Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Risikomanagement in der OT-Sicherheit

Risiken bewerten, kosteneffizient schützen

Zwei Komponenten tragen maßgeblich zum Schutz der industriellen IT bei: Zuerst die Visualisierung und Überwachung der OT-Netzwerke, etwa mit einem Network Intrusion Detection System (IDS). Noch weiter können Firmen mit dem Betrieb einer Plattform gehen, die auf Basis aktueller Standards laufend Risiken in den Netzen bewertet.

Bild: ©industrieblick/stock.adobe.com

Bild: ©industrieblick/stock.adobe.com

Bei der digitalen Transformation werden stetig mehr physische Geräte auf allen Ebenen der Produktion vernetzt. Diese Vernetzung bringt jedoch auch hochkritische Produktionsumgebungen hervor, die Angriffsflächen für Cyberattacken bieten. In der Produktion von Gefahrstoffen etwa können OT-Cyberangriffe nicht nur finanzielle Folgen haben: Es drohen Umweltschäden und die Gefährdung von Menschenleben. Ein weltweit tätiger Produzent von Spezialchemikalien sah sich einem besonders großen Sicherheitsrisiko ausgesetzt: Die Produktionslinien sind unternehmensweit miteinander vernetzt und dutzende Anlagen laufen mit unterschiedlichen Systemtypen und Topologien. Das bestehende Cyber-Sicherheitssystem deckte zwar die IT-Netzwerke gut ab. Als dieses jedoch auf die OT-Netzwerke angewendet wurde, zeigten sich gefährliche Funktionslücken. Beispielsweise konnte das System die spezifischen Netzwerkprotokolle nicht verarbeiten. Auch war es nicht möglich, alle Anlagen an jedem Standort zu erfassen. Daraufhin identifizierte das Unternehmen Anforderungen, um Angriffe auf seine verteilten OT-Netzwerke frühzeitig erkennen zu können: Das Cyber-Security-System sollte sämtliche OT-Assets kontinuierlich überwachen, Bedrohungen genauso wie Anomalien erkennen, aktiv vor ihnen warnen, Logikänderungen an allen industriellen Steuerungen verfolgen und schließlich Alarme an das Security Information and Event Management System, SIEM, melden.

Alles sichtbar machen

Die Entscheidung fiel auf Radiflow, ein Security-Anbieter, der auf kritische industrielle Geschäftsabläufe spezialisiert ist. Dessen ‚Industrial Threat Detection System‘ (iSID) kann, an einem zentralen Standort eingesetzt, Bedrohungen an beliebig vielen entfernten Standorten erkennen – oder alternativ lokal an jedem einzelnen Standort. Auch eine Kombination aus beiden Ansätzen ist möglich. Im Anwendungsszenario wurde lokal in jeder Produktionsanlage eine iSID-Einheit installiert. Da jede Anlage mehrere Subnetze umfasst, erhielt jedes Subnetz zusätzlich einen ‚iSAP Smart Collector‘. Dieses Gerät ermöglicht es, einen gespiegelten Strom des gesamten TCP/IP-Datenverkehrs an das lokale iSID zu senden. An jedem Standort installiert, empfangen die Smart Collectors den gesamten LAN-Verkehr vom lokalen Switch und filtern die Daten. Diese werden komprimiert und über VPN-Tunnel an das zentrale iSID gesendet. iSID kann die gesammelten Daten nutzen, um ein Modell der Netzwerktopologie zu visualisieren. Die Visualisierung des Netzwerkes enthält alle Anlagen, Ports und Protokolle mit ihren vollständigen Eigenschaften und ordnet diese jeweils den entsprechenden Geschäftsprozessen zu.

Den Angreifern voraus

Um auch für zukünftige Bedrohungslagen gewachsen zu sein, sollten Unternehmen die Sicherheitsarchitektur so optimieren, dass sie den Angreifern die sprichwörtliche Nasenlänge voraus sind. Dies erfordert eine Priorisierung der Sicherheitsmaßnahmen. Im McKinsey-Bericht ‚Risk-based approach to cybersecurity‘ heißt es: „Die fortschrittlichsten Institutionen gehen von einem ‚maturity based‘- zu einem ‚risk based‘-Ansatz für das Management von Cyberrisiken über.“ Bei einem risikobasierten Netzwerkschutz sollten sich die Aktivitäten – basierend auf Bedrohungsdaten – auf zwei Faktoren konzentrieren: Erstens auf die Angreifer und Angriffstechniken, die das Netzwerk tatsächlich bedrohen, und zweitens auf die Geschäftseinheiten, die am kritischsten sind. Die Risikobewertung des Netzwerks ergibt sich aus der Summe der Wahrscheinlichkeit eines Angriffs – bezogen auf einzelne Geschäftseinheiten -, gewichtet mit der Auswirkung, die ein Angriff verursacht, beispielsweise ein finanzieller Verlust. Das Ziel ist eine Risikobewertung, die ständig aktuell ist sowie eine priorisierte Liste von Maßnahmen, die die Kosteneffizienz der OT-Sicherheitssysteme sicherstellen. Angriffe auf automatisierte Netzwerke können simuliert und die effektivsten Abwehrmaßnahmen priorisiert werden. Sicherheitsverantwortliche wie CISOs (Chief Information Security Officer) verfügen damit über ein Instrument für datengesteuerte Entscheidungen.

Mehr als nur Alarmierung

Die aktuelle Bedrohungslage erfordert einen ganzheitlichen Ansatz zur Absicherung industrieller Abläufe, der mehr leistet als die Alarmierung bei Cyper-Angriffen. CISOs müssen die Netzwerksicherheit tiefer in die langfristige Planung und den täglichen Betrieb integrieren und ihre Risikoposition und ihre einzigartige Bedrohungslandschaft auf Basis verlässlicher Daten überwachen und bewerten. Auf OT-Netzwerke spezialisierte Plattformlösungen kombinieren den Bedrohungsgrad für jedes einzelne Gerät und jede Geschäftseinheit sowie die Auswirkungen eines Angriffs auf jede Geschäftseinheit. Algorithmen simulieren zehntausende Angriffsszenarien und können so das Netzwerkrisiko berechnen. Die Radiflow-Plattform CIARA (Cyber Industrial Automated Risk Anlysis) erstellt auf dieser Grundlage eine Roadmap, auf der sich das angestrebte Sicherheitsniveaus gegen die anfallenden Kosten rechnen lässt. Eine automatische Optimierung ermöglicht die Einhaltung der Sicherheitsanforderungen jeder Geschäftseinheit bei gleichzeitiger Berücksichtigung des tolerierbaren Risikoniveaus des jeweiligen Unternehmens.


Das könnte Sie auch interessieren:

Im Werkzeugmanagement eröffnet das Kennzeichnen von Assets mit Data Matrix Codes die Möglichkeit, Werkzeuge zu tracken und mit ihren Lebenslaufdaten zu verheiraten.‣ weiterlesen

Google Cloud gab kürzlich die Einführung der beiden Lösungen Manufacturing Data Engine und Manufacturing Connect bekannt. Mit den Tools lassen sich Assets einer Fertigungsumgebung vernetzen, Daten verarbeiten und standardisieren.‣ weiterlesen

Virtuelle multicloudfähige Plattformen können in Fertigungsbetrieben das Fundament bilden, um IT-Infrastruktur und Betriebsabläufe zu modernisieren und effizient zu betreiben. Denn das nahtlose Zusammenspiel von Cloud-Anwendungen, Softwarebereitstellung sowie Remote Work lassen sich mit digitalen Plattformen vergleichsweise einfach und global orchestrieren.‣ weiterlesen

Wibu-Systems ist Anwendungspartner im Projekt KoMiK. Im Mai wurde das Projekt abgeschlossen und der Karlsruher Lizensierungsspezialist hat zusammen mit den Projektpartnern aus Wirtschaft und Wissenschaft Empfehlungen zur Auswahl eines digitalen Kooperationssystems erarbeitet, inklusive eines Screening-Tools.‣ weiterlesen

MES-Lösungen verfügen über unterschiedliche Erweiterungsmodule, etwa für das Qualitätsmanagement. Der Ausbau der Basisfunktionen sorgt jedoch oft für Aufwand. Eine Alternative versprechen Cloudlösungen.‣ weiterlesen

Bei ihrer digitalen Transformation adaptieren Fertigungsunternehmen Technologien wie künstliche Intelligenz, Machine Learning und digitale Zwillinge. Cloud Computung hilft, dafür erforderliche Kapazitäten skaliert bereitzustellen.‣ weiterlesen

Mit mehreren neuen Partnern erweitert der Softwareanbieter ZetVisions sein Partnerangebot. Unter anderem sollen Pikon und People Consolidated das Beratungsangebot des Heidelberger Unternehmens ergänzen.‣ weiterlesen

Viele Deep-Learning- und Machine-Vision-Anwendungen stellen hohe Ansprüche an die eingesetzten Industrie-Rechner. Für den Einsatz in diesem Umfeld hat Hardware-Spezialist Spectra die PowerBox 4000AC C621A ins Programm genommen.‣ weiterlesen

Mit Hybrid Cloud-Lösungen wollen Firmen die Vorteile des privaten und öffentlichen Cloud-Betriebs erschließen. Managed Cloud Service Provider sind darin geschult, Fallstricke bei der Cloud-Nutzung solcher Infrastrukturen zu bewältigen.‣ weiterlesen

Per Low-Code-Tool können Anwender Prozesskonfigurationen selbst umsetzen. Im MES-Bereich ist dieser Ansatz noch selten zu finden, doch einige Lösungen gibt es bereits.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige