23.02.2022 – Die Zahl der Cyberattacken ist 2021 rasant gestiegen. Mit der wachsenden Vernetzung von Anlagen sowie der Integration von Software rückt auch in der Energieversorgung die Operational Technology (OT) zunehmend in den Fokus der Angreifer. Security-Anbieter Endian empfiehlt 10 Schutzmaßnahmen.
Sicherheitsrisiken in der Operational Technology
Üblicherweise sind Anlagen und Betriebsmittel in der Versorgungsinfrastruktur deutlich länger in Betrieb als IT-Systeme. Während Letztere nach spätestens fünf Jahren als überholt gelten und ausgetauscht werden, führen die längeren Laufzeiten der physischen Anlagen zu teilweise sehr heterogenen (Software) Umgebungen. Dies erschwert einheitliche Updates für Betriebssystem, Firmware und die von Aktualität abhängige Anti-Virensoftware.
Auch die über Jahre gewachsenen Netzwerke der Versorgungsindustrie stellen Experten zufolge ein Sicherheitsrisiko dar: Schadsoftware kann sich über die zahlreichen Vernetzungspunkte schnell über ganze Infrastruktur verbreiten. Die Corona-Pandemie habe die Situation weiter verschärft, da sich die eindeutige Abgrenzung zwischen internen und externen Zugriffen weiter aufgelöst habe. Aufbauend auf diesen Beobachtungen und Erkenntnissen empfiehlt Endian, folgende Maßnahmen umzusetzen:
-
- Netzwerke visualisieren
Die graphische Darstellung von Netzwerken hilft, ihre zunehmende Komplexität beherrschbar zu machen. Wer die verschiedenen Komponenten, Sensoren und Verbindungen vor sich sieht, könne die Kommunikation im Unternehmen und über seine Grenzen hinaus leichter nachvollziehen. Unregelmäßigkeiten in den Abläufen lassen sich damit schneller erkennen. Gleichzeitig bildet die Visualisierung die Grundlage für die Netzwerksegmentierung. - Netzwerke segmentieren
Ransomware ist nach wie vor die größte Bedrohung für Unternehmen in Deutschland. Dabei verschlüsseln die Angreifer Unternehmensdaten über einen Schadcode, um anschließend Lösegeld zu erpressen. Oft zielt der Schadcode darauf ab, sich möglichst unauffällig in den Netzwerken zu verbreiten, um einen maximalen Effekt zu erzielen. Die Unterteilung des Betriebsnetzes in einzelne voneinander getrennte Segmente sei deshalb ein grundlegender Schritt zur Gewährleistung der Security im OT-Bereich. Über IoT-Security Gateways, die vor die einzelnen Segmente geschaltet werden, lassen sich Netzwerke schnell unterteilen, ohne dass Änderungen an der Netzwerkstruktur erforderlich sind. - Zero-Trust-Konzept einführen
Das Zero-Trust-Konzept basiert auf der Annahme, dass kein Zugriff, egal ob intern von den eigenen Mitarbeitern oder extern von Lieferanten und Geschäftspartnern, vertrauenswürdig ist. Es setzt nicht mehr auf Standorte, sondern auf Identitäten, Autorisierung und einer sicheren Authentifizierung von Nutzern und Maschinen bei jedem Zugriff. - Autorisierung und Authentifizierung
Über die Einrichtung von Benutzerkonten und Credentials lässt sich sicherstellen, dass nur berechtigte Mitarbeiter auf Maschinen und Anlagen zugreifen. Für die Verwaltung brauchen Administratoren ein zentrales Tool, über das sie Rollen und Berechtigungen in Echtzeit einrichten, ändern oder löschen können. Die Einführung von Zugriffsregeln kann die Sicherheit weiter erhöhen. Darüber lässt sich beispielsweise festlegen, dass Mitarbeiter nur von bestimmten Ländern aus Zugriff auf die Netzwerke haben. Regionen, in denen das Unternehmen weder Niederlassungen noch Kunden hat, können ausgeschlossen werden. - Zwei-Faktor-Authentifizierung
Neben einem Passwort brauchen die Anwender einen weiteren Faktor, um sich auf einer Maschine oder in einem Netzwerk anzumelden. Häufig zum Einsatz kommt beispielsweise der sogenannte „Besitz-Faktor“ bei dem den Anwendern ein einmaliges Passwort auf das Smartphone geschickt wird. - M2M-Kommunikation mit Zertifikaten
Auch Maschinen kommunizieren zunehmend untereinander. Hier gilt das gleiche Prinzip wie bei der Mensch-Maschine-Kommunikation zu beachten: Für einen Zugriff ist eine entsprechende Berechtigung erforderlich. Zertifikate verleihen jedem Gerät eine eindeutige Identität, um sich gegenüber Maschinen, Systemen und Personen ausweisen zu können. - Fokus auf Edge Computing
Bevor Daten an eine zentrale Cloud gesendet werden, müssen sie eine Vorabauswertung dort durchlaufen, wo sie erhoben werden, also in der jeweiligen Maschine oder Anlage. Die Vorgehensweise spare Bandbreite und stelle sicher, dass weniger Daten dem Risiko von Diebstahl oder Manipulation während der Übertragung ausgesetzt sind. - Kommunikation verschlüsseln
Sobald Daten zwischen Edge und Cloud ausgetauscht werden, sind sie besonderen Risiken ausgesetzt. Ein VPN baut für jede Übertragung einen Verschlüsselungstunnel auf und sorgt so dafür, dass die Daten für all jene unbrauchbar sind, die versuchen, die Kommunikation abzufangen oder mitzuschneiden. - On Premises-Lösung
Unternehmen sollten jederzeit ihre Unabhängigkeit bewahren und selbst entscheiden können, wo ihre sensiblen Daten verwaltet werden. On Premises-Lösungen bieten die maximale Flexibilität, da sie in der Cloud, im eigenen Rechenzentrum oder beim Systemhauspartner einsetzbar sind. - Sensibilisierung der Mitarbeiter
Die meisten Schadcodes gelangen über Phishing-Mails ins Unternehmen. Indem die Angreifer falsche Tatsachen oder eine falsche Identität vortäuschen versuchen sie, einen Mitarbeiter zum Öffnen eines infizierten Anhangs oder Links zu bewegen. Regelmäßige Schulungen und Tests können helfen, die Mitarbeiter aktiv in die Cyberabwehr miteinzubeziehen. (ds)
- Netzwerke visualisieren