Es gibt gefühlt eine Million Artikel zur Vorbereitung auf NIS2. Einige enthalten sinnvolle Tipps, die meisten listen einfach die Anforderungen auf und lassen die Lesenden in der Schwebe – insbesondere bei der Operational Technology. Dabei gibt es klare Lösungsansätze für die Cybersicherheit in industriellen Umgebungen.
Dennoch haben weiterhin viele Verantwortliche in den rund 30.000 betroffenen Unternehmen Schwierigkeiten, die vollen Auswirkungen von NIS2 zu erfassen. Insbesondere die Ausdehnung einer durchgehenden Cybersicherheit auf die industriellen Netzwerke (kurz OT für Operational Technology) bereitet ihnen Kopfzerbrechen. Für viele Unternehmen ist OT-Cybersicherheit Neuland mit vielen blinden Flecken und unbekannten Herausforderungen. Übrigens: Auch wenn das NIS2UmsuCG derzeit verschoben ist – so lange es kein nationales Gesetz zur NIS2 in Deutschland gibt, gilt vollumfänglich die europäische Direktive.
Andere Prämissen und Herausforderungen
Die OT ist im Kern unsicher. Das lag (und liegt noch immer) am Fokus der Komponentenhersteller und der Betreibenden auf Verfügbarkeit, Prozessstabilität und Einfachheit. Cybersicherheit hat erst in den letzten Jahren aufgrund zunehmender OT-Störungen durch Cyberangriffe an Relevanz gewonnen (Abb. 1).
Das führte dazu, dass die meisten OT-Komponenten (sprich: Sensoren, SPS, Industrie-PCs und Software, Aktuatoren, Protokolle) „insecure by design“ entwickelt wurden. Ihnen fehlen grundlegende Sicherheitsmechanismen. In Umgebungen, wo Echtzeitkommunikation gefragt ist und Arbeitsschutz eine hohe Relevanz besitzt, sind gängige Sicherheitskonzepte wie Verschlüsselung sogar kontraproduktiv. Rechnet man die langen Lebenszyklen in industriellen Anlagen dazu, wird eine Modernisierung der Infrastrukturen auf Sicherheitsstandards Jahre in Anspruch nehmen.
Auch die Schwachstellenbewertungen, die wir initial bei der Implementierung eines OT-Angriffserkennungssystems in Kundennetzen durchführen, bestätigen dies. 2023 identifizierten wir im Durchschnitt 26 versteckte Schwachstellen in OT-Netzen, welche die Sicherheit und/oder Verfügbarkeit der Anlagen bedrohten (Abb. 2). Von den Schwachstellen erfuhren die Betreibenden meist erst durch diese Analysen. Denn neben fehlender Sicherheit fehlt in der OT vor allen Dingen eins: Sichtbarkeit.
Reichen Firewalls und SIEM in der Operational Technology?
Auch bei der OT-Sicherheit bleiben Firewalls, Segmentierung und Security-Information-&-Event-Management-Systeme (SIEM) wichtige Elemente der Angriffsabwehr, haben jedoch ihre klaren Grenzen.
Klassische Firewalls erkennen weder die vielen Zero-Day-Schwachstellen noch bösartige Netzwerkzugriffe, die authentische Zugangsdaten (Stolen Credentials) ausnutzen. Zwischen 2018 und 2022 stieg der Anteil malware-freier Angriffe von 39% auf 71%. Diese beruhen zu einem Großteil auf gestohlenen Zugangsdaten. Auch nehmen Angriffstechniken zu, welche die örtlichen Gegebenheiten (sprich: Protokolle, Systeme) ausnutzen. Dieser sogenannte „Living Off The Lan“-Ansatz (LOTL) wird von klassischen signaturbasierten Angriffserkennungssystemen in der Regel nicht detektiert. Und sind Angreifende erst einmal im Netzwerk, hilft keine Firewall mehr. Die fehlenden Sicherheitsmechanismen auf OT-Komponenten erlauben den Angreifenden nicht nur, unentdeckt zu bleiben. Sie vereinfachen auch die laterale und vertikale Bewegung zum Zielsystem.
Ein SIEM wiederum benötigt Unmengen von Daten, um Angriffsmuster zu erkennen. Meist fehlen sowohl die Fähigkeit, industriespezifische Protokolle zu erfassen, als auch Quellen, die dem SIEM die entsprechenden Logs und Informationen liefern. Ohne ein dediziertes OT-Monitoring, das diese Daten aus der OT-Kommunikation bereitstellt, bleibt selbst das beste SIEM auf dem OT-Auge blind.
Ziele einer sinnvollen OT-Sicherheitsstrategie müssen deshalb sein:
- Sichtbarkeit auf die Assets und Sicherheitsvorfälle in den Netzwerken zu schaffen,
- die bestehenden Restrisiken und Schwachstellen zu kennen und unter Kontrolle zu bringen (sprich: zu überwachen).
Die innere Sicherheit gewährleisten
Beide Ziele werden mit einem Defense-in-Depth-Ansatz erreicht. Dieser zielt auf eine mehrstufige Cybersicherheit, die den Fall einer erfolgreichen Netzwerkpenetration einschließt. Bekannte Sicherheitswerkzeuge wie Firewalls, Authentifizierungsmaßnahmen, Sicherheitsrichtlinien, Schulungen und Segmentierung bilden die erste Verteidigungslinie – die Grenzkontrolle an der Stadtmauer des Netzwerks.
Einbrüche sind jedoch in jeder Festung möglich, sei es durch geschickte Verschleierung (z.B. Identitätsdiebstahl über Phishingkampagnen), gewaltsames Eindringen (Brute Force), Bestechung (Innentäter), geheime Passagen (Hintertüren und Softwareschwachstellen) oder die (meist unbewusste) Hilfe Dritter (Kompromittierung der Lieferkette). Aus diesem Grund gibt es in jedem Staat eine Polizei und einen Geheimdienst für die innere Sicherheit. In der Operational Technology wird diese zweite Verteidigungslinie durch ein OT-Monitoring mit Anomalieerkennung aufgebaut. In der Praxis spricht man auch von einem netzwerkbasierten System zur Angriffserkennung oder NIDS für Network Intrusion Detection System.
Netzwerkbasierte OT-Angriffserkennung für NIS2-Compliance
Ein NIDS, wie der bei den erwähnten Schwachstellenbewertungen eingesetzte Rhebo Industrial Protector, unterstützt Betreibende kritischer Anlagen und industrieller Netze, liest kontinuierlich und passiv die gesamte Kommunikation in der OT mit und untersucht diese mittels verschiedener Algorithmen, die u.a. Heuristik, Statistik und Machine Learning anwenden, auf verdächtige Kommunikation, die untypisch für das jeweilige Netzwerk ist. Dadurch werden auch bösartige Aktivitäten erkannt, die sich aus der Ausnutzung von Zero-Day-Schwachstellen ergeben oder über autorisierte Kanäle erfolgen und von Firewalls übersehen werden. Betreibende haben so stets Sichtbarkeit in ihrer OT und werden frühzeitig über erfolgreiche externe Angriffe, Aktivitäten von Innentätern, aber auch technische Fehlerzustände informiert, bevor diese zu ernsthaften Störungen führen.
Nicht zuletzt unterstützt ein NIDS in der Operational Technology bei der Compliance mit NIS2 und den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) unter anderem:
- beim Betrieb eines Systems zur Angriffserkennung in industriellen Infrastrukturen,
- beim Aufbau eines Assetmanagements mit Informationen zu den Systemen, Verbindungen, Protokollen und Eigenschaften,
- bei der frühzeitigen Erkennung von Angriffen und böswilligen oder fehlerhaften Aktivitäten im Netz, die sich auf kritische Dienste auswirken können,
- bei einer schnellen Reaktion auf Cybervorfälle,
- beim Logging sicherheitsrelevanter Vorfälle zur forensischen Analyse und Berichterstattung an die zuständigen Behörden und
- bei der Lieferkettensicherheit durch kontinuierliche Überwachung auch unsicherer Komponenten und Fernzugänge.
