OT-Security Bites
Grundlegende Konzepte der OT-Security in kurzen Häppchen
Was ist eigentlich OT-Security? …und wie macht man das (richtig)?
Darüber sprechen wir in den OT-Security Bites und bringen wesentliche Grundlagen einfach auf den Punkt.
Mit Handwerkszeug und Denkanstößen für den Security-Arbeitsalltag in OT-Umgebungen.
Egal ob langjährige OT-Security Experts oder neugierige Newcomer – bei unseren OT-Security Bites ist für alle etwas dabei.
Haben Sie Appetit auf mehr? Weitere Häppchen sind in Arbeit und werden auf dieser Seite veröffentlicht.
OT-Security Bite #13
Zukunftsperspektiven für die Zonenbildung in der IT- und OT-Security
Unsere beiden Experten, Herr Scheuermann und Herr Kruschitz skizieren neue Ansätze für die Zonenbildung in der IT- und OT-Security. Während traditionelle Zonenmodelle auf physischer Netzwerksegmentierung und klar abgegrenzten Firewalls basieren, wird dieses Konzept in Zeiten anwachsender Virtualisierung und Cloud-Nutzung zunehmend unpraktisch. Herr Kruschitz stellte drei zentrale Überlegungen vor, die eine moderne Sicherheitsarchitektur prägen könnten.
1. Funktionsbasierte Zonenbildung
Die physische Trennung durch Firewalls in virtualisierten Umgebungen ist nicht mehr realisierbar, wodurch es vorteilhafter ist, Zonen in Zukunft nach funktionalen Kriterien zu definieren. So könnten beispielsweise zwei Produktionslinien, die heute durch physische Steuerungen getrennt sind, künftig auf demselben Virtualisierungshost laufen. In diesem Fall müssten die Funktionen jeder Produktionslinie als eigenständige Zonen betrachtet werden. Dies ermöglicht es, im Falle einer Sicherheitskompromittierung einer Produktionslinie die andere weiterhin sicher zu betreiben.
2. Vertrauensbasierte Zonenbeziehungen
Ein weiterer wichtiger Aspekt ist das Verhältnis der Zonen untereinander. Zukünftig wird nicht mehr das absolute Risiko, sondern das gegenseitige Vertrauensverhältnis zwischen Zonen entscheidend sein. Produktionsbereiche mit höherem Vertrauen zueinander könnten weniger strikte Sicherheitsmaßnahmen benötigen. Ist das Vertrauen geringer oder sind Sicherheitsanforderungen besonders hoch, müssten zusätzliche Schutzmechanismen implementiert werden.
3. Situationsabhängige Kommunikationssteuerung
Produktionslinien könnten je nach Betriebssituation unterschiedliche Kommunikationsmuster aufweisen. Beispielsweise kann während eines Wartungsvorgangs eine Maschine mit einem entfernten Dienstleister kommunizieren, während im Produktionsbetrieb nur lokale Kommunikation stattfinden sollte. Zukünftige Sicherheitskonzepte müssen diese situative Flexibilität berücksichtigen und entsprechend steuern.
OT-Security Bite #12
Hat das traditionelle Zonenmodell in der IT- und OT-Security ausgedient? Zumindest steht es -so wie es heute verwendet wird- vor erheblichen Herausforderungen. Die Virtualisierung von Netzwerken und Hardware erfordert ein neues Verständnis der Sicherheitsarchitektur. Unsere Experten sind sich einig, dass die aktuellen Konzepte in Zukunft überholt sein werden und dass neue Ansätze entwickelt werden müssen, um den Sicherheitsanforderungen gerecht zu werden.
OT-Security Bite #11
Nach aktuellem Verständnis ist mit einer handvoll Fehlern pro 1000 Zeilen Software-Code zu rechnen. Aber auch bei höherqualitativer Software mit geringerer Fehlerdichte muss mit einigen hundert oder mehr potenziellen Schwachstellen gerechnet werden. Werden diese Fehler bekannt und behoben, sollte gepached werden. Das ist aber aufwändig. Entfernt man unnötige Softwarekomponenten, kann man sich diese Aufwände nachhaltig sparen. Mit Security ist es wie mit der Gesundheit: Die beste Antwort auf die Frage „Was soll ich essen, um gesund zu bleiben?“ ist: die Hälfte.
OT-Security Bite #10
Wussten Sie das? In Bite #10 lernen Sie ein paar interessante Fakten zu NIS2. Viel Spaß mit dem NIS Quiz.
OT-Security Bite #9
Der Nutzen von Digitalisierung ist „Kalter Kaffee“? Mag ja sein. Das Schlagwort „Digitalisierung“ ist im Begriff abgenutzt zu werden. Ähnlich wie davor die Begriffe Industrie 4.0, Cyberphysische Systeme, Horizontale Integration (und vertikale) sowie CIM. Am Ende zählt, wie ein –im OT- Fall- physischer Prozess in seiner Durchlaufzeit beschleunigt werden kann. Erwin Kruschitz erklärt das mit einem Modell aus der Prozessindustrie. Und das ist kein Kalter Kaffee 😉
OT-Security Bite #8
Alle Leute aus den Büros auf dem Gang versammeln sich an der Kaffeemaschine. Alle berichten das Gleiche: Auf dem Bildschirm steht, dass alle wichtigen Dateien verschlüsselt wurden. Man sagt sich, dass auch Kollegen aus anderen Kontinenten das gleiche Phänomen vor sich haben. Es ist 27. Juni. Können Löhne bezahlt werden? Können Rechnungen bezahlt werden? Wie soll kommuniziert werden, wenn Telefon und Netzwerk „down“ sind? Das war „NotPetya“. Der bislang „teuerste“ Angriff aller Zeiten.
OT-Security Bite #7
Maßnahmen zur Erhöhung der Cybersecurity gibt es einige:
Solche, die vor Cyberangriffen schützen (protect). Solche, die Cyberangriffe erkennen (detect). Und solche, die uns helfen die Auswirkungen von Angriffen so gering wie möglich zu halten (recover).
in OT-Security Bite #7
gibt Erwin Kruschitz einen Überblick über die gängigen Security-Maßnahmen. Interessant ist dabei ihre Wechselwirkung untereinander. Dies wird anhand der Standardmaßnahme „Firewall“ bzw. „Segmentierung“ gezeigt.
…und welche Maßnahme ist die beste?
OT-Security Bite #6
Wo hört IT auf und wo fängt OT an? Eine einfache Frage. Gibt es auch einfache Antworten darauf?
Aber natürlich! Die einfachste Antwort findet man im „Purdue-Modell“.
Ein Modell, welches ursprünglich zur Darstellung von Funktionshierarchien im CIM (Computer Integrated Manufacturing) und dann in den Bereichen „Batch Control“ und „Manufacturing Execution“ herangezogen wurde.
Und weil das so schön einfach ist, hat es sich auch im OT-Cybersecurity Bereich etabliert. Besser gesagt, hat es noch nie so viele Referenzen auf „Purdue“ gegeben wie jetzt.
OT-Cybersec-Aktivist Erwin Kruschitz warnt jedoch: Das Ebenen-Modell klammert die gefährlichsten Kommunikationsstränge aus. Deshalb ist es riskant zu glauben, dass man sich zurücklehnen kann, sobald man in Ebene 3.5 eine Firewall gesetzt hat.
Der Grund: Die Integrität der Komponenten in allen Ebenen hängt primär vom Datenverkehr über Konfigurations- und Programmierschnittstellen ab. Das Purdue-Modell (bzw. die NAMUR-Pyramide – welche die gleichen Aussagen macht) konzentriert sich auf den operativen Datenverkehr (Istwerte, Sollwerte, Betriebsdaten etc.). Der ist – vergleichsweise – harmlos.
OT-Security Bite #5
Cyberrisiko, OT-Cyberrisiko, klingt erst einmal schön einfach.
In Diskussionen rund um die Frage „Wie hoch ist das Risiko?“ geht es aber meist ziemlich drunter und drüber:
Ist mit Risiko die Bedrohung durch „Täter“ gemeint? – und welche Täter? Die „von Außen“ oder auch die „von Innen“?
…oder meint man das Nichtvorhandensein von Sicherheitsmaßnahmen?
…oder ist das, was „hinten dranhängt“ entscheidend für das „eigentliche“ Risko? Sprich: ein kritischer physischer Prozess mit hohen potenziellen Schäden (für die Umwelt, Gesundheit oder Wirtschaft)?
Wir erklären kurz und knackig, wie man Struktur in solche Diskussionen und Risikoanalysen generell bekommt.
OT-Security Bite #4
Wie sicher sind wir denn? Das ist eine berechtigte Frage aus dem Management. Die Antworten sind häufig wortreich, teuer und langwierig.
Bite #4 macht einen Vorschlag: Messen Sie den Reifegrad // Maturity-Level Ihrer OT-Security und erhalten Sie ein Ergebnis innerhalb von 10 Minuten.
OT-Security Bite #3
Wann sind wir sicher genug? Diese einfache Frage verursacht – bezogen auf Cybersecurity – regelmäßiges Kopfzerbrechen. In Bite #3 entlockt Armin Scheuermann seinem Interviewpartner Erwin Kruschitz die „Weltformel der OT-Security“. Mit dieser einfachen Formel soll die Frage ganz einfach beantwortet werden können. Geht das?
OT-Security Bite #2
OT ist wie klettern auf 8.000 Metern Höhe“ – mit dieser Analogie erklären wir, was OT von IT unterscheidet. Denn die Unterschiede sind groß: In der OT gibt es zum Beispiel Echtzeitanforderungen, OT-Systeme sind häufig alt und werden nicht von der IT-Abteilung sondern vom Betrieb oder Ingenieurabteilungen gepflegt.
Häufig denken wir bei „OT“ nur an Einrichtungen der Automatisierungstechnik. Aber auch Daten wie Ist- und Soll-Werte, Risikoanalysen und Funktionspläne, IP-Adressen, Firewall-Regeln usw. gehören zur OT und müssen vor Cyberangriffen geschützt werden. Und ganz wichtig: die Organisation. Denn OT-Systeme werden meist von Systemintegratoren oder IT-Service-Providern aus Komponenten zusammengestellt.
OT-Security Bite #1
Beim Kick-off der Reihe fragen wir uns: „OT-Security – Wie geht das eigentlich?“