Traditionell isolierte OT ist mit IT verbunden

Cyber-Angriffe auf Industriesteuerungssysteme können gravierende Auswirkungen haben. Denn im Gegensatz zu herkömmlichen IT-Netzwerken verwalten und steuern OT-Netzwerke häufig Systeme, deren Kompromittierung die Sicherheit von Menschen gefährden könnte. Um Risiken zu minimieren, ist ein mehrschichtiger Ansatz gefragt, der Security auf Geräte- und Netzwerkebene kombiniert. Dafür benötigen Unternehmen eine umfassende Sicherheitsarchitektur mit integrierten Security-Lösungen.

Wer auf dem neuen digitalen Markt erfolgreich sein will, muss seine Daten bestmöglich nutzen. Für Industrieunternehmen ist es daher heute unverzichtbar, die traditionell isolierte Operational Technology (OT) mit der IT zu verbinden. Wie aber sichert man solche Umgebungen richtig ab?

Fast alle Industrieunternehmen haben bereits damit begonnen, ihre OT- und IT-Netze zu verbinden. Doch bei der Absicherung sind sie mit zahlreichen Problemen konfrontiert. IT- und OT-Teams sprechen einfach unterschiedliche Sprachen. Viele Industriesteuerungs- und SCADA-Systeme sind seit langer Zeit in Betrieb.
So kann selbst ein harmloser Malware-Scan zu Fehlfunktionen führen. Gleichzeitig steigt die Gefahr für Cyber-Angriffe. Wie eine Studie von Fortinet und Forrester Research ergab, haben 88 Prozent der Unternehmen schon einmal einen Sicherheitsvorfall bei ihren SCADA/ICS-Architekturen erlebt.

Um den Cyber-Risiken entgegenzuwirken und zu gewährleisten, dass nur sichere Produkte in der Industrieanlage vernetzt sind, sollte schon in der Fertigung der IIoT-Produkte (Industrial Internet of Things) die Sicherheit an erster Stelle stehen. SCADA/ICS-Betreiber sollten beim Errichten Ihrer Security-Architektur Folgendes beachten:

• Netzwerk segmentieren: IoT-Geräte in Produktionsnetzwerken müssen segmentiert werden und für verschiedene Geräte-Gruppen sind geschützte Netzwerkzonen zu bilden. Das Netzwerk kann dann automatisch Basisberechtigungen für bestimmte IoT-Geräteprofile erteilen und durchsetzen. Tools für das Inventory Management helfen Anwendern dabei, die Geräte zu verfolgen und mit Behavioral Analytics ihr Verhalten überwachen. Internal Segmentational Firewalls (ISFW) dienen dazu, Netzwerksegmente schnell und dynamisch einzurichten und zu kontrollieren. Außerdem prüfen sie den Datenverkehr beim Überschreiten der Segmentgrenzen.
• Sichtbarkeit schaffen: Wichtig ist, einen Überblick über alle IoT-Geräte zu haben, die mit dem Netzwerk verbunden sind. Mithilfe von Netzwerkzugangskontrollen können alle Devices authentifiziert und klassifiziert werden. So werden die IoT-Geräte automatisiert entsprechenden Gruppen zugewiesen und Risikoprofile erstellt. Auf die Gruppen lassen sich zuvor definierte Policies anwenden. Endpunktschutz für IoT- und andere Geräte hilft dabei, Bedrohungen sichtbar zu machen.
• Auf integrierte und automatisierte Security setzen: Security-Lösungen sollten in der Lage sein, Informationen zu korrelieren – sogar zwischen Geräten, die in verschiedenen Netzwerkökosystemen eingesetzt werden. Solche integrierten Tools können dann automatisch erweiterte Sicherheitsfunktionen auf alle IoT-Geräte oder auf verdächtigen Netzwerkverkehr anwenden – überall im gesamten Netzwerk, einschließlich der Zugriffspunkte, segmentübergreifenden Netzwerkverkehrsknoten und in Multi-Cloud-Umgebungen.
• Geräte und Anwendungen umfassend sichern: SCADA/ICS-Betreiber müssen ihre Netzwerkinfrastruktur einschließlich Switches, Routern, drahtlosen Netzwerken und IoT/IIoT-Geräten sichern. Zudem können sie ihre Geräte härten, indem sie nicht verwendete Ports und/oder Funktionen deaktivieren.
• Zugang kontrollieren: Dank Identitäts- und Zugangs-Management Policies, können Anwender den Zugang zum Netzwerk von Dritten kontrollieren und IoT/IIoT-Geräte im Netzwerk managen. Außerdem können sie so verhindern, dass Mitarbeiter auf Teile des Netzwerks zugreifen, die sie nicht benötigen.

Um die Geschäftsziele zu erreichen, ohne die OT zu kompromittieren, empfiehlt es sich, auf einen Experten für SCADA/ICS-Security zu setzen. Dieser sollte in der Lage sein, Compliance-Standards zu erfüllen und Ende-zu-Ende-Lösungen bereitzustellen. Immer mehr Unternehmen favorisieren dabei eine integrierte Strategie, mit der sie die häufigsten Sicherheitsprobleme aus einer Hand lösen können.

Christian Pellkofer ist Lead Systems Engineer OT/IoT bei Fortinet.

Fortinet