Dr. Markus Stadler, CTO bei der CyOne Security, präsentierte am 11. September 2019 anlässlich des 8. Confare Swiss CIO & IT-Manager Summit in Zürich die Schlüsselfaktoren für IoT Security im Product Life Cycle. Sie haben den Event verpasst? Kein Problem. Lesen Sie jetzt das Interview und laden Sie sich das Referat kostenlos herunter.
Für Anwender aus der Industrie bietet die Vernetzung grundsätzlich grosse Vorteile: Doch die Verwendung von IT-Komponenten im OT-Umfeld bedeutet auch die Übernahme der entsprechenden Cyber-Risiken. Durch die Vernetzung sind einerseits die Elemente der OT verwundbar, wenn sich Unbefugte über eine ungenügend geschützte IT-Umgebung Zugang dazu verschaffen. Andererseits kann eine ungenügend geschützte OT-Umgebung die Cyber-Angriffstüren auf eine per se sichere IT-Landschaft öffnen. Durch die Vernetzung sind die beiden Umgebungen somit eine Einheit mit gemeinsamen Cyber-Risiken.
Wir stellen fest, dass die meisten Unternehmen sich auf Funktionen fokussieren und Sicherheitsbetrachtungen noch wenig berücksichtigt werden. Auch fehlen heute in vielen Branchen die nötigen Standards. In der Vergangenheit standen im OT-Umfeld eher die Zuverlässigkeit sowie die lückenlose Nachvollziehbarkeit der Funktionalitäten und der Benutzerinteraktionen im Vordergrund. Heute sehen sich Hersteller und Betreiber im Rahmen der Digitalisierung mit der Integration der Geräte in ihre existierenden Unternehmensnetzwerke konfrontiert. So sollen die vernetzten Geräte grössere Datenmengen über ihre Netzwerke transferieren und neu in einem Rechenzentrum verarbeiten können. Hersteller müssen diese zusätzlichen Anforderungen mit weiteren Funktionalitäten und höheren Datenverarbeitungskapazitäten kostengünstig und effizient lösen können. Hersteller und Betreiber werden in diesem Kontext mit neuartigen Sicherheitsanforderungen konfrontiert.
Die CyOne Security kennt die notwendigen Schlüsselfaktoren für ein Sicherheitsdesign von vernetzten Geräten sowie die daraus resultierenden Vorteile und den Mehrwert für Hersteller und Betreiber.
Ein Problem liegt darin, dass in vielen Unternehmen in der Vergangenheit unterschiedliche Abteilungen für IT beziehungsweise OT zuständig gewesen sind, was zu unterschiedlichen Kulturen, Prioritäten und Wissensständen geführt hat. So treffen wir in vielen Unternehmen auf der einen Seite IT-Spezialisten an, welche zwar mit Fragen der Cyber Security vertraut sind, aber die OT-Landschaften und die damit verbundenen Betriebsprobleme ungenügend verstehen.
Auf der anderen Seite sind die OT-Verantwortlichen, welchen aber ein vertieftes Bewusstsein für IT-Betriebs- und Sicherheitsfragen sowie das Verständnis für Cyber-Risiken fehlt. Mit Blick auf die Vergangenheit ist dieser Umstand verständlich, waren doch im OT-Umfeld stabile Prozesse und die damit verbundenen Ausfallsicherheiten prioritär. Aufgrund der isolierten Stellung benötigte die OT zudem nicht das gleiche Mass an Überwachung, Schutz und Aufsicht. Auch wurde die Datensicherheit in Bezug auf Unveränderbarkeit und Nachvollziehbarkeit vernachlässigt. Mit dem Sicherheitsblick auf die vernetzte Zukunft ist dieser Zwei-Welten-Zustand kaum mehr haltbar.
Nun ist es an den Chief Information Security Officers (CISO), die zwingend beide Welten kennen, ihre Hausaufgaben zu erledigen. Das heisst zum einen, ein gemeinsames, für IT und OT gleichermassen geltendes Verständnis für Cyber-Sicherheit zu schaffen, und zum anderen, Risiken für das gesamte System zu minimieren und Angriffe zu verhindern – oder schnell zu erkennen, sollten sie trotzdem passieren.
Grundsätzlich empfiehlt es sich, der Cyber-Sicherheit bereits bei der Auswahl eines neuen Geräts oder Steuersystems Beachtung zu schenken. Hersteller, die auf «Security by Design» setzen, sind zu bevorzugen. Dies bedeutet zwar grössere Initialkosten bei der Anschaffung. Unsere Erfahrung zeigt aber, dass Geräte mit «Security by Design» über den ganzen Lebenszyklus betrachtet tiefere Unterhaltskosten aufweisen, aufgrund der einfacheren Update-Fähigkeit resultierend aus den sich dauernd ändernden Cyber-Bedrohungsformen.
Weiter braucht es technische und organisatorische Massnahmen, um die Sicherheitsziele Vertraulichkeit, Datenintegrität, Authentizität und Verfügbarkeit zu gewährleisten. Hinzu kommen Werkzeuge, die dazu dienen, Angriffe zu erkennen und schnell darauf zu reagieren. Soll-Bruchstellen stellen definierte Übergänge zwischen IT und OT dar, welche während eines Vorfalls getrennt werden können, wobei trotzdem ein definierter Notbetrieb aufrechterhalten werden kann.
Und schliesslich braucht es Mittel, um die Folgen eines erfolgreichen Cyber-Angriffs zu minimieren und sicherzustellen, dass der Produktionsbetrieb schnell wieder aufgenommen werden kann. Diese Massnahmen und Prozesse müssen kontinuierlich überprüft und gegebenenfalls optimiert werden.
Durch die Übergänge der IT zu den OT-Komponenten, werden diese den aktuellen Cyber-Gefahren ausgesetzt. Dabei kann die IT auf mehrere Jahre Erfahrung mit dem Umgang in Bezug auf Cyber-Gefahren zurückgreifen. Wurden anfangs die Netze mittels Firewall geschützt, ist es heute ein ganzes Framework, wie beispielsweise NIST oder ISO 27k, das die Massnahmen beschreibt.
Grundsätzlich können diese Standards auch auf die OT angewendet werden. So sollen Assets (System und Information) identifiziert werden. Folglich wird sichtbar, unter welchen Systemen die OT läuft, und welche Schwachstellen (Vulnerability) offen sind. Diese regelmässig zu patchen und zu aktualisieren, stellt in der OT-Welt eine besondere Herausforderung dar. Zusätzlich sollten Zugänge und Rechte über ein Access Management auf ein Minimum (Least Privileges) reduziert werden. Was bei den IT-Systemen ein Endpoint-, Detect- und Response-System ist, kann auf einem OT-Gerät über eine Anomaly Detection / Fehlverhalten abgebildet werden. Dies lässt sich auf OT-Geräten mit definiertem Verhalten oft viel effektiver und einfacher feststellen als auf einem IT-Client, an welchem Menschen arbeiteten.
2. DatensicherheitDie Sicherung von Daten stellt nach wie vor ein effektives Mittel dar, mit welchem OT-Geräte geschützt werden. So ist ein signierter Update-Prozess ein wirksames Mittel, damit nur vom Hersteller zertifizierte Software auf einem OT-Gerät ausgeführt wird. Die generierten Daten auf dem OT-Gerät sind allenfalls sensitiv, oder zumindest soll sichergestellt werden, dass die Daten auf dem Transport nicht verändert werden. Nur so kann garantiert werden, dass Prozesse gültige Werte an Leitsysteme melden oder dass Messwerte und Qualitätsnachweise nicht elektronisch manipuliert wurden.
Dr. Markus Stadler zeigte in seinem Referat eindrücklich auf, welche Sicherheitsherausforderungen aus der zunehmenden Vernetzung der IT- und OT-Welt für Hersteller und Betreiber entstehen und welche Risiken der Einsatz von IoT mit sich bringt. Laden Sie sich jetzt kostenlos das Referat als PDF herunter und lernen Sie die «Schlüsselelemente für nachhaltige IoT Security im Product Life Cycle» kennen.
