OT-Security Bites

Grundlegende Konzepte der OT-Security in „mundgerechten Häppchen“

Was ist eigentlich OT-Security? …und wie macht man das (richtig)?

Darüber sprechen wir in den OT-Security Bites. Wesentliche Grundlagen einfach auf den Punkt gebracht.
Mit Handwerkszeug und Denkanstößen für den Security-Arbeitsalltag in OT-Umgebungen.

Wer sollte sich das anschauen?

  • „alte OT-Security Hasen“, die sich auf’s Wesentliche konzentrieren und neue Perspektiven entdecken möchten
  • „Newbies“, die sich dem Thema OT-Security annähern wollen

Appetit auf mehr?

Weitere Häppchen sind in Arbeit und werden auf dieser Seite veröffentlicht.


OT-Security Bite #11

Nach aktuellem Verständnis ist mit einer handvoll Fehlern pro 1000 Zeilen Software-Code zu rechnen. Aber auch bei höherqualitativer Software mit geringerer Fehlerdichte muss mit einigen hundert oder mehr potenziellen Schwachstellen gerechnet werden. Werden diese Fehler bekannt und behoben, sollte gepached werden.  Das ist aber aufwändig. Entfernt man unnötige Softwarekomponenten, kann man sich diese Aufwände nachhaltig sparen. Mit Security ist es wie mit der Gesundheit: Die beste Antwort auf die Frage „Was soll ich essen, um gesund zu bleiben?“ ist: die Hälfte.

OT-Security Bite #10

Wussten Sie das? In Bite #10 lernen Sie ein paar interessante Fakten zu NIS2. Viel Spaß mit dem NIS Quiz.

OT-Security Bite #9

Der Nutzen von Digitalisierung ist „Kalter Kaffee“? Mag ja sein. Das Schlagwort „Digitalisierung“ ist im Begriff abgenutzt zu werden. Ähnlich wie davor die Begriffe Industrie 4.0, Cyberphysische Systeme, Horizontale Integration (und vertikale) sowie CIM. Am Ende zählt, wie ein –im OT- Fall- physischer Prozess in seiner Durchlaufzeit beschleunigt werden kann. Erwin Kruschitz erklärt das mit einem Modell aus der Prozessindustrie. Und das ist kein Kalter Kaffee 😉

OT-Security Bite #8

Alle Leute aus den Büros auf dem Gang versammeln sich an der Kaffeemaschine. Alle berichten das Gleiche: Auf dem Bildschirm steht, dass alle wichtigen Dateien verschlüsselt wurden. Man sagt sich, dass auch Kollegen aus anderen Kontinenten das gleiche Phänomen vor sich haben. Es ist 27. Juni. Können Löhne bezahlt werden? Können Rechnungen bezahlt werden? Wie soll kommuniziert werden, wenn Telefon und Netzwerk „down“ sind? Das war „NotPetya“. Der bislang „teuerste“ Angriff aller Zeiten.


OT-Security Bite #7

Maßnahmen zur Erhöhung der Cybersecurity gibt es einige:
Solche, die vor Cyberangriffen schützen (protect). Solche, die Cyberangriffe erkennen (detect). Und solche, die uns helfen die Auswirkungen von Angriffen so gering wie möglich zu halten (recover).


in OT-Security Bite #7

gibt Erwin Kruschitz einen Überblick über die gängigen Security-Maßnahmen. Interessant ist dabei ihre Wechselwirkung untereinander. Dies wird anhand der Standardmaßnahme „Firewall“ bzw. „Segmentierung“ gezeigt.

…und welche Maßnahme ist die beste?

OT-Security Bite #6

Wo hört IT auf und wo fängt OT an? Eine einfache Frage. Gibt es auch einfache Antworten darauf?

Aber natürlich! Die einfachste Antwort findet man im „Purdue-Modell“.
Ein Modell, welches ursprünglich zur Darstellung von Funktionshierarchien im CIM (Computer Integrated Manufacturing) und dann in den Bereichen „Batch Control“ und „Manufacturing Execution“ herangezogen wurde.

Und weil das so schön einfach ist, hat es sich auch im OT-Cybersecurity Bereich etabliert. Besser gesagt, hat es noch nie so viele Referenzen auf „Purdue“ gegeben wie jetzt.

OT-Cybersec-Aktivist Erwin Kruschitz warnt jedoch: Das Ebenen-Modell klammert die gefährlichsten Kommunikationsstränge aus. Deshalb ist es riskant zu glauben, dass man sich zurücklehnen kann, sobald man in Ebene 3.5 eine Firewall gesetzt hat.

Der Grund: Die Integrität der Komponenten in allen Ebenen hängt primär vom Datenverkehr über Konfigurations- und Programmierschnittstellen ab. Das Purdue-Modell (bzw. die NAMUR-Pyramide – welche die gleichen Aussagen macht) konzentriert sich auf den operativen Datenverkehr (Istwerte, Sollwerte, Betriebsdaten etc.). Der ist – vergleichsweise – harmlos.


OT-Security Bite #5

Cyberrisiko, OT-Cyberrisiko, klingt erst einmal schön einfach.
In Diskussionen rund um die Frage „Wie hoch ist das Risiko?“ geht es aber meist ziemlich drunter und drüber:

Ist mit Risiko die Bedrohung durch „Täter“ gemeint? – und welche Täter? Die „von Außen“ oder auch die „von Innen“?
 …oder meint man das Nichtvorhandensein von Sicherheitsmaßnahmen?
…oder ist das, was „hinten dranhängt“ entscheidend für das „eigentliche“ Risko? Sprich: ein kritischer physischer Prozess mit hohen potenziellen Schäden (für die Umwelt, Gesundheit oder Wirtschaft)?

Wir erklären kurz und knackig, wie man Struktur in solche Diskussionen und Risikoanalysen generell bekommt.

OT-Security Bite #4

Wie sicher sind wir denn? Das ist eine berechtigte Frage aus dem Management. Die Antworten sind häufig wortreich, teuer und langwierig.

Bite #4 macht einen Vorschlag: Messen Sie den Reifegrad // Maturity-Level Ihrer OT-Security und erhalten Sie ein Ergebnis innerhalb von 10 Minuten.


OT-Security Bite #3

Wann sind wir sicher genug? Diese einfache Frage verursacht – bezogen auf Cybersecurity – regelmäßiges Kopfzerbrechen. In Bite #3 entlockt Armin Scheuermann seinem Interviewpartner Erwin Kruschitz die „Weltformel der OT-Security“. Mit dieser einfachen Formel soll die Frage ganz einfach beantwortet werden können. Geht das?

 


OT-Security Bite #2

OT ist wie klettern auf 8.000 Metern Höhe“ – mit dieser Analogie erklären wir, was OT von IT unterscheidet. Denn die Unterschiede sind groß: In der OT gibt es zum Beispiel Echtzeitanforderungen, OT-Systeme sind häufig alt und werden nicht von der IT-Abteilung sondern vom Betrieb oder Ingenieurabteilungen gepflegt.

Häufig denken wir bei „OT“ nur an Einrichtungen der Automatisierungstechnik. Aber auch Daten wie Ist- und Soll-Werte, Risikoanalysen und Funktionspläne, IP-Adressen, Firewall-Regeln usw. gehören zur OT und müssen vor Cyberangriffen geschützt werden. Und ganz wichtig: die Organisation. Denn OT-Systeme werden meist von Systemintegratoren oder IT-Service-Providern aus Komponenten zusammengestellt.

 


OT-Security Bite #1

Beim Kick-off der Reihe fragen wir uns: „OT-Security – Wie geht das eigentlich?“