OT-Sicherheit – Mehr als nur ein Nebenschauplatz der IT-Sicherheit
Autor/Redakteur: Kay Ernst, Regional Sales Director DACH bei OTORIO/gg
OT (Operational Technology) steht für die Betriebstechnologie, die zum Einsatz kommt, um die physischen Komponenten eines industriellen Netzwerks zu überwachen und zu steuern. Industrielle Netzwerke sind dabei nicht nur für Produktionsprozesse – etwa in der Schwerindustrie – erforderlich, sondern auch zum Betrieb kritischer Infrastrukturen wie Kraftwerke, Stromleitungen oder Verkehrsnetze. IT und OT waren früher strikt getrennt, wachsen jedoch immer mehr zusammen, wodurch sich bei der OT-Sicherheit neue Anforderungen ergeben.
Lange Zeit waren Cyberangriffe fast ausschließlich auf IT-Umgebungen beschränkt.Seit STUXNET, einem auf ICS (Industrial Control Systems), also industrielle Steuerungssysteme zielenden Angriff im Jahr 2010, haben OT-Angriffe stetig zugenommen. Dabei waren weltweit bereits verschiedene Branchen von verschiedenen Angriffskampagnen betroffen. Industroyer zielte auf Stromnetze, Black Energy auf Energienetze, Havex auf die Petrochemie und TRISIS auf die Öl- und Gasindustrie. Hacker dringen dabei in industrielle Netzwerke ein, um Maschinen abzuschalten, Lösegeld zu fordern oder Daten zu stehlen.
Das neue Zeitalter der Betriebstechnologie
Traditionell war die OT getrennt von der IT und nicht mit externen Netzwerken verbunden. Der Trend zu Industrie 4.0 hat dies geändert, die Vernetzung und die Automatisierung haben zugenommen. Intelligente IoT-Geräte sind nun Teil der OT-Netze und generieren mehr Daten, die auch außerhalb der OT-Umgebung abgerufen werden. Dies fortschreitende IT-OT-Konvergenz eröffnet neue Möglichkeiten – auch für Cyberangreifer.
Typische IT-Umgebungen bestehen aus Datenbanken, Unternehmensanwendungen wie ERP, Fernanbindung über RDP und Cloud-Ressourcen. In OT-Umgebungen finden sich einzelne Maschinen, ganze Fertigungslinien, RTUs (Remote Terminal Units), HMIs (Human Machine Interfaces) und SCADA-Umgebungen (Supervisory Control and Data Acquisition). Zum Einsatz kommen PLCs (Programmable Logic Controllers), also speicherprogrammierbare Steuerungen, und Client-Server-Architekturen, die über das Modbus-Protokoll kommunizieren. Aufgrund vieler Überschneidungen verschwimmen die Grenzen zwischen IT und OT immer mehr.
Was die Sicherheit betrifft, gilt es in OT-Umgebungen vor allem Prozesse und Anlagen zu schützen. Hierzu zählt die Erkennung und Behebung von Schwachstellen und Manipulationen in kritischen Systemen, die beispielsweise Motoren, Pumpen und Ventile steuern. Trotz der IT-OT-Konvergenz sind nach wie vor einige entscheidende Unterschiede zwischen IT- und OT-Welt zu berücksichtigen.
Was IT und OT unterscheidet
Die beiden Technologien arbeiten in unterschiedlichen Umgebungen und dienen unterschiedlichen Zwecken. Die IT-Welt ist privaten Nutzern und Arbeitnehmern vertraut: Server in Rechenzentren, Arbeitsplatzrechner, geschützt durch Firewalls und Virenschutz. Die Kommunikation erfolgt über bekannte Protokolle (HTTP, SSH, RDP) und der Zugriff auf Cloud-Ressourcen ist heute ein gängiges Szenario. OT-Umgebungen hingegen sind oft geprägt von bildschirmlosen Komponenten (Maschinen, SPS), sie kommunizieren über spezielle Industrieprotokolle (Modbus, Ethernet/IP, Profinet). Sicherheitsmaßnahmen waren jahrzehntelang aufgrund fehlender Internetanbindung nicht erforderlich.
In der IT sind Daten und Vertraulichkeit von größter Bedeutung. IT-Sicherheit hat zum Ziel, die Daten sicher und den Gerätepool unter Kontrolle zu halten. In der OT hingegen stehen die Sicherheit und Verfügbarkeit von Geräten und Prozessen im Vordergrund. Physische Systeme müssen stabile Betriebswerte wie Temperatur und Drehzahl einhalten, was eine sorgfältige Kontrolle und exakte Messungen erfordert. Ausfälle von Steuerungssystemen können zu Produktionsausfällen, Stromausfällen, Verkehrschaos oder sogar physischen Schäden führen. Ein Ransomware-Angriff, der den Betrieb blockiert, kann in der Schwerindustrie wirtschaftliche Schäden in Millionenhöhe verursachen. Während OT-Angriffe folgenreicher sein können, bietet die IT aufgrund der häufigeren Schnittpunkte zum Internet den Angreifern mehr Möglichkeiten, ins Netzwerk einzudringen. So kann jedes Gateway ein potenzieller Angriffspunkt für einen Hackerangriff sein.
Die geringere Anzahl von Gateways macht die OT vergleichsweise sicherer. Wenn es jedoch zu einem erfolgreichen Angriff kommt, sind die Folgen einer kompromittierten physischen Anlage oft dramatischer als bei einer Datenverletzung in einer IT-Umgebung. Bei kritischen Infrastrukturen könnten Stromausfälle oder eine Unterbrechung der Wasserversorgung die Folge sein.