OT (Operation Technology) devices use software and hardware to monitor, manage and control physical devices and related processes. OT devices as a security system according to Gartner is a set of “practices and technology used to (a) protect people, assets, and information, (b) monitor and/or control physical devices, processes and events, and (c) initiate state changes to enterprise OT systems.” The key difference between IT and OT devices is that IT controls data while OT controls equipment.

Trotz der Fortschritte im Bereich des Internets der Dinge (Internet of Things, IoT) und der Operativen Technologie (Operational Technology, OT) begegnen uns oft dieselben Sicherheitsprobleme wie sie auch in traditionellen IT-Umgebungen auftreten: Malware, laterale Bewegungen, DDoS-Angriffe (Distributed Denial of Service) und Ähnliches.

Heutzutage sind diese jedoch für die meisten Unternehmen mit geschäftskritischen Systemen verbunden. Das gilt besonders für OT – ein Bereich, in dem die finanziellen und betrieblichen Auswirkungen enorm sein können. Hersteller sind darauf angewiesen, dass die Lieferkette optimal funktioniert. Jeder Ausfall kann hier den Unterschied zwischen termingerechter Lieferung und Strafzahlungen ausmachen.

Nehmen wir eine Fertigungsstrasse in einem typischen Produktionsbetrieb. Um die Anlage zum Stillstand zu bringen, bedarf es der Kompromittierung von nur einem der Systeme, die einen Teil des Prozesses steuern. Diese Art von cyberkinetischen Angriffen, bei denen sich ein Angriff im digitalen Raum auf etwas in der physischen Welt auswirkt, kann auch reale physische Gefahren mit sich bringen. Wenn beispielsweise Sicherheitskontrollen oder Schutzvorrichtungen ausser Kraft gesetzt werden, sodass Maschinen nicht nur funktionsunfähig werden, sondern komplett ausfallen, kann dies zu enormen Produktivitätseinbussen und möglicherweise sogar zu Personenschäden führen.

Fünf wesentliche Risiken für IoT- und OT-Systeme:

  1. Mangelnde Transparenz
    Transparenz ist für die Sicherheit von OT und IoT entscheidend. Viele Unternehmen sind sich der Anzahl und Vielfalt der mit ihren Netzwerken verbundenen Geräte, der Art dieser Verbindungen und der entsprechenden Sicherheitsvorkehrungen nicht bewusst. Die Maxime, dass man nicht schützen kann, was man nicht sehen kann, gilt auch für IoT-Geräte.
  2. Schlechtes Patch-Management
    Selbst wenn Unternehmen die IoT-Geräte in ihrer Umgebung erfassen, werden sie sie oft nicht angemessen verwaltet. Beispielsweise werden IoT- und OT-Geräte nicht immer in die Patching- und Wartungsplanung einbezogen, was zu einer mangelhaften Sicherheitshygiene führt. Eine im Januar 2022 vom HIPAA Journal veröffentlichte Studie ergab, dass die Hälfte der medizinischen IoT-Geräte mit bekannten, aber nicht gepatchten Schwachstellen behaftet ist.
  3. Unsichere Software und Firmware
    In einigen Fällen können Software- und Firmware-Schwachstellen in IoT- und OT-Geräten den Geräten selbst innewohnen, trotz der grössten Bemühungen der Systemadministratoren. Im Bereich IoT kann es an integrierten Sicherheitsfunktionen und Zugriffskontrollen in den Geräten selbst mangeln, was die Möglichkeiten der Sicherheitsteams einschränkt. Wenn IoT-Geräte ohne grundlegende Sicherheitsfunktionen nicht in einem ordnungsgemäss segmentierten Netzwerk platziert sind, können sie besonders anfällig für Angriffe sein – erst recht in Kombination mit der oben beschriebenen mangelnden Transparenz. In OT-Umgebungen, in denen die Betriebszeit entscheidend ist, scheuen sich Unternehmen oft vor dem Wechsel von Systemen, die in der Vergangenheit funktioniert haben. Dies hat dazu geführt, dass Controller-Systeme auf veralteter Hardware und Software laufen, was wiederum zu erheblichen Schwachstellen führt, die für Sicherheitsteams nur schwer zu bewältigen sind. Bedenken Sie, dass medizinische IoT-Geräte (oder MIoT-Geräte) nach bestimmten Standards zertifiziert sind und während ihrer Lebensdauer, die 10 Jahre oder mehr betragen kann, oft in keiner Weise modifiziert werden können.
  4. Fehlerhafte Verwaltung von Konten und Passwörtern
    Versäumnisse bei der Geräteverwaltung und den Grundlagen einer effektiven Sicherheitshygiene beschränken sich nicht nur auf fehlende Patches und Updates. Auch die Kontoverwaltung ist ein Problem. Vor kurzem sind Cyberkriminelle in Tausende von Sicherheitskameras eingedrungen, die in verschiedenen Unternehmen, Gefängnissen, Krankenhäusern und anderen Organisationen installiert waren. Dies gelang, nachdem sie die Zugangsdaten für das Administratorkonto des Drittanbieters, der die Kameras bereitgestellt hatte, im Internet gefunden hatten. Von dort aus konnten sich die Angreifer in einigen Fällen lateral bewegen und sich Zugang zu anderen Bereichen der Betriebsnetzwerke in den jeweiligen Organisationen verschaffen.
  5. Schwache und uneinheitliche Überwachung
    In der Vergangenheit waren IoT- und OT-Geräte mit SIEM-Tools nur schwer zu überwachen. Ausserdem haben Cybersecurity-Tools in der Regel keine Erkennungsfunktionen für Angriffe auf IoT- und OT-Geräte. Dies führt in der Regel dazu, dass diese Geräte von einem sekundären System überwacht, manuell überprüft oder überhaupt nicht überwacht werden.

Betriebliche Zwänge mit Auswirkungen auf IoT und OT

Da IoT-Geräte oft direkt mit dem Internet verbunden sind (manchmal auch über Cloud-Services von Drittanbietern) sind sie von Natur aus für Cyberattacken anfällig. Ausserdem kann die Abhängigkeit von cloudbasierten Services für die Datenspeicherung und -verarbeitung zu Serviceausfällen und Datenverlusten führen.

Bei OT-Systemen sind die betrieblichen Anforderungen sehr unterschiedlich. Auf der höchsten Ebene ist die Notwendigkeit einer extrem hohen Zuverlässigkeit und Verfügbarkeit entscheidend. Viele OT-Steuerungssysteme laufen auf veralteten Betriebssystemen und veralteter Hardware, weil sie schlichtweg funktionieren. Wenn es um die Installation eines neuen Updates geht, sind die Betreiber in Erwartung von Problemen im Betrieb oft sehr zurückhaltend. Dies müssen Anbieter von OT-Sicherheitslösungen in Betracht ziehen. Der Einsatz passiver Monitoringmassnahmen ist entscheidend, um den Betrieb von OT-Systemen nicht zu unterbrechen oder zu stören.

Darüber hinaus benötigen OT-Systeme und -Geräte ein hohes Mass an Interoperabilität, um das Monitoring und Steuerung dieser Systeme in Echtzeit zu ermöglichen und gleichzeitig die für das Unternehmen erforderliche Flexibilität und Skalierbarkeit zu gewährleisten.

Eine der wichtigsten Überlegungen hinsichtlich der Unterschiede zwischen IoT und OT ist, dass Unternehmen seltener über umfangreiche Entwicklungs-/Testumgebungen für OT verfügen. Dies ist ein weiterer Grund, warum Unternehmen so zögerlich sind, die Produktionsumgebung in irgendeiner Weise zu verändern.

Doch wie geht es vor diesem Hintergrund für Unternehmen weiter? In meinem nächsten Beitrag werde ich erörtern, wo Sie in Sachen Sicherheit für IoT und OT ansetzen sollten. Und wenn Sie den ersten Blog dieser Serie verpasst haben, lesen Sie „Warum Sie sich mit IoT und OT beschäftigen sollten“.