Kulturen prallen aufeinander

Mit der Verknüpfung von IT und OT stossen nicht nur technisch gesehen unterschiedliche Systeme aufeinander. Auch zwei Kulturen mit unterschiedlichem Verständnis für das Thema Sicherheit prallen aufeinander. Ein Aspekt dabei ist die Zeit. IT-Systeme sind um einiges schnelllebiger als OT-Installationen. Das beobachtet auch Schneider von Trend Micro: «Während in der IT Betriebszeiten von unter drei Jahren nicht unüblich sind, werden OT-Systeme nicht selten mit Betriebszeiten von 15 bis 20 Jahren konzipiert.» Laut Schneider ist es daher in der IT durchaus Usus, ein fehlerhaftes und «suboptimal» konzipiertes System in der Regel nach drei Jahren «auszutauschen». «Diese Option besteht für OT-Systeme schlichtweg nicht», sagt Schneider.

Dass IT und OT in verschiedenen Geschwindigkeiten unterwegs sind, bejaht auch Limacher. «Der Planungs- und Zeithorizont bei OT-Technologien ist wesentlich länger», meint er zu den Unterschieden. Nicht selten habe man den Grundsatz «Never touch a running system». «Zudem hat die Verfügbarkeit einen sehr hohen Stellenwert», fügt Limacher an. Im OT-Bereich sei es üblich, dass die Systeme rund um die Uhr an sieben Tagen der Woche funktionieren und laufen müssen. Auch die Mitarbeitenden haben offenbar dieses Prinzip verinnerlicht. Unterbrüche, um Systeme zu patchen, sind quasi undenkbar.

Schneider veranschaulicht die Unterschiede zwischen IT und OT mit der verschiedenen Bewertung der Schutzziele. «Im IT-Bereich ist eine Priorisierung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit oder englisch CIA, also Confidentiality, Integrity, Availability, der Standard», sagt er. Im OT-Bereich stehe dagegen die Verfügbarkeit an erster Stelle, gefolgt von Integrität und Vertraulichkeit. «Üblich ist auch das Einbringen von Safety als übergreifendes Schutzziel», führt Schneider weiter aus und folgert daraus, dass allein schon die Priorisierung der Schutzziele eine ganz andere Herangehensweise an das Design und den Betrieb der jeweiligen Systeme bedinge.

Auch Walter Jäger von Kaspersky betont, dass beide Seiten – noch – in gewisser Weise eine «unterschiedliche Sprache» sprechen würden. «Im Englischen wird dies bei den Begriffen ‹Security› und ‹Safety› deutlich. Daher gilt es, diese Unterschiede abzubauen – und da machen wir schon Fortschritte», fügt er an.

Die Kardinalfrage lautet nun: Wie lassen sich OT-Systeme schon heute oder in Zukunft schützen? Zunächst ist sicherlich eine Sensibilisierungskampagne der Mitarbeiter und der Betreiber von Anlagen wichtig. Sie müssen erkennen, dass ein Problem besteht und wo dieses zu verorten ist. Eine holistische Herangehensweise wird daher von Expertenseite empfohlen (vgl. Kasten unten). «Ein umfassender, vielschichtiger Ansatz, der technischen Schutz mit regelmässigen Schulungen von IT-Sicherheitsspezialisten und Betreibern industrieller Netzwerke kombiniert, stellt sicher, dass Netzwerke vor Bedrohungen geschützt und die Fähigkeiten der Mitarbeiter auf dem neusten Stand bleiben», bringt Kasperskys Jäger die Strategie auf den Punkt.

Danach kann man ans Eingemachte gehen, sprich: ans Technische. Dabei zeigt sich, dass viele aus der IT-Security bekannte sowie erprobte Ansätze und Verfahren auch in Sachen OT wirken und somit angewandt werden können. Bestes Beispiel ist hier die Aufteilung der Systemumgebung und des Netzwerks in Zonen oder Segmente. Dadurch werden zwischen den Einzelteilen einer Anlagensteuerung Schutzwälle errichtet, in die Schleusen eingelassen sind, die sich wiederum gut überwachen lassen. Wird ein einzelnes Segment oder Mikrosegment angegriffen oder verseucht, bleibt der Rest des OT-Systems zunächst unberührt. Die Attacke lässt sich so nicht nur eingrenzen, sondern auch besser bekämpfen. Zudem sollten die einzelnen Zonen und Teile eines OT-Systems eine eindeutige Identifikation und Authentisierung erhalten. Schliesslich kann nur etwas geschützt werden, von dem man von der Security-Seite her weiss, dass es existiert.

Mit der Vergabe eindeutiger Identitäten – einer aus der IT-Security bekannten und bewährten Methode – können sogenannte Chains of Trust oder Vertrauensketten aufgebaut werden. Diese dienen dann nicht nur für den Aufbau einer vertrauensvollen Umgebung innerhalb der eigenen Anlagen, sondern können und sollten auch auf die Lieferkette ausgeweitet werden. Denn schliesslich sind die Systeme der Zulieferer und Abnehmer ebenfalls ein mögliches Einfallstor für Cyberkriminelle. Steht einmal ein solches Inventar, lassen sich die Datenströme der OT-Umgebungen überwachen. Dies kann durchaus von aussen geschehen, sodass die eigentliche Funktionsweise des OT-Systems nicht verändert werden muss – etwa durch die Installation zusätzlicher Software. Wie wir bereits erfahren haben, wird das optimal laufende System und der akribisch eingestellte Prozess von den OT-Operateuren ungern geändert.

Stattdessen wird das Verhalten der Anlagenteile von einer IT-Security-Software beobachtet. Beispielsweise lässt sich anhand der Analyse des Datenstroms eines Sensors erkennen, ob alles rund läuft oder ob möglicherweise Cyberkriminelle ihr Unwesen treiben. Ein gewöhnlicher Drucksensor produziert nämlich in der Regel nur wenige Kilobyte an Daten. Schnellt diese Zahl in die Höhe, kann dies ein Indiz dafür sein, dass etwas nicht stimmt. In der Folge lassen sich Warnungen ausgeben respektive im Rahmen eines IT-Security-Systems entsprechende Gegenmassnahmen einleiten. Diese Überwachung und Bekämpfung von aussen ist derzeit für Anlagenbetreiber die beste Option, um den Security-Standard ihrer OT-Systeme zu heben. Denn bis die OT-Seite in Sachen Security nachgezogen und die Konzepte aus der IT-Security verinnerlicht haben wird, dürften analog zu den dort üblichen Erneuerungszyklen Jahrzehnte vergehen.