Die OT-Sicherheit kennt ganz andere Security-Herausforderungen als eine klassische IT-Umgebung. Industrieanlagen haben eine wesentlich längere Laufzeit als die IT-Ausstattung. Das sorgt für sehr heterogene Maschinenparks innerhalb eines Unternehmens und das erschwert einheitliche Updates von Betriebssystem, Firmware und Anti-Virensoftware, die besonders auf Aktualität angewiesen ist. Über Jahre gewachsene Netzwerke stellen ein weiteres Sicherheitsrisiko dar. Die vielen Vernetzungspunkte ermöglichen Schadsoftware die schnelle Ausbreitung über die gesamte Anlage. Vor allem Ransomware-Attacken profitieren von dieser Unübersichtlichkeit.
Auch die Corona-Pandemie hat die Situation nochmals verschärft. Während der Pandemie brauchte externes Wartungspersonal ebenso wie die Mitarbeiter im Homeoffice einen Fernzugriff auf interne Ressourcen, weil der Zutritt zum Unternehmen limitiert war. In Folge dessen wurden viele Remote-Access-Lösungen unter Zeitdruck eingerichtet, ohne die Sicherheit ausreichend zu berücksichtigen. Nachdem die Lösungen aber funktionieren, sind sie häufig nach wie vor im Einsatz. Vor dem Hintergrund dieser Ausgangslage empfiehlt es sich die folgenden zehn Maßnahmen zu ergreifen, um OT-Anlagen besser zu schützen:
1. Netzwerke graphisch darstellen
Die Visualisierung von Netzwerken macht ihre Komplexität beherrschbar. Ein guter Überblick über die verschiedenen Komponenten, Sensoren und Verbindungen zeigt die Kommunikation innerhalb des Unternehmens und über seine Grenzen hinaus. Abweichungen von den üblichen Prozessen lassen sich schneller erkennen. Die graphische Darstellung von Netzwerken bildet gleichzeitig die Basis für die Netzwerksegmentierung.
2. Netzwerke segmentieren
Ransomware ist derzeit das dominierende Kriminalitätsphänomen im Cyberraum. Die Täter schleusen dabei eine Schadsoftware ins Unternehmensnetzwerk ein, um Daten zu verschlüsseln und anschließend ein Lösegeld zu erpressen. Für einen maximalen Effekt wird die Software häufig so konzipiert, dass sie Verbindungen aufspürt und sich unbemerkt im Netzwerk verbreitet. Die Segmentierung des Betriebsnetzwerkes, also die Unterteilung in mehrere, voneinander getrennte Sektoren, ist deshalb eine grundlegende Maßnahme für eine verbesserte Sicherheit der OT. IoT-Security Gateways, die über mehrere IT-Sicherheitsfunktionen verfügen und vor die Segmente geschaltet werden, helfen, die Netzwerke schnell zu unterteilen, ohne dass die Netzwerkstruktur angepasst werden muss.
3. Zero-Trust-Konzept einführen
Unternehmensgrenzen lösen sich mit der voranschreitenden Digitalisierung zunehmend auf. Lieferanten und Geschäftspartner brauchen für eine optimale Planung Zugriff auf bestimmte Unternehmensressourcen. Gleichzeitig haben während der Pandemie viele Mitarbeiter Gefallen am Home-Office gefunden. Höchste Zeit also ein Konzept zu nutzen, das keinem Zugriff automatisch vertraut, egal, oder er intern oder extern erfolgt: Beim Zero-Trust-Konzept ist nicht der Standort ausschlaggebend, sondern Identitäten, Autorisierung und eine sichere Authentifizierung von Nutzern und Maschinen bei jedem einzelnen Zugriff.
4. Autorisierung und Authentifizierung
Nur Mitarbeiter mit einer entsprechenden Berechtigung dürfen auf Maschinen und Anlagen zugreifen. Für die Einrichtung und Verwaltung von Benutzerkonten und Credentials brauchen Administratoren ein zentrales Werkzeug, das ihnen ermöglicht, Rollen und Berechtigungen in Echtzeit einzurichten, zu ändern oder zu löschen. Außerdem sollte das Tool generelle Regeln umsetzen können, wie beispielsweise, dass der Zugriff aus Ländern unterbunden wird, in denen es weder Geschäftsbeziehungen noch Niederlassungen gibt.
5. Zwei-Faktor-Authentifizierung
Auch im OT-Umfeld sind unsichere Passwörter ein großes Risiko, deshalb sollten Unternehmen die Zwei-Faktor-Authentifizierung nutzen. Dabei brauchen die Anwender neben einem Passwort einen weiteren Faktor, um sich auf einer Maschine oder in einem Netzwerk anzumelden. Weit verbreitet ist der sogenannte „Besitz-Faktor“ bei dem den Anwendern ein einmaliges Passwort auf das Smartphone geschickt wird.
6. M2M-Kommunikation über Zertifikate sichern
Weil auch Maschinen immer häufiger miteinander kommunizieren sollte hier der gleiche Grundsatz gelten wie bei der Mensch-Maschine-Kommunikation: Jeder Zugriff erfordert eine entsprechende Berechtigung. Zertifikate geben jedem Gerät eine eindeutige Identität, um sich gegenüber Maschinen, Systemen und Personen ausweisen zu können.
7. Edge Computing fokussieren
Edge Computing verlagert Rechenleistung an den Netzwerkrand. Das ermöglicht eine Vorabauswertung von Daten, die an einer Maschine oder Anlage erfasst werden. Bei der Übertragung an die zentrale Cloud lässt sich damit nicht nur Bandbreite sparen, sondern auch das Risiko von Datenklau und -manipulation verringern.
8. Kommunikation verschlüsseln
Werden Daten über das Internet übertragen, so sind sie besonderen Risiken ausgesetzt. Ein Virtual Private Network (VPN) baut bei der Übertragung einen Verschlüsselungstunnel auf und sorgt so dafür, dass die Daten für all jene unbrauchbar sind, die versuchen sie mitzuschneiden oder zu verändern.
9. Datenhoheit behalten
Unternehmen sollten jederzeit entscheiden können, wo ihre sensiblen Daten verwaltet werden, damit sie souverän und unabhängig bleiben. On Premises-Lösungen lassen sich in der Cloud, im eigenen Rechenzentrum oder beim Systemhauspartner nutzen und bieten damit maximale Flexibilität.
10. Mitarbeiter als Teil der Cyberabwehr
Phishing-Mails sind der häufigste Angriffsvektor bei Ransomware-Attacken. Die Angreifer täuschen eine falsche Identität oder falsche Tatsachen vor, bauen Druck auf und versuchen so, Mitarbeiter zu einem Klick auf einen infizierten Anhang oder Link zu verleiten. Unternehmen müssen ihre Belegschaft für die wachsenden Gefahren sensibilisieren und mit regelmäßigen Trainings und Schulungen auf den aktuellen Stand halten.
Autor: Raphael Vallazza
CEO,
Endian
