Seit einigen Jahren führt die digitale Transformation zu immer mehr Vernetzung auf allen Ebenen der Produktion. Dadurch sind zunehmend mehr physische Geräte in Netzwerke eingebunden. Der Vorteil: Die Industrie kann das Potenzial der Machine-to-Machine-Kommunikation und des maschinellen Lernens nutzen und ihre Produktionsprozesse optimieren. Der Nachteil: Die automatisierte Vernetzung bringt hochkritische Produktionsumgebungen hervor. Diese abzusichern, ist eine geschäftskritische Aufgabe. Denn Cyber-Angriffe können den Stillstand ganzer Produktionsanlagen zur Folge haben und gehen somit mit einem hohen finanziellen Verlust einher.
Tatsächlich zeigt die aktuelle Studie „Cybersecurity-Level in OT“ des Research- und Analystenhauses Tech Consult GmbH, dass von den 26 % der Industrieunternehmen, die innerhalb der letzten zwölf Monate Hackerangriffe auf ihre Produktionsinfrastruktur verzeichneten, 57 % eine unmittelbare Unterbrechung der Produktion erlebten. Ein wirkungsvoller Schutz der digitalen Produktionsinfrastruktur (Operational Technology; OT) in Betrieben basiert auf zwei Säulen: Ein intelligentes Network Intrusion Detection System (IDS) visualisiert das OT-Netzwerk und entdeckt frühzeitig Angriffe und Anomalien. Eine automatisierte Plattform analysiert und bewertet kontinuierlich die Risiken in Übereinstimmung mit führenden OT-Cyber-Sicherheitsstandards.
Absicherung der OT-Infrastruktur
OT-Cyber-Angriffe in der Produktion von Gefahrstoffen in der chemischen Industrie können schwerwiegende Folgen haben. Es drohen Umweltschäden und die Gefährdung von Menschenleben – vom Imageschaden ganz zu schweigen. Ein führender, weltweit tätiger Produzent von Spezialchemikalien mit Standorten in vielen verschiedenen Ländern sah sich einem besonders großen Sicherheitsrisiko ausgesetzt: Die Produktionslinien sind unternehmensweit miteinander vernetzt und Dutzende Anlagen laufen mit unterschiedlichen Systemtypen und Topologien. Das bestehende Cyber-Sicherheitssystem deckte zwar die IT-Netzwerke gut ab. Als dieses jedoch auf die OT-Netzwerke in der Produktion angewendet wurde, zeigten sich gefährliche Funktionslücken. Zum Beispiel konnte das System die spezifischen Netzwerkprotokolle nicht verarbeiten. Zudem fehlten eine vollständige Erfassung und Transparenz aller Anlagen an jedem Standort.
Das Unternehmen identifizierte die Anforderungen, um einen wirkungsvollen Schutz seiner verteilten OT-Netzwerke aufbauen zu können: Das zukünftige Cyber-Security-System sollte sämtliche OT-Assets kontinuierlich überwachen, OT-Cyber-Bedrohungen genauso wie Anomalien erkennen und aktiv vor ihnen warnen, Logikänderungen an allen industriellen Steuerungen verfolgen und schließlich OT-Cyber-Alarme an das Security Information and Event Management System (SIEM) melden.
Zentral oder lokal überwacht
Nach einem Auswahlprozess unter zwölf führenden Anbietern von OT-Sicherheitslösungen fiel die Entscheidung auf Radiflow. Das Unternehmen ist spezialisiert auf die Cyber-Sicherheit kritischer industrieller Geschäftsabläufe. Die Antwort auf die spezifischen Herausforderungen basiert auf einem von Radiflow entwickelten Industrial Threat Detection System (iSID). Das Besondere: Das System kann an einem zentralen Standort eingesetzt werden und erkennt gleichzeitig Bedrohungen an beliebig vielen entfernten Standorten – oder alternativ lokal an jedem einzelnen Standort. Sogar eine Kombination aus beiden Lösungen ist möglich. Im Fall des Herstellers von Spezialchemikalien installierte Radiflow lokal in jeder Produktionsanlage eine iSID-Einheit. Da jede Anlage mehrere Subnetze umfasst, erhielt jedes Subnetz zusätzlich einen Radiflow iSAP Smart Collector. Dieses Gerät ermöglicht es, einen gespiegelten Strom des gesamten TCP/IP-Datenverkehrs an das lokale iSID zu senden. An jedem Standort installiert, empfangen die iSAP Smart Collectors den gesamten LAN-Verkehr vom lokalen Switch und filtern die Daten. Sie werden komprimiert, um die Überlastung des Netzwerks zu verhindern, und über VPN-Tunnel an das zentrale iSID gesendet. Dieses nutzt zudem die gesammelten TCP/IP-Daten, um ein Modell der Netzwerktopologie zu erstellen. Das Modell enthält alle Anlagen, Ports und Protokolle mit ihren vollständigen Eigenschaften und ordnet jeweils den entsprechenden Geschäftsprozess zu.
Risikobewertung des Netzwerks
Grundsätzlich ist eine aussagekräftige Visualisierung des OT-Netzwerkes für dessen Schutz unerlässlich. Das Ziel ist eine kontinuierliche und lückenlose Überwachung von Verhaltensänderungen im Netzwerk, um Anomalien im industriellen Betrieb zu erkennen und so früh wie möglich vor Bedrohungen zu warnen. Eine der größten Herausforderungen für CISOs und Entscheidungsträger in Unternehmen der Industrieautomation ist die Optimierung des OT-Sicherheitsbetriebs. Sie erfordert eine Priorisierung der Sicherheitsmaßnahmen, die unter Berücksichtigung von Budgetbeschränkungen und begrenzten zulässigen Betriebsausfallzeiten implementiert werden müssen. Erreicht wird dies durch die Risikobewertung des Netzwerks: die Summe der Wahrscheinlichkeit eines Angriffs – bezogen auf jede einzelne Geschäftseinheit –, gewichtet mit der Auswirkung – finanzieller Verlust oder anderer Schaden –, die ein Angriff verursacht. Der erste Schritt zur Optimierung besteht darin, die Angreifer und Angriffstechniken zu ermitteln, die das OT-Netzwerk bedrohen. Das Ergebnis ist eine ständig aktualisierte Risikobewertung sowie eine priorisierte Liste von Maßnahmen, die die Kosteneffizienz der OT-Sicherheitssysteme sicherstellen – größte Risikoreduzierung pro Euro, der für die Bedrohungsabwehr ausgegeben wird –, ohne irrelevante oder überzogene Kosten für Sicherheitsmaßnahmen zu generieren.
Radiflow Inc., Tel Aviv, Israel
Autor: Ilan Barda
Gründer und CEO,
Radiflow
