Vor nicht allzu langer Zeit gab es eine klare Trennung zwischen der Betriebstechnologie (OT), die die physischen Funktionen eines Unternehmens steuert – z.B. in der Fabrikhalle – und der Informationstechnologie (IT), die die Daten eines Unternehmens verwaltet, um Management und Planung zu ermöglichen.
Während die IT-Anlagen über das Internet zunehmend mit der Außenwelt verbunden wurden, blieb die OT von der IT – und dem Rest der Welt – isoliert.
Mit der Verbreitung des Industrial IoT (IIoT) und dem Bedarf an ständiger Überwachung und Verfolgung von Informationen aus der Fertigung und den Montagelinien hat sich die Verbindung zwischen IT- und OT-Systemen jedoch stark erweitert. OT ist nicht länger isoliert. OT ist jetzt genauso der Außenwelt ausgesetzt wie die IT.
Was bedeutet das für die OT-Sicherheit, wo schwer zugängliche Geräte, die für die Produktion rund um die Uhr benötigt werden, schwer zu patchen sind? Werfen wir einen Blick darauf.
Die Luftlücke ist verschwunden
Es ist noch gar nicht so lange her, dass der Datenaustausch zwischen IT und OT über ein „Sneakernetz“ lief. Ein Mitarbeiter ging zu einem Terminal, das mit dem OT-Gerät verbunden war, lud die Daten eines bestimmten Zeitraums ab und trug sie zu seinem Arbeitsplatz, wo er sie dann in das IT-System des Unternehmens hochlud.
Das war eine umständliche und langsame Art der Datenübertragung, aber sie bedeutete eine wertvolle physische Trennung (Air Gap) zwischen OT- und IT-Infrastrukturen und schützte wichtige OT-Geräte vor den typischen IT-Cybersicherheitsrisiken. Aber wie es in dem Lied heißt, ändern sich die Zeiten. In der Tat sind sie das schon seit einiger Zeit.
Heute stehen OT-Geräte an der Spitze der Cybersicherheitsrisiken. Die zunehmenden Ransomware-Vorfälle, die ganze Unternehmen lahmlegen und die Produktion für längere Zeit lahmlegen, haben verheerende Auswirkungen auf die Nachhaltigkeit der betroffenen Unternehmen und ziehen sich durch die gesamte Wertschöpfungskette.
Ein Beispiel: Das Unternehmen United Structures of American Inc., das früher einen Wert von 100 Millionen Dollar hatte, meldete Anfang 2022 Konkurs an, weil es Opfer eines Ransomware-Angriffs wurde, bei dem es den Großteil seiner Daten verlor. Und jeder wird sich an den Angriff auf Colonial Pipeline im letzten Jahr erinnern.
Du musst dich anpassen und deine OT sichern – schnell
Die Schnelllebigkeit der heutigen Technologieumgebung bedeutet, dass wir nicht mehr zu den alten Methoden zurückkehren können und dass wir davon ausgehen müssen, dass die OT weiterhin der Außenwelt ausgesetzt sein wird. Das erfordert einen anderen Ansatz zur Sicherung der OT-Infrastruktur.
Es gibt viele Lösungsvorschläge für diese Herausforderung, aber diese Lösungen erfordern oft völlig andere Architekturen, da einige Modelle heute nicht mehr relevant sind. Der Austausch vorhandener Geräte oder die Änderung bestehender Prozesse, um die neuen „Best Practices“ zu berücksichtigen, ist immer mit hohen Kosten für Zeit, Ressourcen und Schulungen verbunden.
Das wirkt sich auf den Gewinn aus, deshalb zögern Unternehmen die Umstellung so lange wie möglich hinaus. Wie wir immer wieder feststellen, finden manche Unternehmen erst nach einem Vorfall die richtige Motivation für erhebliche Ausgaben im Bereich Cybersicherheit.
Wenn das Worst-Case-Szenario eintritt, werden die Unternehmen sofort die notwendigen Mittel aufbringen, um das Problem zu beheben, aber das kann zu wenig sein, wenn es zu spät ist – wie United Structures herausgefunden hat.
Zumindest einige Schritte in Betracht ziehen
Wenn du deine OT noch nicht gesichert hast, musst du sofort damit anfangen. Ein schrittweiser Prozess kann dir helfen, wenn die umfassenden Änderungen, die zum vollständigen Schutz deiner OT erforderlich sind, einfach unpraktisch und unbezahlbar sind.
Wenn es möglich ist, solltest du zum Beispiel in Erwägung ziehen, die von der OT genutzten Netzwerke zu segmentieren und ein Anwendungs-Whitelisting einzuführen, um sicherzustellen, dass nur autorisierte OT-Anwendungen Daten über dieses Netzwerk senden und empfangen können. Behalte den Netzwerkverkehr genau im Auge und analysiere die Protokolle, damit du Angreifer auf frischer Tat ertappen kannst – bevor es zu spät ist.
Wenn deine OT mit Linux-Geräten aufgebaut ist, solltest du Live-Patching in Betracht ziehen. Live-Patching aktualisiert deine schwer zugänglichen OT-Geräte kontinuierlich und steht nicht in Konflikt mit den Betriebszeiten, was normalerweise der Fall ist, wenn du zum Patchen einen Neustart durchführen musst.
Wie auch immer deine Strategie aussieht, es gibt keine Entschuldigung dafür, deine OT ungeschützt zu lassen. Das gilt für Maßnahmen wie die Isolierung von OT-Netzwerken, aber auch für andere Optionen – wie die Anwendung von Live-Patching auf zuvor ungepatchte Geräte.
Es gibt keinen „guten Zeitpunkt“, um die ersten Schritte zu unternehmen. Der beste Zeitpunkt, um mit der OT-Risikominimierung zu beginnen, ist jetzt.
Dieser Artikel wurde von TuxCare, dem führenden Anbieter von Linux-Automatisierung in Unternehmen, geschrieben und gesponsert. TuxCare bietet Entwicklern, IT-Sicherheitsmanagern und Linux-Server-Administratoren, die ihre Cybersicherheitsabläufe kostengünstig verbessern und vereinfachen wollen, ein unübertroffenes Maß an Effizienz. Die Live-Sicherheitspatches für den Linux-Kernel sowie die Standard- und erweiterten Support-Services von TuxCare helfen bei der Sicherung und Unterstützung von mehr als einer Million Produktions-Workloads.
Um mit TuxCare in Verbindung zu bleiben, folge uns auf LinkedIn, Twitter, Facebook und YouTube.