Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Risikomanagement in der OT-Sicherheit

Risiken bewerten, kosteneffizient schützen

Zwei Komponenten tragen maßgeblich zum Schutz der industriellen IT bei: Zuerst die Visualisierung und Überwachung der OT-Netzwerke, etwa mit einem Network Intrusion Detection System (IDS). Noch weiter können Firmen mit dem Betrieb einer Plattform gehen, die auf Basis aktueller Standards laufend Risiken in den Netzen bewertet.

Bild: ©industrieblick/stock.adobe.com

Bild: ©industrieblick/stock.adobe.com

Bei der digitalen Transformation werden stetig mehr physische Geräte auf allen Ebenen der Produktion vernetzt. Diese Vernetzung bringt jedoch auch hochkritische Produktionsumgebungen hervor, die Angriffsflächen für Cyberattacken bieten. In der Produktion von Gefahrstoffen etwa können OT-Cyberangriffe nicht nur finanzielle Folgen haben: Es drohen Umweltschäden und die Gefährdung von Menschenleben. Ein weltweit tätiger Produzent von Spezialchemikalien sah sich einem besonders großen Sicherheitsrisiko ausgesetzt: Die Produktionslinien sind unternehmensweit miteinander vernetzt und dutzende Anlagen laufen mit unterschiedlichen Systemtypen und Topologien. Das bestehende Cyber-Sicherheitssystem deckte zwar die IT-Netzwerke gut ab. Als dieses jedoch auf die OT-Netzwerke angewendet wurde, zeigten sich gefährliche Funktionslücken. Beispielsweise konnte das System die spezifischen Netzwerkprotokolle nicht verarbeiten. Auch war es nicht möglich, alle Anlagen an jedem Standort zu erfassen. Daraufhin identifizierte das Unternehmen Anforderungen, um Angriffe auf seine verteilten OT-Netzwerke frühzeitig erkennen zu können: Das Cyber-Security-System sollte sämtliche OT-Assets kontinuierlich überwachen, Bedrohungen genauso wie Anomalien erkennen, aktiv vor ihnen warnen, Logikänderungen an allen industriellen Steuerungen verfolgen und schließlich Alarme an das Security Information and Event Management System, SIEM, melden.

Alles sichtbar machen

Die Entscheidung fiel auf Radiflow, ein Security-Anbieter, der auf kritische industrielle Geschäftsabläufe spezialisiert ist. Dessen ‚Industrial Threat Detection System‘ (iSID) kann, an einem zentralen Standort eingesetzt, Bedrohungen an beliebig vielen entfernten Standorten erkennen – oder alternativ lokal an jedem einzelnen Standort. Auch eine Kombination aus beiden Ansätzen ist möglich. Im Anwendungsszenario wurde lokal in jeder Produktionsanlage eine iSID-Einheit installiert. Da jede Anlage mehrere Subnetze umfasst, erhielt jedes Subnetz zusätzlich einen ‚iSAP Smart Collector‘. Dieses Gerät ermöglicht es, einen gespiegelten Strom des gesamten TCP/IP-Datenverkehrs an das lokale iSID zu senden. An jedem Standort installiert, empfangen die Smart Collectors den gesamten LAN-Verkehr vom lokalen Switch und filtern die Daten. Diese werden komprimiert und über VPN-Tunnel an das zentrale iSID gesendet. iSID kann die gesammelten Daten nutzen, um ein Modell der Netzwerktopologie zu visualisieren. Die Visualisierung des Netzwerkes enthält alle Anlagen, Ports und Protokolle mit ihren vollständigen Eigenschaften und ordnet diese jeweils den entsprechenden Geschäftsprozessen zu.

Den Angreifern voraus

Um auch für zukünftige Bedrohungslagen gewachsen zu sein, sollten Unternehmen die Sicherheitsarchitektur so optimieren, dass sie den Angreifern die sprichwörtliche Nasenlänge voraus sind. Dies erfordert eine Priorisierung der Sicherheitsmaßnahmen. Im McKinsey-Bericht ‚Risk-based approach to cybersecurity‘ heißt es: „Die fortschrittlichsten Institutionen gehen von einem ‚maturity based‘- zu einem ‚risk based‘-Ansatz für das Management von Cyberrisiken über.“ Bei einem risikobasierten Netzwerkschutz sollten sich die Aktivitäten – basierend auf Bedrohungsdaten – auf zwei Faktoren konzentrieren: Erstens auf die Angreifer und Angriffstechniken, die das Netzwerk tatsächlich bedrohen, und zweitens auf die Geschäftseinheiten, die am kritischsten sind. Die Risikobewertung des Netzwerks ergibt sich aus der Summe der Wahrscheinlichkeit eines Angriffs – bezogen auf einzelne Geschäftseinheiten -, gewichtet mit der Auswirkung, die ein Angriff verursacht, beispielsweise ein finanzieller Verlust. Das Ziel ist eine Risikobewertung, die ständig aktuell ist sowie eine priorisierte Liste von Maßnahmen, die die Kosteneffizienz der OT-Sicherheitssysteme sicherstellen. Angriffe auf automatisierte Netzwerke können simuliert und die effektivsten Abwehrmaßnahmen priorisiert werden. Sicherheitsverantwortliche wie CISOs (Chief Information Security Officer) verfügen damit über ein Instrument für datengesteuerte Entscheidungen.

Mehr als nur Alarmierung

Die aktuelle Bedrohungslage erfordert einen ganzheitlichen Ansatz zur Absicherung industrieller Abläufe, der mehr leistet als die Alarmierung bei Cyper-Angriffen. CISOs müssen die Netzwerksicherheit tiefer in die langfristige Planung und den täglichen Betrieb integrieren und ihre Risikoposition und ihre einzigartige Bedrohungslandschaft auf Basis verlässlicher Daten überwachen und bewerten. Auf OT-Netzwerke spezialisierte Plattformlösungen kombinieren den Bedrohungsgrad für jedes einzelne Gerät und jede Geschäftseinheit sowie die Auswirkungen eines Angriffs auf jede Geschäftseinheit. Algorithmen simulieren zehntausende Angriffsszenarien und können so das Netzwerkrisiko berechnen. Die Radiflow-Plattform CIARA (Cyber Industrial Automated Risk Anlysis) erstellt auf dieser Grundlage eine Roadmap, auf der sich das angestrebte Sicherheitsniveaus gegen die anfallenden Kosten rechnen lässt. Eine automatische Optimierung ermöglicht die Einhaltung der Sicherheitsanforderungen jeder Geschäftseinheit bei gleichzeitiger Berücksichtigung des tolerierbaren Risikoniveaus des jeweiligen Unternehmens.


Das könnte Sie auch interessieren:

Im Anschluss eines IT-Projektes setzen viele Unternehmen auf eine Rückschau, um daraus Erkenntnisse für kommende Projekte zu gewinnen. Für das Projekt selbst kommt dieses Wissen zu spät. Beim agilen Projektmanagement ist das anders. Aber passen Sprints und 'Lessons-Learned' zur Projektarbeit mit hohen Compliance-Ansprüchen?‣ weiterlesen

Um Maschinendaten etwa für Predictive Maintenance zu erfassen und zu verarbeiten, gibt es sehr individuelle Lösungen. Vom Mini-PC bis zum Edge Device samt Middleware lassen sich Konzepte für datengetriebene Aufgaben realisieren. Am Beispiel des SAP-Portfolios zeichnet der Beitrag die Szenarien nach.‣ weiterlesen

Um digitale Zwillinge produktiv einzusetzen, muss das Zusammenspiel der Informationen aus Engineering, Shopfloor und Topfloor rund laufen. Mit dem SAP-Portfolio lässt sich dieser Digital Thread spannen, wie neue Geschäftsmodelle des Prozesstechnikherstellers Endress+Hauser belegen.‣ weiterlesen

Auch 2022 werden sich die IT-Systeme von Unternehmen weiterentwickeln. Oliver Rozić, Vice President Product Engineering bei Sage, weiß wie und welche Trends dabei eine Rolle spielen könnten.‣ weiterlesen

Die Bamberger Docufy hat im März 2021 die Instandhaltungssoftware Maintenance Manager auf den Markt gebracht. Das System soll Anlagenbetreibern helfen, ihre Regelwartung mit Maschinendaten so zu verknüpfen, dass eine vorausschauende und zeitoptimierte Wartung möglich wird. Zudem kommen Firmen mit dem Computerized Maintenance Management System einen großen Schritt weiter in Richtung Predictive Maintenance.‣ weiterlesen

Im internationalen Vergleich belegt Deutschland bei der Digitalisierung keine Spitzenposition, sondern tendiert eher zum Mittelfeld. So zumindest legt es eine Studie des Ifo Instituts nahe. Demnach sei nicht nur die Politik, sondern auch die Unternehmen selbst gefragt.‣ weiterlesen

Gerade betagte Bestandsmaschinen lassen sich oft nur schwierig an IT-Systeme anbinden. Für eine tiefe Integration müsste häufig sogar deren Automatisierungstechnik getauscht werden, was dann aus Kostengründen unterbleibt. Doch Edge-Boxen können selbst älteren Maschinen eine Menge Daten für Optimierungsprojekte und die Mitarbeitervernetzung entlocken.‣ weiterlesen

Kontron Electronics hat mit Wirkung zum 1. Dezember den Geschäftsbetrieb des EMS-Dienstleisters Ultraschalltechnik Halle (UST) übernommen. Ziel der Übernahme ist es laut Pressemitteilung, die eigene Kompetenz im Bereich Entwicklung und Produktion auszubauen.‣ weiterlesen

Bauteilschwingungen, die bei vielen Fertigungsverfahren entstehen, führen oftmals dazu, dass die Oberfläche des Werkstücks beschädigt wird. Darüber hinaus sind sie ein Grund für erhöhten Werkzeugverschleiß. Das Fraunhofer-Institut für Produktionstechnologie IPT hat gemeinsam mit Industriepartnern einen digitalen Zwilling entwickelt, mit dem Bauteilschwingungen bei der Fräsbearbeitung vorhergesagt werden können.‣ weiterlesen

Jacqueline Fechner ist neue General-Managerin für die DACH-Region bei DXC Technology und soll künftig die Geschicke des IT-Dienstleisters in Deutschland, Österreich und der Schweiz verantworten.‣ weiterlesen

Ein Erfolgsfaktor für das Konzept des digitalen Zwillings ist, dass es sich entlang des gesamten Lebenszyklus eines Produkts anwenden lässt. Bevor mittelständische Unternehmen seinen individuellen Nutzen erschließen können, müssen sie einige praktische Herausforderungen lösen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige