Nach vereinzelten Angriffen von staatlichen Cyberarmeen in der Vergangenheit haben nun auch die organisierten Cyber-Kriminellen die Produktion für sich entdeckt. Das verkürzt die Zeit, die Unternehmen noch haben, um zumindest einen Basisschutz in der Operational Technology (OT) umzusetzen und in der IT-Security zu integrieren. Konzepte und Technologien sind vorhanden und speziell auf der Prozessebene erlauben zunehmende Automation und Integration, in den nächsten Gang hochzuschalten.
Business Efficiency-Prozesse treiben die Digitalisierung und die damit einhergehende Vernetzung von Produktionsumgebungen vor sich her und Ausnahmesituationen wie die Corona-Pandemie haben diesen Prozess zusätzlich beschleunigt – beispielsweise, wenn zum Teil ad hoc Remote-Zugänge eingeführt werden.
Verständlich: Erforderliche Business-Transformationen haben schon immer zu – unter Umständen disruptiven – Veränderungen geführt und gerade in der Produktion muss auch zu Zeiten von Corona die Show weitergehen.
Der weltweit starke Anstieg der Zahlen von Cyber-Vorfällen in der Produktion macht aber deutlich, dass wir in dieser Transformation kurz innehalten sollten. Denn es ist wichtig, beim Thema Cybersicherheit jetzt die Weichen richtig zu stellen. Es gilt, existierende Gaps zunächst möglichst schnell zu schließen, damit die weitere Reise auf einem soliden Fundament steht.
Der „Lockdown“ war das bestimmende Thema des Jahres 2020 – und er stellte viele Business-Entscheider*innen vor schwierige Entscheidungen. Schnell entdeckten auch Unternehmen, die von Home Office bislang nicht viel hielten, Remote-Zugänge als das Mittel der Wahl für Business Continuity. Im Office-Umfeld ließ sich ein solches Remote Working vergleichsweise einfach realisieren. Dies galt für das Blue-Collar-Umfeld, im Lager oder in der Produktion, nicht. Hier entsteht ein großer, wenn nicht der größte, Anteil der Wertschöpfung, vor Ort – wie auch beim Betrieb kritischer Infrastrukturen.
Home Office an der Fertigungsstraße? Schwierig. Doch in der Tat lassen sich natürlich auch Maschinen und Anlagen fernwarten und bedienen. Entsprechend stieg die Zahl der Remote-Zugänge auch in der Operational Technology (OT) im Jahr 2020 rasant an.
Der Lockdown hat uns zum Handeln gezwungen. Ich habe zu dieser Zeit viele Produktionsumgebungen gesehen, in denen dies, zum Beispiel beim Thema Remote Administration, pragmatisch umgesetzt wurde. Da hing dann an der Seitenwand vom 19-Zoll Rack, mit Tape festgeklebt eine „F“-Box (kleiner DSL-Router) an einem Switch, an dem wir gerade ein OT-Security Monitoring System für die Maschinensteuerung installierten – immerhin. Und wenn mein Blick dann dort ein paar Sekunden verweilte, sagte man mir oft: „Das ist nur temporär.“
Nur ein vielleicht extremes Beispiel dafür, wie wir unsere OT-Netze geöffnet haben und nun im Nachhinein reagieren und über Segmentierung und Transparenz (Überwachung von Aktivitäten im Netz) nachdenken und dies nachzuholen versuchen – ohne die Produktion zu stören.
Das hat uns anfällig gemacht. Und so ist es nicht verwunderlich, dass speziell die Beeinträchtigung von Produktionsanlagen, verursacht durch Ransomware (die sich über ungesicherte Netzverbindungen ausbreitet und am erfolgreichsten ungepatche Systeme befällt), zurzeit eine der relevantesten Bedrohung ist. Eine absehbare Entwicklung, nachdem die Geschwindigkeit der Vernetzung veralteter Systeme die Geschwindigkeit der Absicherung rechts überholt hatte.
Deswegen müssen wir mindestens in zwei Punkten schneller werden. Der erste Punkt ist das Schließen der entstandenen Absicherungslücke. Also z.B. das Fehlen von Segmentierung, Zugriffskontrollen (inklusive sicherer, industrietauglicher Fernwartungszugänge), Monitoring, Endpoint-Absicherung und Cyber-Security-Prozessen in der Produktion.
Der zweite Punkt betrifft Reaktionszeiten: Speziell bei einem Ransomware-Befall in älteren Produktionsumgebungen kann sich die Infektion unter Umständen in Minuten im ganzen Netz verbreiten. Hier ist eine manuelle Reaktion zu langsam. Eine automatische Reaktion ist im Produktionsumfeld mit wenig standardisierten und sensiblen (sensibel bezüglich Änderungen an oder Installation von Software) Endpunkten und Protokollen aber keine einfache Aufgabe. Denn unsere Standard IT-Lösungen sind wegen ihrer teilweise hohen False-Positive-Raten bei der Erkennung hier oft nicht einsetzbar. Sie können sogar unter Umständen fälschlicherweise kritische Prozesskommunikation blockieren.
Wie können wir nun schneller werden?
Dass die Integration von IT- und OT-Security eine notwendige Voraussetzung für eine wirksame Cybersicherheit ist, ist bekannt. Betrachtet man das obige Beispiel Ransomware-Infektion, so beginnen diese Attacken häufig mit Aktivitäten im IT-Bereich (Phishing-E-Mails, Malware-Downloads, Zugriff auf infizierte Webseiten, verdächtige DNS-Anfragen, Installation von verdächtiger Software auf Endpunkten, ungewöhnliche Zeiten für Remote-Zugriffe etc.), welche mit derzeitigen Methoden und Technologien im IT-Bereich gut detektiert werden können. Alarme aus diesem Bereich können als Frühwarnsystem genutzt werden. Die Response-Zeiten im OT-Bereich werden durch die Analysen im IT-Bereich beschleunigt. Der integrierte Ansatz (IT plus OT) erlaubt damit gezieltere Reaktionen. Gegebenenfalls können auch SIEM- oder SOAR-Use-Cases oder -Szenarien für OT-Systeme aktiviert werden: Security Information & Event Management bzw. Security Orchestration Automation & Response automatisieren und beschleunigen typische, manuelle Level-1 SOC-Analysten-Tätigkeiten wie Verifikation, Qualifizierung, Abfrage
Als Automatisierungstechnik wird jene Technik bezeichnet, deren Zweck darin besteht, Prozesse, Maschinen und Anlagen zu automatisieren. Das heißt: Diese Prozesse, Maschinen und Anlagen werden in die Lage versetzt, ohne menschliches Eingreifen zu funktionieren und sich selbst zu steuern.
Institut für Integrierte Produktion
In der Produktion leitete eben jene Technik, die wir heute unter im Bereich OT-Security schützen wollen, einen Wandel hin zu mehr Effizienz und Wirtschaftlichkeit ein. Bei der Sicherheit von IT-Systemen führte das automatisierte Reagieren auf bestimmte Bedrohungslagen ebenfalls zu einer deutlichen Effizienzsteigerung, die für uns heute selbstverständlich ist (Endpoint-Schutz, Security-Proxies, Mail-Gateways, Netzwerkfilter etc.). Bei OT-Systemen sind Verantwortliche hier bisher – aus gutem Grund – noch vorsichtiger und agieren passiv: Verdächtige Aktionen werden detektiert, aber nicht automatisch geblockt. Sie haben Angst, bspw. durch das Blockieren einer Verbindung ein kritisches Steuersignal mit Safety-Funktion (SIS) zu blockieren.
Nichtsdestoweniger würde es auch hier helfen, wenn nicht jeder Alarm erst in eine Ticket-Queue wandern und dort auf die Bearbeitung durch einen Analysten warten würde. Das gilt speziell in unserem Beispiel der sich ausbreitenden Ransomware-Infektion.
Was bietet die Technik zurzeit an Automation im OT-Security Bereich? Beispiele sind:
Industrienetz-taugliche Security-Gateways (aka OT-Firewalls): Diese Gateways können u. a. kritische Befehle (Stop-PLC, Upload Program etc.) erkennen und unterbinden. Sie können auf bekannte, für ein Steuergerät sehr spezifische Angriffssignaturen (z.B. in Server-Message-Block-Paketen) reagieren und Pakete blockieren (virtuelles Patching).
Intrusion Detection Systeme (IDS) für Industrienetze, die Firewalls ansteuern: Diese IDS lernen passiv das „normale“ Verhalten der Anlage und erkennen Abweichungen, z.T. über Machine Learning. Diese Systeme können über entsprechende offene Schnittstellen (typischerweise REST-APIs), Firewalls ansteuern. Dann ist es möglich, gezielt z.B. die Kommunikation einer infizierten Maschine zum Command & Control (C2)-Server des Angreifers automatisch zu blockieren. So kann innerhalb von Sekunden verhindert werden, dass Schadsoftware heruntergeladen oder aktiviert wird.
SOAR: Eins der spannendsten Themen in diesem Bereich ist für mich der effektive Einsatz der heute verfügbaren SOAR-Technik. Also die Möglichkeit, Abläufe in der Incident Response zu orchestrieren und automatisieren. Und damit letztendlich deutlich zu beschleunigen. Das SOAR-Tool wird hierbei in „Quasi-Echtzeit“ (Sekunden, nicht wirkliche Prozesssteuerungs-Echtzeit) über APIs mit Daten (Alarme, Trigger etc.) aus verschiedenen Security-Systemen versorgt. Zur gleichen Zeit hat es Zugriff auf Datenquellen zur automatischen Kontext-Anreicherung (Asset- oder Vulnerability Datenbanken, IoCs, Threat Intelligence Informationen, User Informationen, physikalischer Kontext wie Überwachungskamera Status etc.). Entsteht eine Situation, in der die SOAR getriggert wird, wird ein vorher definiertes Playbook abgearbeitet. Das SOAR-System kann dann ggf. über weitere Automatisierungsschnittstellen autonom bestimmte Aktionen auslösen.
Taugen die oben beschriebenen Technologien heute schon für den Wirkbetrieb? Das Thema Betriebsstörungen durch False-Positive-Reaktionen von Cyber-Security-Komponenten, speziell wenn diese eine IT-Security-Vergangenheit haben, ist nicht wegzudiskutieren. Ich bin aber der Meinung, dass die oben beschriebenen Ansätze, das Cyber-Risiko deutlich senken können, ohne das Ausfallsrisiko zu erhöhen. Sie müssen dazu mit dem Verständnis des zu schützenden OT-Prozesses an der richtigen Stelle eingesetzt werden. Kernpunkte sind hierbei „an der richtigen Stelle“ und „teil-automatisiert“.
An der richtigen Stelle heißt: Eine Segmentierung und das automatische Blockieren von gut detektierbaren Angriffsmustern. Dazu existieren bekannte Signaturen hoher Eindeutigkeit mit sehr niedrige False-Positive-Rate. Die Blockierung muss an der OT-Prozess-Zonengrenze erfolgen, nicht innerhalb des Prozesses. So ist sichergestellt, dass die Verbindung zwischen dem Angreifer und seinem Ziel mit hoher Wahrscheinlichkeit unterbrochen wird und größerer Schaden verhindert wird. Zudem hält eine fälschlicherweise blockierte Verbindung nicht sofort den Prozess an, sondern sperrt lediglich einem ERP-System kurzzeitig den Lesezugriff.
Teil-automatisiert heißt: Technische Systeme wie SOAR oder moderne Network Detection & Response (NDR)-Systeme verarbeiten möglichst viele Informationen automatisiert vorab und präsentieren dann das Ergebnis mit einer Entscheidungsmöglichkeit dem Analysten. Dieser löst die aus seiner Sicht beste Response dann per Knopfdruck (wieder automatisiert) aus. Ein Beispiel: Ein Network Detection Sensor identifiziert über Machine Learning ein abnormales Verhalten einer Steuerungskomponente und eine auffällige Änderung der Netzwerk-Kommunikationstopologie –wo kommt die neue Remote-Verbindung her? Das SOAR-System reagiert und
1. erfragt in der Asset-DB die Kritikalität und den OT-Kontext der betroffenen Systeme,
2. stellt die Frage, ob für diesen Zeitraum ein Wartungsfenster geplant ist
3. und fragt ab, ob über die in der Asset-DB gelisteten Netzwerk Komponenten für den Remote-Zugriff Schwachstellen bekannt sind, die evtl. schon aktiv ausgenutzt werden.
Das Ergebnis wird nun einem Analysten präsentiert, welcher mit seiner Expertise entscheidet, ob das System z.B. die Remote-Verbindung blockieren soll.
Das Ransomware-Beispiel dient hier zur Illustration des Automationsgedankens. Sie können das Risiko durch Ransomware auch schon mit einfachen Mitteln deutlich reduzieren: Erstellen und schützen Sie Backups, segmentieren Sie Ihr OT-Netz zumindest grob in Zonen, die ungestört miteinander kommunizieren müssen und sichern Sie Fernwartungszugänge sowie Engineering-Notebooks.
Zuletzt noch ein spannender Hinweis: Weil Betriebe der kritischen Infrastruktur immer öfter dem Risiko von physischen und Cyberangriffen ausgesetzt sind, bieten die Sicherheitsunternehmen Hitachi ABB, Telekom Security und Securitas ein gemeinsames Sicherheitskonzept an: das Industrial Security Center sowohl für IT- als auch OT-Infrastrukturen. Mehr Informationen finden Sie hier.
