NET 1/2 2022

14 www.net-im-web.de 1-2/22 Unternehmen gerne nach dem Motto ver- fahren: Never Change a Running System. Höchste Priorität hat für die Betreiber die An- lagenverfügbarkeit. Es überwiegt die Furcht, dass ein Firmwareupdate diese gefährden könnte. Käme es etwa nach dem Aufspielen eines Updates zu Problemen bei der Visu- alisierung der Bedienoberflächen, könnte das zum Stillstand von Maschinen führen. Hingegen wird das Risiko eines Cyberangriffs oft zu gering eingeschätzt. Die Bewertung ist falsch. Denn Kompromittierungen im OT- Netz können ebenso zu Maschinenausfällen und somit finanziellen Schäden führen und – noch viel gravierender – sogarMenschenleben gefährden, wenn kritische Infrastrukturen, aber auch Produktionsanlagen nicht mehr ordnungsgemäß funktionieren. Spezialisierte Verteidigung Es ist unbestreitbar: Die digitaleTransforma- tion wird auf Dauer ohne effektive OT-Si- cherheit nicht erfolgreich sein. Für den Schutz vor Cyberrisiken braucht es andere Konzepte, beispielsweise „Defense in Depth“. Dieser bisher in der Praxis wenig eingesetzte An- satz basiert auf der Idee, das Kernnetz durch mehrere spezialisierte Verteidigungsschichten zu schützen. Das kann Angriffe zwar nicht hundertprozentig verhindern, sie aber er- schweren, u.a. durch eineNetzsegmentierung. Sie ist vertikal möglich, indem sie durch eine neutrale Zone das OT- vom IT-Netz trennt. So hätten eindringende Cyberkriminelle zunächst nur Zugriff auf einen Teilbereich. Eine weitere Ebene sind industrielle Firewalls, die wie in IT-Netzen die Aufgabe haben, unerwünschten Datenverkehr außen vor zu halten. In der OTmüssen sie allerdings mehr können, beispielsweise Lesefunktionen für Daten zulassen, diemit einembestimmten Protokoll übertragen werden, jedoch alle Schreibfunktionen für dasselbe Protokoll blockieren. Eine derart detaillierte Kontrolle ermöglicht Deep Packet Inspection (DPI), indem der Inhalt von Datenpaketen vom Kopf bis zur Nutzlast untersucht wird. So lassen sich das verwendete Protokoll und die damit einhergehenden Funktionen ermitteln. Mit dieser Lösung, die auch innerhalb einer Firewall konfiguriert werden kann, lässt sich der Datenverkehr nach sehr komplexen Re- geln überprüfen. DPI ist die Voraussetzung für zwei speziell auf OT zugeschnittene Cybersecu- rity-Strategien: Intrusion-Prevention-Syste- me (IPS) und Intrusion-Detection-Systeme (IDS). Beide fokussieren sich auf das Ein- dringen ins Netz, wofür das englische Wort Intrusion steht. Das Augenmerk richtet sich dabei auf ein breites Spektrum, das von neu angeschlossenen Geräten über Malware- Verhalten bis hin zu unerwarteten SPS-Pro- grammierungen reicht. Erkennt ein IDS anormaleDaten, löst es nach zuvor definierten Parametern einen Einbruchsalarm aus. Wie sich aus dem Namen Intrusion Detection ableiten lässt, fungiert ein IDS als Netzüber- wachungs- und Benachrichtigungs-Tool. Der wesentliche Unterschied zum IPS besteht darin, dass dieses nicht autorisierte Daten- pakte blockieren, Verbindungen unterbrechen oder die übertragenen Daten sogar ändern kann. Es konzentriert sich also stärker auf die Prävention (Prevention), indem es An- griffe automatisiert und aktiv zu verhindern versucht. Wertvolles Wissen Mit Speck fängt man Mäuse und mit Honig Hacker. Im übertragenen Sinne setzen Secu- rity-Experten auf sogenannte Honeypots, um Angreifer gezielt anzulocken. Die Honigtöpfe sind Köder, die attraktive Angriffsquellen nur vortäuschen, aber tatsächlich keine echten Bestandteile des Netzes sind. Sie können als Hardware oder als virtuelle Maschine in die Infrastruktur integriert werden und müssen Sicherheitslücken besitzen, die den Hackern sozusagen Tür und Tor öffnen. Denn erfah- rungsgemäßwählenAngreifer den einfachsten Weg, indem sie Netze scannen und gezielt nach den anfälligsten Geräten suchen, über die sie dann eindringen. Beliebte Ziele sind u.a. Server, Steuerungen oder PCs. Wichtig ist, dass ein Honeypot so gut konfiguriert sein muss, dass bei seiner Kompromittierung nicht das echte OT-Netz in Mitleidenschaft gezogen wird. Jeder Zugriff auf einen Ho- neypot wird überwacht, ausgewertet, die dabei ermittelten IP-Adressen identifiziert und durch die übergeordnete Firewall für das gesamte System blockiert. Jeder entdeckte Angriff liefert zudemwichtige Daten darüber, wie Cyberangriffe verlaufen. Dieses Wissen ist Gold wert, um die IT- und OT-Systeme immer sicherer zu machen. Die Entwicklung effektiver Si- cherheitsstrategien erfordert spezialisiertes Know-how und Personal, das für kleine und mittelständische Unternehmen nicht ohne weiteres amMarkt verfügbar ist. Daher bietet es sich an, auf spezialisierte System- häuser zurückzugreifen, wie z.B. die Telent GmbH, die über langjährige Erfahrung in den Bereichen Netztechnik, Prozesssteue- rung und industrielle Sicherheit verfügt und zertifizierter Partner führender Netz- und Sicherheitslösungsanbieter ist. Ein maßge- schneidertes Securitykonzept für denOT-Be- reich zu entwickeln, beginnt grundsätzlich mit dem Blick auf die Netzübersicht des Betreibers. Sie zeigt, ob es bereits eine Netz- segmentierung gibt und an welchen Stellen sie verfeinert werden muss. Entsprechend ist eine Firewall einzuplanen und mit weiteren Bausteinen aus dem Konzept „Defense in Depth“ zu flankieren. Das empfiehlt sich für alle systemrelevanten Anlagenbereiche, die über nicht sichere Protokolle miteinander kommunizieren. Die Ausgestaltung ist ab- hängig von den spezifischen Anforderungen eines Unternehmens und der vorhandenen Netzarchitektur. Aber angesichts der digitalen Innovationen, durch die IT und OT immer mehr verschmelzen, und der permanent steigendenCyberkriminalität, ist eines sicher: Eine ganzheitliche IT-/OT-Sicherheitsstrate- gie gegen externe und interne Bedrohungen ist zwingend notwendig. www.telent.de „Honeypots“ locken Hacker auf falsche Fährten