Die voranschreitende Digitalisierung, Vernetzung und die industrielle Automatisierung sind nicht immer im Einklang und der Schutz kritischer Infrastrukturen ist dadurch zunehmend herausfordernd. Im Gegensatz zu den meisten Unternehmen, wo der Anteil benutzerbasierter Endgeräte überwiegt, sind produzierende Betriebe zusätzlich gefordert. Geschäftskritische Systeme wie Maschinen mit teilweise veralteten Kommunikationsprotokollen und damit potenziell grösserer Angriffsfläche, müssen gut abgeschirmt und speziell geschützt werden.
Dabei spielt die saubere Trennung von Systemen in verschiedene Schichten eine essenzielle Rolle. Die Gruppierung und Unterteilung von Gerätschaften und Systemen in unterschiedliche Bereiche oder Zonen, ermöglicht es die Interaktion auf zwingend erforderliche Prozesse zu reduzieren. So kann man Datenströme besser koordinieren und steuern, Anomalien schneller erkennen und damit die Gefahr von einem erfolgreichen Cyber Angriff (Lateral Movement) oder sogar einem Produktionsausfall stark einschränken.
Sachlage
Bereits seit 40 Jahren gibt es Ansätze zur Trennung von Systemen in Schichten, wie z.B. das ISO/OSI-Referenzmodell in der Netzwerkkommunikation, welches mitunter die entsprechenden Standards innerhalb eines Netzwerks definiert hat. Heute gilt es jedoch nicht nur die Kommunikation sicherzustellen, sondern jede Ebene wo ein Datenaustausch stattfindet, gesondert abzusichern. Laut aktuellen Umfragen, hatten 9 von 10 Unternehmen in der Vergangenheit unerlaubte Zugriffe auf Ihre Systeme festgestellt und davon hatten über die Hälfte Auswirkungen auf OT-Systeme. Dies legt nahe, dass die strikte Trennung von produzierenden und datenverarbeitenden System-Schichten nur in den wenigsten Fällen ausreichend umgesetzt wurde.
Diese Trennung bedingt eine hohe Aufmerksamkeit und die stete Anpassung an aktuelle Standards und Ausgangslagen. So schützen inzwischen einige Unternehmen Ihre fragilsten Teilnetzwerke mit dedizierten Firewalls, Zugriffskontrollen und anderen erweiterten Schutzmechanismen.
Handlungsempfehlungen
Generelle Segmentierung
Trennen Sie Ihr Netzwerk in Teilsegmente auf und achten Sie darauf, dass der Datenfluss nur dann und dort stattfindet, wo dies auch erforderlich und gewollt ist
Asset Management
Stellen Sie sicher, dass Sie sämtliche Gerätschaften (IT/OT) und deren Funktion in Ihrer Umgebung kennen und dokumentiert haben
Klare Richtlinien
Basierend auf den ersten beiden Empfehlungen, sollten Sie verbindliche Richtlinien in Hinblick auf die Funktion, die Sicherheitsanforderungen und den Datenaustausch der jeweiligen Segmente festlegen
Zugriffssteuerung
Definieren Sie wer, wann und wo auf Daten und gewisse Segmente zugreifen kann. Dies kann in Form von Berechtigungen oder auch eigens dafür ausgelegten Komponenten geregelt werden
Monitoring
Überwachen Sie sämtliche Vorgänge innerhalb Ihres Netzwerks und legen Sie dabei ein Augenmerk auf die Parameter der produzierenden Umgebung wie auch auf sicherheitsrelevante Vorgänge
Interview
Im Gespräch mit Torben Griebe, Project Manager / Lead Information Security Expert bei Supercomputing Systems AG, haben wir tiefgreifende Einblicke in die Thematik der Trennung von IT- und OT-Umgebungen gewonnen. Die gewonnenen Einsichten verdeutlichen die Bedeutung einer sorgfältigen Segmentierung für die Sicherheit industrieller Systeme. Dieses Interview offenbart die Gründe hinter dieser Sicherheitsmassnahme und zeigt auf, welche möglichen Konsequenzen eine Vernachlässigung dieser Prinzipien haben kann.
Warum sollte man beispielsweise den Office Layer (IT/Büro-Umgebung) vom Production Layer (OT/Produktionsumgebung) trennen?
Torben Griebe: Die Anforderungen und technischen Gegebenheiten in einer IT-Umgebung unterscheiden sich stark von denen in einer OT-Umgebung. In einer OT-Umgebung haben normalerweise Verfügbarkeit und Integrität eine höhere Priorität als Vertraulichkeit von Daten. IT-Systeme sind nahezu immer am Internet angeschlossen, bei OT-Systemen versucht man dies nach Möglichkeit zu vermeiden.
Daher ist es sinnvoll IT- und OT-Umgebungen voneinander zu trennen. Als Leitfaden empfehle ich hier sehr gerne das Purdue Modell, welches die verschiedenen Bereiche der IT und OT hierarchisch in Zonen segmentiert.
Muss ich Teilsegmente nochmals gesondert absichern oder reicht es diese weitestgehend voneinander getrennt zu halten?
Torben Griebe: Eine Absicherung der Teilsegment mit zugeschnittenen Security Controlls ist auf jeden Fall zu empfehlen. Es kann auch sinnvoll sein, die Teilsegmente noch weiter zu unterteilen, z.B. nach Gerätehersteller oder Produktionslinie.
Eine Business Impact Analyse oder Risikoanalyse, z.B. gemäss Standard ISA/IEC 62443, kann bei der Escheidung helfen, ob und wie die Teilsegmente zusätzlich abgesichert werden sollten.
Wie stelle ich sicher, dass Daten trotzdem in der IT aufbereitet und genutzt werden können?
Torben Griebe: OT-Systeme speichern anfallende Daten üblicherweise zentral in einem sogenannten Data Historian.
In der IT können diese Daten dann gelesen und nach Belieben weiterverarbeitet werden. Oder aber der Data Historian synchronisiert die Daten von sich aus auf einen Server in der IT. Mittels Zugriffsberechtigungen, Firewallregeln oder sogar dedizierter Hardware, z.B. einer Datendiode, können unberechtigte Zugriffe verhindert werden.
Was sind die möglichen Auswirkungen, wenn ich keine Segmentierung betreibe und mein Netzwerk flach halte?
Torben Griebe: Wie anfangs gesagt, IT-Systeme sind fast immer am Internet angebunden. Bei einer flachen Netzwerkarchitektur ist die Gefahr gross, dass auch die OT-Systeme vom Internet erreichbar sind. Dies erhöht die Wahrscheinlichkeit eines Angriffs auf die OT-Umgebung enorm.
Zusätzlich kann ein erfolgreicher Angriff nicht nur die Existenz eines Unternehmens sondern mitunter auch die persönliche Sicherheit gefährden.