Da sich Malware von der Informationstechnologie (IT) auf die Betriebstechnologie (OT) ausweitet, hat sich der Fokus von potenziellen Geschäftsunterbrechungen auf die drohende Gefahr von physischen Schäden verlagert. Die letztendliche Verantwortung für die Bewältigung dieser sich entwickelnden Bedrohungslandschaft liegt eindeutig auf den Schultern des Chief Executive Officer (CEO). Angesichts dieses grundlegenden Wandels bei den Bedrohungsvektoren und Angriffsstrategien müssen Unternehmen cyber-physischen Systemen Priorität einräumen und spezielle Teams einrichten, die die Überwachung und Verwaltung dieser kritischen Systeme beaufsichtigen.

Traditionell haben Cybersecurity-Experten ihre Fähigkeiten beim Schutz von IT-Systemen vor Malware und anderen Cyberangriffen verfeinert. In den letzten Jahren haben böswillige Akteure ihre Aufmerksamkeit jedoch zunehmend auf Systeme der Betriebstechnologie (OT) gerichtet.

Aber was genau ist OT? Laut dem britischen National Cyber Security Centre (NCSC) umfasst OT „Technologie, die eine Schnittstelle zur physischen Welt bildet und industrielle Kontrollsysteme (ICS), Supervisory Control and Data Acquisition (SCADA) und verteilte Kontrollsysteme (DCS) umfasst“. Warum also ist OT ein Hauptziel geworden? Die Antwort ist einfach: OT ist zwar mit dem Netzwerk des Unternehmens verbunden, fällt aber im Allgemeinen nicht in den Zuständigkeitsbereich des IT-Teams.

Warum stellt dies eine Herausforderung für die Beteiligten dar? Während IT- und Cybersicherheitsteams häufig über etablierte Protokolle und Zeitpläne für Schwachstellenbewertungen, regelmässige Software- und Firmware-Updates von Anbietern und Konfigurationsprüfungen verfügen, fehlt es den Teams, die für den Betrieb von OT-Geräten zuständig sind, in der Regel an einem ähnlichen Mass an Strenge.

Mehrere Faktoren tragen zu dieser Diskrepanz bei. Zum Beispiel machen die Netzwerkkonnektivität und die Betriebssoftware von OT-Geräten in der Regel nur einen kleinen Teil des breiteren technischen Wissens aus, das für den Betrieb solcher Geräte erforderlich ist. Wenn Sie beispielsweise in einer grossen technischen Einrichtung auf die Wartung von Heizkesseln spezialisiert sind, liegt der Schwerpunkt Ihrer Ausbildung wahrscheinlich eher auf der Diagnose von Gasflussproblemen oder dem Austausch von Ölpumpen als auf den Risiken, die mit dem Anschluss des Heizkessels an das LAN des Unternehmens verbunden sind. Gehört es zu den routinemässigen Kesselinspektionen, auf der Website des Herstellers nach sicherheitsrelevanten Software-Updates zu suchen? Idealerweise sollte dies der Fall sein, aber die Realität sieht oft anders aus. Diese Situation geht über IT-bezogene Geräte hinaus, da viele Nicht-IT-Geräte im Vergleich zu Anwendungen oder Betriebssystemen nur unzureichenden Software-Support und Schwachstellenmanagement von den Herstellern erhalten.

OT-Systeme basieren häufig auf veralteten Betriebssystemversionen. So ergab ein Bericht von Palo Alto Networks, dass 83 % der medizinischen Bildgebungsgeräte mit nicht unterstützten Betriebssystemen arbeiten. Dies stellt eine grosse Herausforderung dar, zumal etwa 72 % der Organisationen im Gesundheitswesen IT- und Nicht-IT-Geräte in denselben Netzwerksegmenten miteinander verbinden. Ein Upgrade des Betriebssystems ist nicht immer eine einfache Lösung, da die Anwendungssoftware möglicherweise von veralteten Softwarebibliotheken oder Hardwaretreibern aus früheren Betriebssystemversionen abhängt.

Komplexe industrielle Systeme, die von ihren Anbietern unterstützt werden, verfügen häufig über Out-of-Band-Konnektivität, die eine Fernverwaltung und -diagnose durch den Anbieter ermöglicht. Leider ist es nicht ungewöhnlich, dass Angriffe auf Unternehmenssysteme über diese Fernzugriffsfunktionen erfolgen, die die Kommunikation mit dem Hersteller erleichtern sollen. Wenn der Anbieter eine Verbindung herstellen kann, können dies auch böswillige Akteure.

Welche Massnahmen können wir ergreifen, um die wachsenden Risiken für OT-Systeme einzudämmen? Als Cybersicherheitsexperten, die sich mit OT-Systemen befassen, müssen drei wesentliche Massnahmen ergriffen werden. Erstens sollte es in Bezug auf Konnektivität und Sicherheit keine Unterscheidung zwischen IT und OT geben. Die IT- und sicherheitsrelevanten Aspekte der Entwicklung und Implementierung von OT-Geräten sollten denselben strengen Prüfungen, Genehmigungen und Änderungskontrollprozessen unterzogen werden wie neue Server. Auch wenn ein Genehmigungsverfahren für Out-of-Band-Konnektivität von Anbietern notwendig sein kann, ist es besser, sie ganz zu verbieten. Stattdessen ist es sinnvoller, die von der IT-Abteilung über kontrollierte Firewalls bereitgestellte Konnektivität zu nutzen, wobei Verbindungen auf Anfrage aktiviert und standardmässig deaktiviert werden.

Zweitens: Alle OT-Geräte sollten als nicht vertrauenswürdig behandelt werden. Genauso wie wir aufgrund mangelnden Vertrauens Firewalls zwischen dem Unternehmensnetzwerk und dem Internet einsetzen, sollten die Verwaltungsschnittstellen der Out-of-Band-Verwaltungsadapter von Servern in separaten Netzwerksegmenten isoliert werden, um zu verhindern, dass kompromittierte Benutzeranmeldungen zu hochprivilegierten Angriffsvektoren werden. Wir müssen das IT-Netzwerk vor potenziellen Schwachstellen schützen, die von OT-Systemen ausgehen, indem wir ein robustes System einführen, das die Anwendung von Updates, die Installation von Patches und die Durchführung regelmässiger Konfigurations- und Protokollüberprüfungen umfasst, ähnlich wie bei Standard-IT-Verfahren. Es sollte auch in Betracht gezogen werden, die externe Konnektivität ganz zu deaktivieren, da die Unannehmlichkeiten des Wartens auf einen Techniker vor Ort die damit verbundenen Risiken überwiegen könnten.

Und schliesslich ist es unerlässlich, die von OT-Geräten ausgehenden Risiken zu erkennen. Während Kessel bereits erwähnt wurden, gibt es in der Infrastruktur von Unternehmen eine Vielzahl großer und potenziell gefährlicher Geräte wie Industrieanlagen, medizinische Systeme und chemische Pipelines. Es ist bekannt, dass selbst unbeabsichtigte Softwarefehler Schaden anrichten können, was vorsätzliche Angriffe auf OT-Systeme zu einer noch grösseren Bedrohung macht.

Auch wenn OT-Systeme im Vergleich zu IT-Systemen scheinbar eine geringere Konnektivität und Gefährdung aufweisen, erfordern die abnehmende Sicherheitsprüfung und die zunehmenden gezielten Angriffe proaktive Massnahmen, um das Risiko in akzeptablen Grenzen zu halten.