. CISO also die Quadratur des Kreises, OT-Sicherheit zu priorisieren, ohne den OT-Beauftragten auf den Schlips zu treten?

Weitsichtige IT-Experten bringen die Gebote der Cybersicherheit auf eine Linie mit den OT-Prioritäten Produktivität, Arbeitsschutz und Ausfallsicherheit. Das gelingt, indem sie fünf Grundprinzipien der OT-Sicherheit beherzigen:

1. IT-Lösungen müssen OT-Ziele unterstützen.
2. Standard-Cybersicherheitsmaßnahmen sind für OT-Umgebungen nur bedingt geeignet.
3. Beim Schutz von OT spielt der geografische Standort eine wichtige Rolle.
4. OT läuft rund um die Uhr.
5. OT-Systeme sind hochgradig komplex.

1. IT-Lösungen müssen OT-Ziele unterstützen.

Für Fertigungs- und Zulieferungsbetriebe bedeuten Ausfallzeiten den wirtschaftlichen Tod. Mit jeder Minute, in der die Anlagen stillstehen, schreibt das Unternehmen Verluste in Form entgangener Umsätze. OT-Verantwortliche wehren sich zu Recht mit Händen und Füßen gegen Maßnahmen, die ihren Zielen und KPIs in puncto Betriebszeit oder Produktivität abträglich sind. Cybersicherheits- und andere IT-Lösungen dürfen OT-Teams nicht daran hindern, ihre Ziele zu realisieren, sondern müssen sie im Gegenteil dabei unterstützen.

CIOs und CISOs, die sich für IT-Änderungen stark machen, müssen immer den Kontext der Verbesserung der betrieblichen Effizienz, Betriebszeit und Produktivität im Hinterkopf behalten. So dürfte die Implementierung von Zero Trust in einer OT-Umgebung bei den Verantwortlichen auf sehr viel mehr Gegenliebe stoßen, wenn die IT Argumente ins Feld führt, die sich auf die konkreten Vorteile des Konzepts aus OT-Sicht beziehen: schnelleres Onboarding für externe Wartungstechniker, geringeres Risiko unbefugter Zugriffe über kompromittierte Geräte durch richtlinienbasierten Zugriff, Minimierung des Risikos lateraler Bewegungen usw.

OT-Verantwortliche sind durchaus bereit, Cybersicherheitsinitiativen zu unterstützen – sie brauchen jedoch die Gewissheit, dass Produktivität, Arbeitsschutz und Ausfallsicherheit dadurch nicht beeinträchtigt werden. Wenn Sie als IT-Beauftragter die Umstellung der OT-Umgebung auf eine Zero-Trust-Architektur (ZTA) planen, sollten Sie den zuständigen Kollegen klarmachen, dass ein cloudbasierter Ansatz zur Reduzierung der Ausfallzeiten beiträgt und das Risiko von Beeinträchtigungen durch Malware deutlich verringert.

„Hätte Hydro die Kommunikation nicht bereits auf einen verwalteten Cloud-Service wie O365 verlagert, wäre die Situation noch ernster gewesen.“ Norsk Hydro nach dem Ransomware-Angriff im März 2019.
 

2. Standard-Cybersicherheitsmaßnahmen sind für OT-Umgebungen nur bedingt geeignet.

Aufgrund der sehr viel längeren Lebenszyklen kommen in OT-Umgebungen oftmals Maschinen, Geräte und Software zum Einsatz, die vor Jahren oder gar Jahrzehnten entwickelt wurden. Gängige IT-Sicherheitsmaßnahmen sind daher in der Praxis oft unbrauchbar. So ist z. B. beim Patchen von Workstations in OT-Netzwerken äußerste Vorsicht geboten: Wenn die SCADA-Software (Supervisory Control and Data Acquisition) nicht mit dem MS-Windows-Patch kompatibel ist, kann dies zu Ausfallzeiten führen. 

Die Entscheidung, welche Software-Tools in Kombination mit SCADA-Managementsoftware eingesetzt werden können, liegt in vielen Fällen nicht bei den OT-Verantwortlichen im Unternehmen, sondern wird von den Geräteherstellern diktiert. So kann es z. B. passieren, dass eine unternehmensweit eingesetzte Lösung zur Sicherung von Endgeräten mit der OT-Hardware inkompatibel ist. Es ist Aufgabe der IT, diese Risiken zu bewerten und eine praxistaugliche Lösung zu finden. Pauschalvorgaben zur Konsistenz von Endpoint-Security-Lösungen stoßen bei OT-Beauftragten auf berechtigten Widerstand, wenn durch Hardware-Anbieter auferlegte Einschränkungen zu Kompatibilitätskonflikten führen. 

In vielen Unternehmen ist die Operative Technologie aus guten Gründen nicht ins Unternehmensnetzwerk integriert. Innerhalb flacher Legacy-Netzwerke mit veralteter perimeterbasierter Sicherheit kann sich Ransomware nach dem erfolgreichen Erstzugriff ungehindert ausbreiten. In solchen Legacy-Umgebungen ist es durchaus sinnvoll, die OT-Systeme in einem separaten Netzwerk mit eigener Domain zu verwalten.

Weltweit beliefen sich die Verluste durch die unkontrollierte Verbreitung der NotPetya-Ransomware, die durch Rechteerhöhung und leicht ausnutzbare flache Netzwerke ermöglicht wurde, auf über 10 Milliarden USD (9,3 Milliarden Euro).
 

3. Beim Schutz von OT spielt der geografische Standort eine wichtige Rolle.

Große Fertigungsunternehmen sind in der Regel globale Konzerne mit Fabriken in verschiedenen Ländern, in denen unterschiedliche Vorschriften und infrastrukturelle Rahmenbedingungen gelten. Diese Faktoren müssen IT-Experten bei der Planung ebenso berücksichtigen wie die betriebsbedingten Anforderungen der jeweiligen Standorte. Allzwecklösungen, die flächendeckend angewendet werden können, haben in der Cybersicherheit für OT Seltenheitswert. Stattdessen müssen geeignete Sicherheitskonzepte unter Berücksichtigung der Kritikalität, Zugänglichkeit und Standards jeder einzelnen Anlage entwickelt werden.

• Kritikalität der Anlagen: Nicht alle Produktionsanlagen sind für den Unternehmenserfolg gleichermaßen relevant. Entsprechend kann sich auch die technische Ausstattung unterscheiden. Einige Standorte verfügen möglicherweise über zuverlässigen kabelgebundenen Internetanschluss, andere nur über eine Satellitenverbindung mit hoher Latenz und geringer Bandbreite. Die IT muss der OT-Sicherheit für geschäftskritische Standorte höhere Priorität gegenüber Ausnahmeregelungen für weniger wichtigere sekundäre Standorte einräumen.
• Zugänglichkeit: Einige Produktionsstandorte sind physisch leicht zugänglich mit guten Verkehrsanbindungen. Andere befinden sich „in der Pampa“. Für solche schwer erreichbaren Standorte sollten optimierte Remotezugriffsprotokolle bereitgestellt werden. 
• Länderspezifische Normen und Standards: Normen und Standards für Fertigungsprozesse können von einem Land zum anderen verschieden sein. Technologien, die an einem Standort problemlos eingesetzt werden können, stoßen möglicherweise an einem anderen auf rechtliche Hindernisse. Deswegen ist es wichtig, genau zu wissen, welche Kennzahlen an den einzelnen Standorten jeweils überwacht werden müssen. Die Gewährleistung einer einfachen Berichterstattung für geschäftskritische Metriken sollte in jedem Fall Priorität haben.

„Staaten befürworten eine Lokalisierung der Produktion aus Gründen, die über die unmittelbaren Vorteile der Bezahlung lokaler Arbeitskräfte hinausgehen. Eine wichtige Rolle spielt dabei insbesondere die Schaffung einer soliden Qualifikationsbasis in der eigenen Bevölkerung als Effekt der Lokalisierung komplexer Produktionsabläufe.“
 

4. OT läuft rund um die Uhr.

Zur Unterstützung der Geschäftsziele laufen OT-Systeme in der Regel rund um die Uhr. Für kritische Teile der Fertigungsinfrastruktur und Produktionslinien werden Ausfallzeiten in Minuten (oder gar Sekunden) pro Jahr gemessen. Vor diesem Hintergrund können OT-Verantwortliche es sich schlichtweg nicht leisten, die Anlagen auszuschalten, um neue Programme zu installieren. Ebenso wenig sind sie gewillt, die Implementierung neuer Technologien ohne eine gründliche Analyse ihrer Folgen und Auswirkungen zu genehmigen.

Der Schutz von OT-Systemen ohne Ausfallzeiten stellt CIOs und CISOs vor massive Herausforderungen. Um sie zu bewältigen, sollte die Zero-Trust-Implementierung bei nicht geschäftskritischen Bereichen der OT-Infrastruktur ansetzen. Dadurch haben IT-Beauftragte die Chance, im Rahmen umfassender Tests mit messbaren Ergebnissen den Geschäftsnutzen des Zero-Trust-Konzepts nachzuweisen und die Kollegen aus der OT-Abteilung von seinen Vorteilen zu überzeugen. Daran anschließend kann Zero-Trust-Sicherheit auch in kritischeren Bereichen der OT-Umgebung eingeführt werden. Im Zuge dieser schrittweisen Einführung lassen sich nachweisbare Effizienzgewinne realisieren, indem beispielsweise Remotezugriff für externe Wartungstechniker ermöglicht wird, damit etwaige Vorfälle schneller behoben werden können.
 

5. OT-Systeme sind hochgradig komplex.

Im Vergleich zu IT-Systemen sind bei der Verwaltung von OT-Systemen entscheidende Unterschiede in Bezug auf administrative Komplexität, Lebenszyklusmanagement, behördliche Regulierung und Einflussnahme des Anbieters zu berücksichtigen.

• Administrative Komplexität: OT-Verantwortliche haben keine freien Kapazitäten für die manuelle Konfiguration und Verwaltung von Sicherheitsgeräten oder gehosteter Software. In aller Regel sind sie mit der Aufgabe, den Betrieb und die Verfügbarkeit geschäftskritischer OT-Systeme rund um die Uhr zu gewährleisten, bereits voll ausgelastet. 
• Lebenszyklusmanagement: IT-Systeme haben typischerweise eine Lebensdauer von vier bis sechs Jahren, während die Lebenszyklen von OT-Systemen sich über mehrere Jahrzehnte erstrecken können.
• Behördliche Regulierung: Die Kontrollmechanismen für OT-Systeme unterliegen strengen aufsichtsrechtlichen Vorschriften. In den USA z. B. sind Hersteller von Diagnosegeräten für den medizinischen Bereich verpflichtet, die Unterstützung der Geräte für einen Zeitraum von 20 Jahren ab Inbetriebnahme zu gewährleisten.
• Einflussnahme des Anbieters: Durch die Einflussnahme von Herstellern wie unter anderem Siemens, Rockwell Automation, Schneider Electric und Emerson Automation ist die Entscheidungsfreiheit der OT-Verantwortlichen zumeist stark eingeschränkt. Das betrifft die Auswahl von SCADA-Systemen ebenso wie von Workstations für den technischen Bereich.  

Im Vergleich zu IT-Systmen verkomplizieren diese Faktoren die Planung von Änderungen im OT-Bereich erheblich. Um ihnen gerecht zu werden, empfiehlt sich die Erarbeitung eines unternehmensspezifischen Playbooks für die Cybersicherheit der OT-Systeme.
 

Cybersicherheit im OT-Bereich erfordert Zusammenarbeit und Empathie

Bei der Entwicklung einer Strategie zur Abwehr von Angriffen im OT-Bereich muss es primär darum gehen, Ausfallzeiten zu verhindern bzw. zu minimieren. Anders als im IT-Bereich zielen Ransomware und andere Cyberangriffe auf OT-Netzwerke selten auf den Diebstahl von Daten oder geistigen Eigentums des Unternehmens ab. Vielmehr sollen Betriebsabläufe unterbrochen und Umsatzverluste durch ungeplante Ausfallzeiten verursacht werden.

OT-Sicherheit ist kompliziert, aber unverzichtbar. Spätestens seit dem SolarWinds-Angriff hat sich auch im OT-Berech die Erkenntnis durchgesetzt, dass raffinierte Angriffe auf kritische Steuerungssysteme und Lieferketten zur neuen Normalität gehören.

Führungskräfte im OT-Bereich stehen vor schweren Herausforderungen, derer sich die Kollegen aus der IT bewusst sein müssen, um zuverlässigen Schutz für OT-Systeme gewährleisten zu können. Änderungen an OT-Systemen und -Architekturen dürfen nur in Absprache zwischen CIOs /CISOs und OT-Verantwortlichen vorgenommen werden, um zu gewährleisten, dass sicherheitsrelevante Aspekte und betriebswirtschaftliche Imperative gleichermaßen Berücksichtigung finden.

Die Planung von Cybersicherheits- und Transformationsinitiativen im OT-Bereich erfordert eine enge und konstruktive Zusammenarbeit zwischen Stakeholdern aus IT und OT. Nur so lässt sich gewährleisten, dass Produktivität, Arbeitsschutz und Ausfallsicherheit als OT-Prioritäten entsprechend berücksichtigt werden. Nach dem Motto „Was nicht kaputt ist, soll man nicht reparieren“ leuchtet die Notwendigkeit dieser Projekte aus OT-Perspektive zunächst nicht unbedingt ist. Hier müssen CIOs /CISOs Überzeugungsarbeit leisten und gute Beziehungen zu den zuständigen Kollegen aufbauen. Diese Vertrauensbasis schafft die Voraussetzungen für eine erfolgreiche Umstellung der OT-Systeme auf eine Zero-Trust-Architektur und damit für die unternehmensweite Optimierung des Sicherheitsstatus.