Anzeige
Anzeige
Beitrag drucken

Risikomanagement in der OT-Sicherheit

Risiken bewerten, kosteneffizient schützen

Zwei Komponenten tragen maßgeblich zum Schutz der industriellen IT bei: Zuerst die Visualisierung und Überwachung der OT-Netzwerke, etwa mit einem Network Intrusion Detection System (IDS). Noch weiter können Firmen mit dem Betrieb einer Plattform gehen, die auf Basis aktueller Standards laufend Risiken in den Netzen bewertet.

Bild: ©industrieblick/stock.adobe.com

Bild: ©industrieblick/stock.adobe.com

Bei der digitalen Transformation werden stetig mehr physische Geräte auf allen Ebenen der Produktion vernetzt. Diese Vernetzung bringt jedoch auch hochkritische Produktionsumgebungen hervor, die Angriffsflächen für Cyberattacken bieten. In der Produktion von Gefahrstoffen etwa können OT-Cyberangriffe nicht nur finanzielle Folgen haben: Es drohen Umweltschäden und die Gefährdung von Menschenleben. Ein weltweit tätiger Produzent von Spezialchemikalien sah sich einem besonders großen Sicherheitsrisiko ausgesetzt: Die Produktionslinien sind unternehmensweit miteinander vernetzt und dutzende Anlagen laufen mit unterschiedlichen Systemtypen und Topologien. Das bestehende Cyber-Sicherheitssystem deckte zwar die IT-Netzwerke gut ab. Als dieses jedoch auf die OT-Netzwerke angewendet wurde, zeigten sich gefährliche Funktionslücken. Beispielsweise konnte das System die spezifischen Netzwerkprotokolle nicht verarbeiten. Auch war es nicht möglich, alle Anlagen an jedem Standort zu erfassen. Daraufhin identifizierte das Unternehmen Anforderungen, um Angriffe auf seine verteilten OT-Netzwerke frühzeitig erkennen zu können: Das Cyber-Security-System sollte sämtliche OT-Assets kontinuierlich überwachen, Bedrohungen genauso wie Anomalien erkennen, aktiv vor ihnen warnen, Logikänderungen an allen industriellen Steuerungen verfolgen und schließlich Alarme an das Security Information and Event Management System, SIEM, melden.

Alles sichtbar machen

Die Entscheidung fiel auf Radiflow, ein Security-Anbieter, der auf kritische industrielle Geschäftsabläufe spezialisiert ist. Dessen ‚Industrial Threat Detection System‘ (iSID) kann, an einem zentralen Standort eingesetzt, Bedrohungen an beliebig vielen entfernten Standorten erkennen – oder alternativ lokal an jedem einzelnen Standort. Auch eine Kombination aus beiden Ansätzen ist möglich. Im Anwendungsszenario wurde lokal in jeder Produktionsanlage eine iSID-Einheit installiert. Da jede Anlage mehrere Subnetze umfasst, erhielt jedes Subnetz zusätzlich einen ‚iSAP Smart Collector‘. Dieses Gerät ermöglicht es, einen gespiegelten Strom des gesamten TCP/IP-Datenverkehrs an das lokale iSID zu senden. An jedem Standort installiert, empfangen die Smart Collectors den gesamten LAN-Verkehr vom lokalen Switch und filtern die Daten. Diese werden komprimiert und über VPN-Tunnel an das zentrale iSID gesendet. iSID kann die gesammelten Daten nutzen, um ein Modell der Netzwerktopologie zu visualisieren. Die Visualisierung des Netzwerkes enthält alle Anlagen, Ports und Protokolle mit ihren vollständigen Eigenschaften und ordnet diese jeweils den entsprechenden Geschäftsprozessen zu.

ANZEIGE

Kunststoff in Form bringen

Bild: KEB Automation KG

Bild: KEB Automation KG

Sie begegnen uns in vielen Bereichen: Kunststoffprodukte. Hinter ihnen stehen Maschinen, die zuverlässig sein müssen. Ob es sich um Extrusions- oder Spritzgießtechnik handelt – KEB Automation bietet die passende Automatisierungs- und Antriebstechnik.

Den Angreifern voraus

Um auch für zukünftige Bedrohungslagen gewachsen zu sein, sollten Unternehmen die Sicherheitsarchitektur so optimieren, dass sie den Angreifern die sprichwörtliche Nasenlänge voraus sind. Dies erfordert eine Priorisierung der Sicherheitsmaßnahmen. Im McKinsey-Bericht ‚Risk-based approach to cybersecurity‘ heißt es: „Die fortschrittlichsten Institutionen gehen von einem ‚maturity based‘- zu einem ‚risk based‘-Ansatz für das Management von Cyberrisiken über.“ Bei einem risikobasierten Netzwerkschutz sollten sich die Aktivitäten – basierend auf Bedrohungsdaten – auf zwei Faktoren konzentrieren: Erstens auf die Angreifer und Angriffstechniken, die das Netzwerk tatsächlich bedrohen, und zweitens auf die Geschäftseinheiten, die am kritischsten sind. Die Risikobewertung des Netzwerks ergibt sich aus der Summe der Wahrscheinlichkeit eines Angriffs – bezogen auf einzelne Geschäftseinheiten -, gewichtet mit der Auswirkung, die ein Angriff verursacht, beispielsweise ein finanzieller Verlust. Das Ziel ist eine Risikobewertung, die ständig aktuell ist sowie eine priorisierte Liste von Maßnahmen, die die Kosteneffizienz der OT-Sicherheitssysteme sicherstellen. Angriffe auf automatisierte Netzwerke können simuliert und die effektivsten Abwehrmaßnahmen priorisiert werden. Sicherheitsverantwortliche wie CISOs (Chief Information Security Officer) verfügen damit über ein Instrument für datengesteuerte Entscheidungen.

ANZEIGE

Mehr als nur Alarmierung

Die aktuelle Bedrohungslage erfordert einen ganzheitlichen Ansatz zur Absicherung industrieller Abläufe, der mehr leistet als die Alarmierung bei Cyper-Angriffen. CISOs müssen die Netzwerksicherheit tiefer in die langfristige Planung und den täglichen Betrieb integrieren und ihre Risikoposition und ihre einzigartige Bedrohungslandschaft auf Basis verlässlicher Daten überwachen und bewerten. Auf OT-Netzwerke spezialisierte Plattformlösungen kombinieren den Bedrohungsgrad für jedes einzelne Gerät und jede Geschäftseinheit sowie die Auswirkungen eines Angriffs auf jede Geschäftseinheit. Algorithmen simulieren zehntausende Angriffsszenarien und können so das Netzwerkrisiko berechnen. Die Radiflow-Plattform CIARA (Cyber Industrial Automated Risk Anlysis) erstellt auf dieser Grundlage eine Roadmap, auf der sich das angestrebte Sicherheitsniveaus gegen die anfallenden Kosten rechnen lässt. Eine automatische Optimierung ermöglicht die Einhaltung der Sicherheitsanforderungen jeder Geschäftseinheit bei gleichzeitiger Berücksichtigung des tolerierbaren Risikoniveaus des jeweiligen Unternehmens.


Das könnte Sie auch interessieren:

Die Eclipse Foundation präsentiert in ihrem ’IoT & Edge Developer Survey 2022‘ Entwicklertrends mit Schwerpunkt auf Edge Computing, KI und Sicherheit. Die Ergebnisse sollen Aufschluss über die Nutzung von Plattformen, Bedenken von Entwicklern, Zielmärkte und mehr geben.‣ weiterlesen

Der digitale Zwilling zählt für viele zu einem Kernelement der industriellen Digitalisierung, obwohl solche Integrationen oft noch sehr komplex sind. Für eine schrittweise Einführung gilt es, die unterschiedlichen Ausprägungsformen des digitalen Zwillings zu verstehen.‣ weiterlesen

Mit Andreas Montag und Nikas Schröder hat der ERP-Spezialist AMS.Solution zwei neue Vorstandsmitglieder. Zudem wird Simone Schiffgens neue Vorstandsvorsitzende und folgt auf Manfred Deues, der in den Aufsichtsrat wechselt.‣ weiterlesen

Björn Goerke verstärkt die Führungsetage beim ERP-Anbieter ProAlpha. Als Chief Technology Officer soll er die weitere Transformation des Unternehmens in die Cloud-Ära gestalten.‣ weiterlesen

Mehr Netzwerkausfälle und längere Wiederherstellungszeit: Davon berichten CIOs und Netzwerktechniker in einer Befragung des Netzwerkspezialisten Opengear. Demnach liegt die durchschnittliche Downtime um 2 Stunden höher als 2020.‣ weiterlesen

Wie können oft verwässerte ESG-Berichte der Vergangenheit angehören? Während sich auf politischer Ebene in puncto nachhaltiges Wirtschaften einiges bewegt, kann insbesondere die technologische Seite einen Beitrag zu einer transparenteren Produktion leisten. Den Grundgedanken der Industrie 4.0 zu implementieren, ist dabei ein wichtiger Schritt.‣ weiterlesen

Mit 100,4 Punkten liegt das IAB-Arbeitsmarktbarometer auf dem tiefsten Stand seit 2020 und somit noch knapp über der neutralen Marke. Demnach sendet der Frühindikator noch leicht positive Signale.‣ weiterlesen

Die Senkung der Betriebskosten ist ein Trend bei IIoT-Installationen, was auch als Zeichen einer reifen Branche zu verstehen ist. Dabei stellen Betreiber schon bei der Architektur-Planung sicher, keine unnötigen Kostentreiber einzurichten. Das bedeutet auch, Lösungen auch mal ohne das beliebte MQTT-Protokoll durchzudenken.‣ weiterlesen

Ein Abrasivwasserstrahl bearbeitet Bauteile effektiv und fast verschleißfrei. Doch die komplexe Prozessführung und -steuerung verhinderte bislang den Durchbruch dieser Technologie in der Fertigung. Am Fraunhofer IPT entstanden jetzt ein neuer Wasserstrahlkopf und eine Software, um diese Fertigungstechnik besser und zugänglicher zu machen.‣ weiterlesen