Absicherung von IT/OT-Umgebungen: Warum sich IT-Sicherheitsexperten damit schwertun

Bei der Bereitstellung und Umsetzung von Cybersecurity-Maßnahmen in konvergenten Umgebungen mit IT und operativer Technologie ist es für Sicherheitsexperten von entscheidender Wichtigkeit, die Unterschiede zwischen diesen Umgebungen zu verstehen und ein Toolset zu verwenden, das ein umfassendes Bild von beiden in einer einzigen Ansicht liefert.

Wenn Ihr Unternehmen über IT- und OT-Umgebungen (Operational Technology) verfügt, ist es so gut wie sicher, dass diese beiden Umgebungen konvergieren, selbst wenn Sie sich dessen nicht bewusst sind. Vorbei sind die Zeiten, in denen die OT von der Außenwelt abgeschottet war. Stattdessen wird Konnektivität über die IT-Infrastruktur bereitgestellt, wodurch Angreifern Tür und Tor geöffnet wird, um in kritische OT-Infrastrukturen einzudringen. Aufgrund unserer Erfahrungen bei der Zusammenarbeit mit Unternehmen weltweit gehen wir davon aus, dass IT-Geräte heutzutage etwa die Hälfte der OT-Umgebung ausmachen, sodass es fast unmöglich ist, eine harte Grenze zwischen den beiden Bereichen zu ziehen.

Infolgedessen sehen sich immer mehr IT-Sicherheitsexperten plötzlich damit konfrontiert, das Sicherheitsprogramm für beide Umgebungen verwalten zu müssen – und viele sind völlig ratlos, womit sie überhaupt anfangen sollen. Das liegt daran, dass IT- und OT-Umgebungen von Grund auf unterschiedlich konzipiert wurden. Betrachten Sie diesen Vergleich:

Vergleich von IT- und OT-Umgebungen                            

Quelle: Tenable, Dezember 2021

Wo also soll man überhaupt anfangen? Ein wichtiger erster Schritt besteht darin, die in der obigen Tabelle hervorgehobenen Unterschiede zu verstehen und zu überlegen, wie sich diese Unterschiede auf Verhaltensweisen, Überzeugungen und letztlich auch auf Sicherheitsentscheidungen auswirken könnten.

Was steckt in einem Namen?

Das Wort „Sicherheit“ nimmt in einer OT-Umgebung eine andere Bedeutung an. Ich werde einer Freundin und ehemaligen Kollegin für ewig dankbar sein, denn sie bewahrte mich davor, mich vor 100 OT-Experten zum Narren zu machen, als ich gerade anfing, mich mit IT/OT-Sicherheit zu beschäftigen. Ich war gerade dabei, meine Präsentation mit ihr durchzugehen, kurz vor einem Vortrag, den ich vor diesem Publikum halten wollte. Mein Plan war es, zu sagen, dass Fachkräfte aus dem OT-Bereich der Sicherheit mehr Aufmerksamkeit schenken und ihr wirklich oberste Priorität einräumen sollten. Sie erklärte mir, dass das OT-Publikum auf diese Botschaft negativ reagieren würde. Denn für diese Personen steht die Sicherheit bereits im Mittelpunkt ihrer Arbeit. Wo lag also das Problem? Ich definierte „Sicherheit“ im Kontext meiner IT-Erfahrung und meinte damit Cybersicherheit. In der OT-Welt bedeutet "Sicherheit" Schutz und physische Sicherheit. Ein Wort also mit sehr unterschiedlichen Bedeutungen.

Warum haben IT- und OT-Fachleute so unterschiedliche Vorstellungen von „Sicherheit“?

In der Welt der IT spielen Daten die Hauptrolle, und so ist es nur logisch, dass die größte Sorge darin besteht, dass die Sicherheit des Netzwerks kompromittiert werden könnte. Ein Angreifer, der sich Zugang zum Netzwerk verschafft, kann die Integrität der Daten beschädigen, sie exfiltrieren oder sogar den Zugriff auf die Daten für das Unternehmen unmöglich machen. Im Gegensatz dazu stellen OT-Umgebungen von Natur aus eine höhere physische Gefahr dar. Die größte Befürchtung ist daher, dass es zu einem Unfall kommen könnte, der kritische Betriebsabläufe unterbricht und möglicherweise die Sicherheit der Mitarbeiter oder die der Allgemeinheit gefährdet. Deshalb sind OT-Experten sehr darauf bedacht, einen „Always-on“-Betrieb zu gewährleisten und für ein hohes Maß an Sicherheit im Sinne von Schutz zu sorgen – und damit auch für physische Sicherheitsvorkehrungen in der Umgebung.

Völlig unterschiedliche Strukturen

Vor diesem Hintergrund macht der Rest der Tabelle viel mehr Sinn. IT-Sicherheitsexperten bevorzugen eine zentralisierte Kontrolle, mit der eine Infrastruktur geschaffen wird, die es allen Assets oder Personen ermöglicht, überall im Netzwerk auf alle anderen Assets oder Daten zuzugreifen. Dabei handelt es sich um Weitverkehrsnetze (WAN), in denen die Systeme und Prozesse angesiedelt sind, die für den Unternehmensbetrieb erforderlich sind.

Im Gegensatz dazu sind OT-Umgebungen auf einen größeren Schutz der Privatsphäre und eine begrenzte Kontrolle ausgelegt. In diesen stark segmentierten Umgebungen ist es für autorisierte Personen und Assets unmöglich, auf andere Assets zuzugreifen, die nicht in ihren Zuständigkeitsbereich fallen. Dies sind lokale Netzwerke (LAN), in denen sich Systeme und Prozesse befinden, die das Unternehmen unterstützen. Die meisten dieser Geräte sind so konzipiert, dass sie nur mit anderen Geräten innerhalb ihrer Zone kommunizieren, nicht aber mit der Außenwelt.

Unterschiedliche Sichtweisen

Angesichts der unterschiedlichen Netzwerktopologien und -definitionen ist es nicht verwunderlich, dass die Prioritäten von OT- und IT-Sicherheitsteams und ihre Reaktionen auf Angriffe völlig gegensätzlich sind, selbst innerhalb derselben Organisation. Während IT-Sicherheitsexperten ihre Welt nach dem Prinzip „C-I-A“ (Confidentiality, Integrity, Availability – Vertraulichkeit, Integrität, Verfügbarkeit) priorisieren, nehmen OT-Experten die diametral entgegengesetzte Perspektive ein und priorisieren ihre Welt als „A-I-C“. Wie bereits erwähnt, sind Daten für die IT-Sicherheit das absolut Wichtigste, weshalb die Gewährleistung von deren Vertraulichkeit und Integrität immer Vorrang vor der Verfügbarkeit hat. Für sicherheitsbewusste OT-Profis hingegen müssen die Betriebsabläufe stets verfügbar sein, um zu gewährleisten, dass die Umgebung reibungslos läuft und keine Ausfälle auftreten, die potenziell zu einer Katastrophe führen können.

Wie wirken sich diese unterschiedlichen Prioritäten in der Praxis aus? Im Falle eines Angriffs isolieren IT-Sicherheitsteams so schnell wie möglich die betroffenen Systeme und fahren sie herunter, um das Problem einzudämmen und Datenverluste zu minimieren. OT-Fachkräfte hingegen verfolgen den gegenteiligen Ansatz, indem sie dafür sorgen, dass kritische Infrastrukturen immer in Betrieb bleiben. Von dieser Strategie wird nur dann abgewichen, wenn der Angriff dazu führt, dass die OT-Geräte nicht mehr funktionieren und möglicherweise eine Gefahr für das Unternehmen, seine Mitarbeiter oder die Umgebung darstellen.

Vielfalt der Tools

Die wohl größte Herausforderung für IT-Sicherheitsexperten, die sich mit OT-Sicherheit auseinandersetzen, ist die Tatsache, dass viele ihrer traditionellen IT-Sicherheitstools in einer OT-Umgebung nicht funktionieren. In der Tat kann selbst das elementarste aller IT-Sicherheitstools – der Scanner  – ein OT-Netzwerk zum Absturz bringen. Daher sollten Sie sich unbedingt für einen Scanner entscheiden, der sich in OT-Umgebungen bewährt hat. Allerdings besteht dann die Gefahr, dass Sie zwei verschiedene Sicherheits-Toolsets haben, eines für jede Umgebung. Zwar können Sie auf diese Weise sicherstellen, dass Ihnen für jede Aufgabe die richtigen Tools zur Verfügung stehen, doch wenn es darum geht, sie alle zu verwalten und dafür zu sorgen, dass Ihre Mitarbeiter für den richtigen Umgang mit ihnen geschult sind, kann dies bestenfalls zu einer echten Herausforderung werden.

Und dann kommt die eigentliche Komplikation – nämlich herauszufinden, wie Sie all die unterschiedlichen Daten aus den beiden völlig verschiedenen Umgebungen in einem Dashboard zusammenführen können, damit Sie sämtliche Assets im Blick haben und alle Sicherheitsprobleme in Ihrer gesamten Angriffsoberfläche priorisieren können. Ohne die Fähigkeit, alle Umgebungen der gesamten erweiterten Angriffsoberfläche in einer einzigen, vollständig integrierten Lösung umfassend zu betrachten und zu bewerten, wird Ihr Team erheblich mehr Zeit aufwenden müssen, um die Sicherheitslage insgesamt zu verstehen. Zudem besteht die reale Gefahr, dass wichtige Sicherheitsprobleme übersehen werden.

Fazit

Wenn Sie für die Verwaltung des Sicherheitsprogramms für ein konvergentes IT/OT-Netzwerk verantwortlich sind, ist es absolut unerlässlich, dass Sie die Unterschiede und einzigartigen Herausforderungen einer OT-Umgebung verstehen. Und ebenso wichtig ist es, sicherzustellen, dass Sie für diese Aufgabe die richtigen Sicherheitstools einsetzen – nämlich solche, die für eine OT-Umgebung geeignet sind und die vollständig mit ergänzenden IT-Sicherheitstools integriert werden können, um einen umfassenden Überblick über die Sicherheitslandschaft des Unternehmens zu vermitteln. Und was Mitarbeiter und Prozesse angeht:

• Sorgen Sie dafür, dass sich Ihre IT-Sicherheitsexperten mit den OT-Führungskräften treffen, um die inhärenten Unterschiede, die OT-Umgebungen auszeichnen, wirklich zu verstehen.
• Nehmen Sie sich die Zeit, wirklich zu verstehen, was die Bedürfnisse und Prioritäten der OT sind und warum sie wichtig sind, anstatt ihnen die Sicherheitsphilosophien der IT aufzudrängen.
• Machen Sie sich klar, dass OT-Umgebungen erst seit relativ kurzer Zeit Konnektivität mit der Außenwelt haben und sich daher die OT-Verantwortlichen noch in der Anfangsphase befinden, was den Reifegrad der Sicherheit betrifft.
• Es ist wichtig, Ihre OT-Kollegen für sich zu gewinnen. Seien Sie daher offen für eine schrittweise Einführung von Änderungen, anstatt von heute auf morgen die „ideale“ Sicherheitslösung zu erzwingen.

Mehr erfahren

• Webinar ansehen: An Ecosystem Approach to Better Protect Converged IT/OT Environments 
• Laden Sie den Bericht herunter: Forrester Wave: ICS-Sicherheitslösungen (Industrial Control Systems) 
• Lesen Sie den Leitfaden von Gartner: Marktleitfaden Vulnerability Assessment 2021