Menue

    • OT-Security Bites

    Home / Portfolio / Fokusthemen / OT-Security Bites

    OT-Security Bites

    Grundlegende Konzepte der OT-Security in kurzen Häppchen

    Was ist eigentlich OT-Security? …und wie macht man das (richtig)?

    Darüber sprechen wir in den OT-Security Bites und bringen wesentliche Grundlagen einfach auf den Punkt.
    Mit Handwerkszeug und Denkanstößen für den Security-Arbeitsalltag in OT-Umgebungen.

    Egal ob langjährige OT-Security Experts oder neugierige Newcomer – bei unseren OT-Security Bites ist für alle etwas dabei.

    Haben Sie Appetit auf mehr? Weitere Häppchen sind in Arbeit und werden auf dieser Seite veröffentlicht.

    OT-Security Bite #15

    In der neuesten Folge der Securitybytes-Serie begrüßen wir einen neuen Gast: Klaus Jochem, seines Zeichens Experte für OT-Security. Im Gespräch geht es um die Herausforderungen und Strategien im Bereich Backup und Recovery, sowohl in der IT als auch in der OT (Operational Technology).

    Häufige Probleme bei Backup und Recovery

    Viele Unternehmen führen zwar Backups durch, aber haben oft keinen klaren Plan, wie diese im Ernstfall wiederhergestellt werden können. Ein weiteres Problem ist, dass häufig die falschen Daten gesichert werden. Ein tägliches Full Backup reicht oft nicht aus, da die Daten nicht aktuell genug sind. Es wird empfohlen, Backups in kürzeren Intervallen durchzuführen, um den gesamten Datenbestand sicherzustellen. Zur Bewertung der Backup-Strategien verwendet Hr. Jochem das Maturity Modell. Dieses Modell umfasst verschiedene Stufen, von Level 0 (kein Backup) bis zu höheren Stufen, bei denen ein definierter Backup-Plan und eine klare Recovery-Strategie vorliegen.

    Wichtige Begriffe: RPO, RTO und Business Impact Analyse

    Zwei zentrale Begriffe bei einer Backup-Strategie sind RPO (Recovery Point Objective) und RTO (Recovery Time Objective). RPO beschreibt den maximal akzeptablen Datenverlust, während RTO die Zeit angibt, die für die Wiederherstellung der Systeme benötigt wird. Diese Werte sind entscheidend, um den finanziellen Schaden im Falle eines Ausfalls zu minimieren.

    Ein weiterer wichtiger Begriff ist die Business Impact Analyse (BIA). Diese untersucht den Einfluss eines Systemausfalls auf die Geschäftsprozesse. Dabei wird überlegt, welche Systeme für das Business essenziell sind und welche finanziellen Verluste im Falle eines Ausfalls entstehen können. Die BIA hilft dabei, die RPO und RTO festzulegen und sicherzustellen, dass die Wiederherstellung der Systeme innerhalb der akzeptablen Zeiträume erfolgt.

    Datenverlust und dessen Bedeutung

    Datenverlust kann je nach System unterschiedlich gravierend sein. Bei einer Operator Station in einer Automatisierungsanlage kann es akzeptabel sein, einige Daten zu verlieren, da dort in der Regel keine Daten gespeichert werden. Bei einem Hochregallager hingegen, wo Datenbanken eine zentrale Rolle spielen, ist es wichtig, die letzten Minuten vor einem Ausfall zu sichern, um den Datenverlust zu minimieren.

    Systematische Herangehensweise

    Wesentlich ist zu betonen, dass es nicht ausreicht, einfach nur Backups zu erstellen. Eine systematische Herangehensweise ist notwendig, um sicherzustellen, damit die richtigen Daten gesichert werden und im Ernstfall eine schnelle und effektive Wiederherstellung möglich ist.

    In den kommenden Folgen der Securitybytes-Serie wird weiter auf die Themen Backup und Recovery eingegangen. Bleiben Sie dran und verpassen Sie nicht die nächsten spannenden Einblicke in die Welt der IT- und OT-Security!

    In der neuesten Folge der Security-Bites-Serie begrüßen wir einen neuen Gast: Klaus Jochem, seines Zeichens Experte für OT-Security. Im Gespräch geht es um die Herausforderungen und Strategien im Bereich Backup und Recovery, sowohl in der IT als auch in der OT (Operational Technology).

    Häufige Probleme bei Backup und Recovery

    Viele Unternehmen führen zwar Backups durch, aber haben oft keinen klaren Plan, wie diese im Ernstfall wiederhergestellt werden können. Ein weiteres Problem ist, dass häufig die falschen Daten gesichert werden. Ein tägliches Full Backup reicht oft nicht aus, da die Daten nicht aktuell genug sind. Es wird empfohlen, Backups in kürzeren Intervallen durchzuführen, um den gesamten Datenbestand sicherzustellen. Zur Bewertung der Backup-Strategien verwendet Hr. Jochem das Maturity Modell. Dieses Modell umfasst verschiedene Stufen, von Level 0 (kein Backup) bis zu höheren Stufen, bei denen ein definierter Backup-Plan und eine klare Recovery-Strategie vorliegen.

    Zwei zentrale Begriffe bei einer Backup-Strategie sind RPO (Recovery Point Objective) und RTO (Recovery Time Objective). RPO beschreibt den maximal akzeptablen Datenverlust, während RTO die Zeit angibt, die für die Wiederherstellung der Systeme benötigt wird. Diese Werte sind entscheidend, um den finanziellen Schaden im Falle eines Ausfalls zu minimieren. Ein weiterer wichtiger Begriff ist die Business Impact Analyse (BIA). Diese untersucht den Einfluss eines Systemausfalls auf die Geschäftsprozesse. Dabei wird überlegt, welche Systeme für das Business essenziell sind und welche finanziellen Verluste im Falle eines Ausfalls entstehen können. Die BIA hilft dabei, die RPO und RTO festzulegen und sicherzustellen, dass die Wiederherstellung der Systeme innerhalb der akzeptablen Zeiträume erfolgt.

    Datenverlust als Worst-Case-Szenario

    Datenverlust kann je nach System unterschiedlich gravierend sein. Bei einer Operator Station in einer Automatisierungsanlage kann es akzeptabel sein, einige Daten zu verlieren, da dort in der Regel keine Daten gespeichert werden. Bei einem Hochregallager hingegen, wo Datenbanken eine zentrale Rolle spielen, ist es wichtig, die letzten Minuten vor einem Ausfall zu sichern, um den Datenverlust zu minimieren.

    Fazit

    Wesentlich ist zu betonen, dass es nicht ausreicht, einfach nur Backups zu erstellen. Eine systematische Herangehensweise ist notwendig, um sicherzustellen, damit die richtigen Daten gesichert werden und im Ernstfall eine schnelle und effektive Wiederherstellung möglich ist.

    In den kommenden Folgen der Securitybites-Serie wird weiter auf die Themen Backup und Recovery eingegangen. Bleiben Sie dran und verpassen Sie nicht die nächsten spannenden Einblicke in die Welt der IT- und OT-Security!

    OT-Security Bite #14

    Security for Safety: Ein Leitfaden zur Integration von Cybersicherheit in automatisierte Systeme

    In der heutigen Welt der Automatisierungstechnik gewinnt der Begriff „Security for Safety“ zunehmend an Bedeutung. Doch was verbirgt sich hinter diesem Schlagwort, und wie können Betreiber ihre Systeme effektiv vor Cyberbedrohungen schützen?

    Security for Safety beschreibt die Integration von Cybersicherheitsmaßnahmen in funktionale Sicherheitssysteme. Diese Systeme sind darauf ausgelegt, die Sicherheit von Prozessen zu gewährleisten, indem sie Risiken wie hohe Temperaturen oder Druckverhältnisse kontrollieren. Ein klassisches Beispiel ist ein Behälter mit einem Regelkreis, der den Füllstand konstant hält. Doch wie können wir sicherstellen, dass solche Systeme nicht durch Cyberangriffe kompromittiert werden?

    Denn auch vermeintlich hochsichere Systeme sind nicht immun gegen Cyberbedrohungen. Es gab bereits Vorfälle, bei denen solche Systeme gezielt angegriffen wurden. Behörden und Regularien, wie die Störfallverordnung in Deutschland, fordern daher zunehmend den Einbau von Cybersicherheitsmaßnahmen. Diese Regularien verlangen, dass Betreiber nicht nur die funktionale Sicherheit, sondern auch die Cybersicherheit ihrer Systeme gewährleisten.

    Um Cybersecurity in funktionale Sicherheitssysteme zu integrieren, sind mehrere Schritte notwendig:

    1. Risiken bewerten: Eine gründliche Risikoanalyse ist der erste Schritt. Dabei muss die Wahrscheinlichkeit des Auftretens einer Cyberbedrohung und deren potenzielle Auswirkungen berücksichtigt werden.
    2. Zonen bilden: Die Trennung von Sicherheitssystemen und der umgebenden Infrastruktur ist entscheidend. Allerdings gestaltet sich dies in der Praxis oft schwierig, da die Systeme häufig miteinander vernetzt sind.
    3. Maßnahmen ergreifen: Basierend auf der Risikobewertung und der Zonenbildung müssen geeignete Sicherheitsmaßnahmen implementiert werden. Dies kann den Einsatz von zusätzlichen Sicherheitskreisen, Ventilen und Logiken umfassen.

    Für Betreiber, die ihre Systeme vor Cyberbedrohungen schützen wollen, gibt es praktikable Lösungen. Das NAMUR Arbeitsblatt 163 bietet umfassende Empfehlungen, die von Fachexperten über zwei Jahre hinweg entwickelt wurden. Dieses Dokument bietet konkrete Anleitungen zur Implementierung von Cybersicherheitsmaßnahmen.

    OT-Security Bite #13

    Zukunftsperspektiven für die Zonenbildung in der IT- und OT-Security
    Unsere beiden Experten, Herr Scheuermann und Herr Kruschitz skizieren neue Ansätze für die Zonenbildung in der IT- und OT-Security. Während traditionelle Zonenmodelle auf physischer Netzwerksegmentierung und klar abgegrenzten Firewalls basieren, wird dieses Konzept in Zeiten anwachsender Virtualisierung und Cloud-Nutzung zunehmend unpraktisch. Herr Kruschitz stellte drei zentrale Überlegungen vor, die eine moderne Sicherheitsarchitektur prägen könnten.

    1. Funktionsbasierte Zonenbildung
    Die physische Trennung durch Firewalls in virtualisierten Umgebungen ist nicht mehr realisierbar, wodurch es vorteilhafter ist, Zonen in Zukunft nach funktionalen Kriterien zu definieren. So könnten beispielsweise zwei Produktionslinien, die heute durch physische Steuerungen getrennt sind, künftig auf demselben Virtualisierungshost laufen. In diesem Fall müssten die Funktionen jeder Produktionslinie als eigenständige Zonen betrachtet werden. Dies ermöglicht es, im Falle einer Sicherheitskompromittierung einer Produktionslinie die andere weiterhin sicher zu betreiben.

    2. Vertrauensbasierte Zonenbeziehungen
    Ein weiterer wichtiger Aspekt ist das Verhältnis der Zonen untereinander. Zukünftig wird nicht mehr das absolute Risiko, sondern das gegenseitige Vertrauensverhältnis zwischen Zonen entscheidend sein. Produktionsbereiche mit höherem Vertrauen zueinander könnten weniger strikte Sicherheitsmaßnahmen benötigen. Ist das Vertrauen geringer oder sind Sicherheitsanforderungen besonders hoch, müssten zusätzliche Schutzmechanismen implementiert werden.

    3. Situationsabhängige Kommunikationssteuerung
    Produktionslinien könnten je nach Betriebssituation unterschiedliche Kommunikationsmuster aufweisen. Beispielsweise kann während eines Wartungsvorgangs eine Maschine mit einem entfernten Dienstleister kommunizieren, während im Produktionsbetrieb nur lokale Kommunikation stattfinden sollte. Zukünftige Sicherheitskonzepte müssen diese situative Flexibilität berücksichtigen und entsprechend steuern.

    OT-Security Bite #12

    Hat das traditionelle Zonenmodell in der IT- und OT-Security ausgedient? Zumindest steht es -so wie es heute verwendet wird- vor erheblichen Herausforderungen. Die Virtualisierung von Netzwerken und Hardware erfordert ein neues Verständnis der Sicherheitsarchitektur. Unsere Experten sind sich einig, dass die aktuellen Konzepte in Zukunft überholt sein werden und dass neue Ansätze entwickelt werden müssen, um den Sicherheitsanforderungen gerecht zu werden.

    OT-Security Bite #11

    Nach aktuellem Verständnis ist mit einer handvoll Fehlern pro 1000 Zeilen Software-Code zu rechnen. Aber auch bei höherqualitativer Software mit geringerer Fehlerdichte muss mit einigen hundert oder mehr potenziellen Schwachstellen gerechnet werden. Werden diese Fehler bekannt und behoben, sollte gepached werden.  Das ist aber aufwändig. Entfernt man unnötige Softwarekomponenten, kann man sich diese Aufwände nachhaltig sparen. Mit Security ist es wie mit der Gesundheit: Die beste Antwort auf die Frage „Was soll ich essen, um gesund zu bleiben?“ ist: die Hälfte.

    OT-Security Bite #10

    Wussten Sie das? In Bite #10 lernen Sie ein paar interessante Fakten zu NIS2. Viel Spaß mit dem NIS Quiz.

    OT-Security Bite #9

    Der Nutzen von Digitalisierung ist „Kalter Kaffee“? Mag ja sein. Das Schlagwort „Digitalisierung“ ist im Begriff abgenutzt zu werden. Ähnlich wie davor die Begriffe Industrie 4.0, Cyberphysische Systeme, Horizontale Integration (und vertikale) sowie CIM. Am Ende zählt, wie ein –im OT- Fall- physischer Prozess in seiner Durchlaufzeit beschleunigt werden kann. Erwin Kruschitz erklärt das mit einem Modell aus der Prozessindustrie. Und das ist kein Kalter Kaffee 😉

    OT-Security Bite #8

    Alle Leute aus den Büros auf dem Gang versammeln sich an der Kaffeemaschine. Alle berichten das Gleiche: Auf dem Bildschirm steht, dass alle wichtigen Dateien verschlüsselt wurden. Man sagt sich, dass auch Kollegen aus anderen Kontinenten das gleiche Phänomen vor sich haben. Es ist 27. Juni. Können Löhne bezahlt werden? Können Rechnungen bezahlt werden? Wie soll kommuniziert werden, wenn Telefon und Netzwerk „down“ sind? Das war „NotPetya“. Der bislang „teuerste“ Angriff aller Zeiten.


    OT-Security Bite #7

    Maßnahmen zur Erhöhung der Cybersecurity gibt es einige:
    Solche, die vor Cyberangriffen schützen (protect). Solche, die Cyberangriffe erkennen (detect). Und solche, die uns helfen die Auswirkungen von Angriffen so gering wie möglich zu halten (recover).


    in OT-Security Bite #7

    gibt Erwin Kruschitz einen Überblick über die gängigen Security-Maßnahmen. Interessant ist dabei ihre Wechselwirkung untereinander. Dies wird anhand der Standardmaßnahme „Firewall“ bzw. „Segmentierung“ gezeigt.

    …und welche Maßnahme ist die beste?

    OT-Security Bite #6

    Wo hört IT auf und wo fängt OT an? Eine einfache Frage. Gibt es auch einfache Antworten darauf?

    Aber natürlich! Die einfachste Antwort findet man im „Purdue-Modell“.
    Ein Modell, welches ursprünglich zur Darstellung von Funktionshierarchien im CIM (Computer Integrated Manufacturing) und dann in den Bereichen „Batch Control“ und „Manufacturing Execution“ herangezogen wurde.

    Und weil das so schön einfach ist, hat es sich auch im OT-Cybersecurity Bereich etabliert. Besser gesagt, hat es noch nie so viele Referenzen auf „Purdue“ gegeben wie jetzt.

    OT-Cybersec-Aktivist Erwin Kruschitz warnt jedoch: Das Ebenen-Modell klammert die gefährlichsten Kommunikationsstränge aus. Deshalb ist es riskant zu glauben, dass man sich zurücklehnen kann, sobald man in Ebene 3.5 eine Firewall gesetzt hat.

    Der Grund: Die Integrität der Komponenten in allen Ebenen hängt primär vom Datenverkehr über Konfigurations- und Programmierschnittstellen ab. Das Purdue-Modell (bzw. die NAMUR-Pyramide – welche die gleichen Aussagen macht) konzentriert sich auf den operativen Datenverkehr (Istwerte, Sollwerte, Betriebsdaten etc.). Der ist – vergleichsweise – harmlos.


    OT-Security Bite #5

    Cyberrisiko, OT-Cyberrisiko, klingt erst einmal schön einfach.
    In Diskussionen rund um die Frage „Wie hoch ist das Risiko?“ geht es aber meist ziemlich drunter und drüber:

    Ist mit Risiko die Bedrohung durch „Täter“ gemeint? – und welche Täter? Die „von Außen“ oder auch die „von Innen“?
     …oder meint man das Nichtvorhandensein von Sicherheitsmaßnahmen?
    …oder ist das, was „hinten dranhängt“ entscheidend für das „eigentliche“ Risko? Sprich: ein kritischer physischer Prozess mit hohen potenziellen Schäden (für die Umwelt, Gesundheit oder Wirtschaft)?

    Wir erklären kurz und knackig, wie man Struktur in solche Diskussionen und Risikoanalysen generell bekommt.

    OT-Security Bite #4

    Wie sicher sind wir denn? Das ist eine berechtigte Frage aus dem Management. Die Antworten sind häufig wortreich, teuer und langwierig.

    Bite #4 macht einen Vorschlag: Messen Sie den Reifegrad // Maturity-Level Ihrer OT-Security und erhalten Sie ein Ergebnis innerhalb von 10 Minuten.


    OT-Security Bite #3

    Wann sind wir sicher genug? Diese einfache Frage verursacht – bezogen auf Cybersecurity – regelmäßiges Kopfzerbrechen. In Bite #3 entlockt Armin Scheuermann seinem Interviewpartner Erwin Kruschitz die „Weltformel der OT-Security“. Mit dieser einfachen Formel soll die Frage ganz einfach beantwortet werden können. Geht das?

     


    OT-Security Bite #2

    OT ist wie klettern auf 8.000 Metern Höhe“ – mit dieser Analogie erklären wir, was OT von IT unterscheidet. Denn die Unterschiede sind groß: In der OT gibt es zum Beispiel Echtzeitanforderungen, OT-Systeme sind häufig alt und werden nicht von der IT-Abteilung sondern vom Betrieb oder Ingenieurabteilungen gepflegt.

    Häufig denken wir bei „OT“ nur an Einrichtungen der Automatisierungstechnik. Aber auch Daten wie Ist- und Soll-Werte, Risikoanalysen und Funktionspläne, IP-Adressen, Firewall-Regeln usw. gehören zur OT und müssen vor Cyberangriffen geschützt werden. Und ganz wichtig: die Organisation. Denn OT-Systeme werden meist von Systemintegratoren oder IT-Service-Providern aus Komponenten zusammengestellt.

     


    OT-Security Bite #1

    Beim Kick-off der Reihe fragen wir uns: „OT-Security – Wie geht das eigentlich?“