Von Stefan Rabben*
Geht es um das Thema Cyber Security, stehen meistens die klassischen IT-Infrastrukturen im Fokus. Aber wie steht es um die Sicherheit von Operational Technology (OT)-Umgebungen in Unternehmen? Auch diese müssen effektiv vor Bedrohungen und Angriffen aus dem Cyberspace geschützt werden. Sieben Schritte weisen OT-Verantwortlichen den Weg, um das Sicherheitsniveau hier auf eine neue Ebene zu heben.

Schritt 1: Erarbeiten Sie ein wirksames Governance-Modell
Um sich effektiv vor Cyber-Risiken zu schützen, benötigen Unternehmen ein durchdachtes Konstrukt aus Sicherheitsrichtlinien und entsprechenden Verfahren. Diese dienen dazu, Sicherheitsvorfälle rechtzeitig zu entdecken, richtig zu reagieren und sie im Idealfall zu verhindern. Solche Security-Governance-Modelle in Kombination mit modernsten Technologien zur Absicherung von OT-Geräten verbessern die Transparenz und Reaktionsfähigkeit im gesamten OT-Ökosystem. Dabei müssen Rollen und Zuständigkeiten für Kontrollen, das Monitoring und die Reaktion auf Störfälle explizit und schriftlich fixiert werden.

Schritt 2: Sorgen Sie für die erforderliche Geräte- und Netzwerktopografie
Fertigungsunternehmen verfügen in der Regel über eine Vielzahl von miteinander vernetzten Industrieanlagen, die Datenströme für die Produktion, Überwachung und Steuerung von Industrieprozessen generieren. Um hier den Überblick zu behalten, bedarf es spezieller Lösungen für die Visualisierung der Netzwerktopografie. Hierfür gibt es zahlreiche Tools, mit denen sich Netzwerke regelmäßig scannen und darstellen lassen. Dadurch ist es möglich, die Effizienz sowie die Schwachstellen des jeweiligen Netzwerks verlässlich zu ermitteln.

Schritt 3: Segmentieren Sie das Netzwerk
Zu empfehlen ist hier eine zweistufige Vorgehensweise, beginnend mit einer IT-/OT-Segmentierung. Wichtig hierbei ist, den Datenaustausch zwischen Business Tools und IT/OT-Systemen engmaschig zu kontrollieren und auf ein Mindestmaß zu beschränken. Im zweiten Schritt folgt dann eine prozessorientierte Segmentierung, um die Datenflüsse und Komponenten gemäß den bestehenden Geschäftsanwendungen zu partitionieren. Dabei wird die Sicherheit der Segmentierung durch ein Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) und eine Public-Key-Infrastruktur (PKI) erhöht.

Schritt 4: Zentralisieren Sie die Remote-Zugriffe
Remote-Zugriffe auf Unternehmensnetzwerke sind für durchgängige Arbeitsprozesse unerlässlich. Daher bedarf es entsprechender Tools, um die Interaktionen in einer OT-Umgebung zu verwalten. Dies birgt jedoch auch Sicherheitsrisiken in sich. Um diese zu minimieren, empfiehlt sich die Implementierung einer einfachen und zentralisierten Lösung für den Remote-Zugriff. Diese sollte den privilegierten Zugang zu kritischen Produktionssystemen unabhängig von deren unterschiedlichen Netzwerktopologien optimieren. Ein Maximum an Sicherheit gewähren hierbei Lösungen für Privileged Access Management (PAM).

Schritt 5: Sichern Sie den Benutzerzugriff
Die Einrichtung von Benutzerkonten und Zugangsdaten sowie Authentifizierungs- und Berechtigungsmaßnahmen stellt sicher, dass nur legitimierte Mitarbeiter auf Systeme zugreifen können. Dies gilt auch für die Instandhaltung. Ein sicherer Zugriff auf die Produktionslinie muss hierbei per Multi-Faktor-Authentifizierung (MFA) jederzeit und von jedem Ort aus möglich sein. Hierbei unterstützt eine PAM-Lösung, in der sensible Informationen wie das Login oder das Passwort einer bestimmten Komponente gespeichert sind. Die Lösung stellt die Sitzung her und gewährt dem Nutzer nur die Rechte, die er für die Ausführung seiner Aktion benötigt – was ein Maximum an Sicherheit gewährleistet.

Schritt 6: Sichern Sie die Endpoints
Funktionierende Workstations sind für die Produktion von entscheidender Bedeutung. Daher müssen sie besonders sorgfältig vor internen Bedrohungen geschützt werden. Bei der Sicherung dieser Endgeräte sind für eine OT-Umgebung typische Einschränkungen zu berücksichtigen. Auch hierbei unterstützen PAM-Lösungen: Sie können Rechte und das Verhalten von Benutzern auf den Zielgeräten einschränken. So lassen sich Bouncing, die Ausweitung von Privilegien und die Ausführung bestimmter Anwendungen wie etwa Veränderungen der Registry verhindern und bei Bedarf Warnungen generieren.

Schritt 7: Halten Sie regulatorische Vorgaben ein
OT-Verantwortliche stehen vor der Herausforderung, eine wachsende Zahl von Normen und Standards in puncto Cybersecurity Governance zu berücksichtigen. Dazu zählen beispielsweise die EU-Datenschutz-Grundverordnung (DSGVO) und die EU-Richtlinie zur Gewährleistung von Netzwerk- und Informationssicherheit (NIS). Mit einem Governance-basierten Cyber-Sicherheitsprogramm lassen sich die Compliance-Richtlinien verlässlich einhalten und Risiken mindern. Durch die Implementierung der oben genannten Lösungen sind Unternehmen bezüglich der Beachtung regulatorischer Vorgaben auf der sicheren Seite.

Fazit
Die Konvergenz von OT- und IT-Systemen ist mit etlichen Risiken verbunden. Die dezentrale Konfiguration von OT-Netzen über mehrere Standorte und Geräte hinweg erhöht die Zahl potenzieller Sicherheitsschwachstellen, die Cyber-Kriminelle für unautorisierte Zugriffe ausnutzen können. WALLIX unterstützt mit seiner Lösung PAM4ALL Betreiber von Produktionsanlagen dabei, ihre OT-Umgebungen abzusichern und vor Cyber-Bedrohungen zu schützen.