Die Operational Technology (OT) – das Rückgrat von kritischen Infrastrukturen, der Fertigungsindustrie und des Gesundheitswesens – steht zunehmend im Fokus von Cyberangriffen. Dort, wo Anlagen und physische Prozesse gesteuert werden, hat die Verfügbarkeit oberste Priorität. Eine effektive Threat Detection ist daher unerlässlich, um Schäden zu verhindern und die Betriebskontinuität zu gewährleisten.
| INHALT |
Dieser Artikel beleuchtet, wie IT-Sicherheitsstrategien auf die speziellen Anforderungen von OT-Umgebungen übertragen werden können und welche Herausforderungen dabei zu meistern sind.
In der IT hat sich das Security Information and Event Management (SIEM) als zentrales Werkzeug zur Bedrohungsanalyse etabliert. Es sammelt, korreliert und analysiert Sicherheitsinformationen aus dem gesamten Netzwerk, um verdächtige Aktivitäten in Echtzeit zu identifizieren.
Die Integration von SIEM in Industrielle Steuerungssysteme (ICS), zu denen auch SCADA-Systeme gehören, ist der nächste logische Schritt. Während klassische SIEM-Lösungen auf Standard-IT-Protokolle spezialisiert sind, muss ein OT-taugliches SIEM:
OT-Protokolle verstehen: Es muss in der Lage sein, proprietäre Industrieprotokolle wie Modbus oder Profinet zu analysieren.
Betriebsdaten berücksichtigen: Die Korrelation sollte nicht nur auf Netzwerk- und Systemereignissen basieren, sondern auch auf Anomalien in den physischen Prozessdaten (z. B. eine unerklärliche Änderung der Temperatur oder des Drucks).
Priorität auf Verfügbarkeit legen: Reaktionen auf Bedrohungen dürfen die Funktion der Steuerungssysteme nicht beeinträchtigen, um Prozesse nicht zu unterbrechen.
Die Nutzung von SIEM im OT-Bereich ermöglicht es, die Sicherheitslücke zwischen IT und OT zu schließen – ein Schlüsselkonzept der OT-Sicherheit.
Die Bedrohungserkennung ist ein entscheidender Prozess in der Cybersicherheit, insbesondere in komplexen OT-Umgebungen. Sie zielt darauf ab, schädliche oder anomale Aktivitäten innerhalb eines Netzwerks oder Systems zu identifizieren, bevor diese zu einem größeren Schaden führen können.
Definition: Die Bedrohungserkennung umfasst die Analyse des gesamten Sicherheitsökosystems – einschließlich Netzwerkverkehr, Systemprotokolle, Benutzerverhalten und Konfigurationsänderungen – um Muster oder Indikatoren für einen laufenden oder bevorstehenden Cyberangriff zu finden.
Zweck: Im Gegensatz zur reinen Prävention (die Angriffe verhindern soll, bevor sie eintreten) konzentriert sich die Erkennung auf das Worst-Case-Szenario: Was passiert, wenn eine Bedrohung die erste Verteidigungslinie durchbricht? Ziel ist es, die Time-to-Detect (Zeit bis zur Erkennung) drastisch zu verkürzen. Eine schnelle Erkennung ist der Schlüssel, um eine Bedrohung zu neutralisieren und einzudämmen, bevor sie kritische OT-Prozesse sabotiert oder Daten stiehlt.
In OT-Netzwerken, in denen die Verfügbarkeit (Uptime) höchste Priorität hat, nutzt die Bedrohungserkennung oft spezialisierte Systeme, wie:
Network Intrusion Detection Systems (NIDS): Überwachung der spezifischen industriellen Protokolle (z. B. Modbus, OPC UA) auf verdächtiges Verhalten.
Verhaltensanalyse (Behavioral Analytics): Erkennung von Abweichungen vom normalen, erwarteten Betriebsverhalten einer Anlage. Beispielsweise die ungewöhnliche Änderung eines Steuerbefehls, die auf eine Kompromittierung hindeutet.
Asset-Monitoring: Verfolgung von Änderungen an der Gerätekonfiguration oder der Firmware, die unautorisiert sein könnten.
Trotz der Vorteile ist die Threat Detection in der OT mit besonderen Hürden verbunden, die sich grundlegend von der klassischen IT unterscheiden:
Alte und proprietäre Systeme
Viele OT-Komponenten sind jahrzehntelang im Einsatz (Long-Life-Cycle) und können oft weder gepatcht noch neu gestartet werden, ohne den Betrieb zu gefährden. Sie verfügen häufig über veraltete Betriebssysteme und protokollieren Sicherheitsereignisse nur unzureichend oder gar nicht, was die Datensammlung für SIEM erschwert.
Latenz und Echtzeit-Anforderungen
In der OT ist die Verfügbarkeit (Uptime) wichtiger als die Vertraulichkeit. Sicherheitsmechanismen, die zu Verzögerungen (Latenz) im Netzwerkverkehr führen oder die Echtzeit-Kommunikation stören, sind inakzeptabel.
IT/OT-Konvergenz und Netzwerksegmentierung
Die zunehmende Vernetzung von Geschäfts-IT (Enterprise-IT) und Betriebstechnik (OT) erweitert die Angriffsfläche. Oft fehlt eine ausreichende Netzwerksegmentierung (Air Gap oder demilitarisierte Zone – DMZ), wodurch Angreifer, die sich in der IT eingenistet haben, leicht in das OT-Netzwerk vordringen können.
Mangel an tiefgreifender Transparenz
Ohne spezielle OT-Tools fehlt oft der detaillierte Überblick darüber, welche Geräte (Assets) im Netzwerk aktiv sind, welche Protokolle sie sprechen und welches ihr normales Verhaltensmuster ist.
Um diesen Herausforderungen zu begegnen, sind spezialisierte Strategien und Werkzeuge für die Threat Detection in industriellen Steuerungssystemen erforderlich:
Passive Netzwerküberwachung (IDS/IPS für OT): Im Gegensatz zur IT, wo aktive Scans üblich sind, setzt man in der OT auf passive Überwachung. Spezielle Sensoren (Intrusion Detection/Prevention Systems – IDS/IPS) werden an Schlüsselstellen im Netzwerk platziert, um den Verkehr nur zu hören und zu analysieren, ohne die Kommunikation aktiv zu stören. Sie suchen nach:
Signaturen bekannter Angriffe: Muster, die auf bekannte Malware oder Exploit-Versuche hindeuten.
Abweichung von Industriestandards: Versuche, unzulässige Befehle über Industrieprotokolle (z. B. IEC 61850) zu senden.
Anomalieerkennung (Behavioral Analysis): Diese Methode ist besonders leistungsfähig, um neuartige (Zero-Day-)Angriffe zu identifizieren. Zunächst wird ein Baseline-Profil des "normalen" Betriebs erstellt (z. B. welche Geräte wann und wie oft kommunizieren oder welche Befehle typischerweise gesendet werden). Jede signifikante Abweichung von diesem Normalzustand (eine Anomalie) löst einen Alarm aus.
Beispiel: Wenn eine normalerweise schreibgeschützte Steuerung plötzlich beginnt, Konfigurationsdaten zu senden, ist dies ein deutliches Zeichen für eine Manipulation.
Asset-Inventarisierung und Schwachstellenmanagement: Man kann nur schützen, was man kennt. Eine kontinuierliche, passive Erfassung aller Assets (Steuerungen, Sensoren, HMI-Systeme) ist die Basis. Durch den Abgleich mit bekannten Schwachstellendatenbanken können Risiken identifiziert und priorisiert werden, auch wenn die Systeme selbst nicht gepatcht werden können.
Integration mit Threat Intelligence: Der Austausch von Informationen über aktuelle Bedrohungen (IOCs – Indicators of Compromise) speziell für OT-Umgebungen hilft, präventive Regeln im SIEM zu erstellen und das Sicherheitsteam auf die neuesten Angriffsmuster vorzubereiten.
Für Organisationen, die im Kontext von kritischen Infrastrukturen oder besonders sensiblen Bereichen arbeiten, können diese Maßnahmen auch Teil eines umfassenderen Compliance-Rahmens wie TISAX werden, der die Einhaltung hoher Sicherheitsstandards fordert.
Um die Effektivität der Threat Detection weiter zu steigern, setzen Experten auf Frameworks wie MITRE ATT&CK for ICS. Dieses Framework kategorisiert und beschreibt die Taktiken und Techniken (T's) sowie spezifische Verfahren (T's) und gängige Software-Tools (S's), die Angreifer speziell gegen industrielle Kontrollsysteme (ICS) einsetzen. Im Gegensatz zu seinem Pendant für die klassische IT beleuchtet die ICS-Version, wie Angriffe die einzigartigen physikalischen Prozesse und spezifischen ICS-Komponenten (wie z. B. SPS/PLCs und RTUs) beeinflussen.
Durch das Mapping der erkannten Anomalien und Ereignisse auf dieses Modell können Sicherheitsteams besser verstehen, in welcher Phase des Angriffs (z. B. Initial Access, Execution oder Impact) sie sich befinden und welche nächsten Schritte wahrscheinlich sind. Dies verbessert nicht nur die Threat Detection und die Klarheit der Alarme, sondern auch die Reaktionsfähigkeit des Security Operations Centers (SOC) auf OT-Vorfälle, indem präzise Verteidigungsstrategien basierend auf der tatsächlichen Bedrohung umgesetzt werden können. Die Nutzung von ATT&CK for ICS hilft somit, eine proaktive Verteidigung aufzubauen, die über reaktive Alarmbearbeitung hinausgeht.
Technologie allein reicht nicht aus. Die Königsdisziplin der Threat Detection in der OT ist die interdisziplinäre Zusammenarbeit. OT-Ingenieure müssen lernen, verdächtige Netzwerkaktivitäten oder anomales Geräteverhalten aus Sicherheitssicht zu beurteilen. Gleichzeitig müssen IT-Sicherheitsspezialisten die physischen Prozesse und die kritischen Verfügbarkeitsanforderungen der OT verstehen. Regelmäßige Schulungen und die Etablierung von IT/OT-Incident-Response-Teams stellen sicher, dass bei einem erkannten Vorfall schnell und prozesssicher gehandelt wird, um die Anlagen zu schützen und die Einhaltung von Standards wie TISAX zu gewährleisten.
Die effektive Threat Detection in der Operational Technology ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der spezialisierte Tools, tiefes Prozessverständnis und eine enge Verzahnung von IT und OT erfordert. Die Bedrohungen entwickeln sich rasant weiter – von Ransomware-Gruppen, die Produktionslinien stilllegen, bis hin zu staatlich unterstützten Akteuren, die kritische SCADA-Systeme ins Visier nehmen.
Die Zukunft der OT-Sicherheit liegt in intelligenten, nicht-invasiven Überwachungslösungen, die Anomalien in Echtzeit erkennen, ohne die Prozesse zu stören. Organisationen im Gesundheitswesen, der Fertigung und den kritischen Infrastrukturen, insbesondere in Deutschland und Österreich, müssen jetzt handeln, um ihre Anlagen zu schützen. Nur mit proaktiver Threat Detection und einer strategischen Sicherheitsarchitektur kann die notwendige Widerstandsfähigkeit (Resilienz) erreicht werden.