Sicherung des industriellen Internets der Dinge

Obwohl Unternehmen Bemühungen um das industrielle Internet der Dinge planen und implementieren, ist der Begriff bedeutungslos für Sicherheitspraktiker, denn Industrial Internet of Things (IIoT) ist ein Konzept. Für Sicherheitsverantwortliche ist es schwierig, Konzepte zu schützen.

Das sagt Katell Thielemann, VP-Analyst bei Gartner Inc.

„[Sicherheitsexperten] müssen das Problem mit Besonderheiten angehen. Sie müssen verstehen, dass sie es mit cyber-physischen Systemen zu tun haben, die sehr spezifische Eigenschaften haben, und das Verständnis dieser Eigenschaften ist der Schlüssel zur Definition eines Sicherheitsansatzes“, sagte sie.

Allzu oft habe die Geschwindigkeit der Erstimplementierung Vorrang vor einer Sicherheitsstrategie, die den gesamten Lebenszyklus von Systemen umfassen sollte, sagte Thielemann. Zu viele Unternehmen bringen eine IT-zentrierte Sicht der Sicherheit in industrielle Umgebungen ein, wenn es um IIoT-Bemühungen geht.

Während die Security Operational Technology (OT) die Aufmerksamkeit und Sichtbarkeit der Aufsichtsbehörden auf Führungsebene gewinnt, ist die Fähigkeit, sie unter vollständiger Cyber-Sichtbarkeit und Schutz zu bringen sowie eine kontinuierliche Wachsamkeit zu gewährleisten, auf mehreren Ebenen eine Herausforderung, sagte Santha Subramoni, Global Head, Cybersecurity Dienstleistungen bei Tata Consultancy Services.

Auf der Basisebene ist die Bedrohungsoberfläche (oder der angreifbare Bereich) selbst komplex und vielfältig, was die Erkennung und Integration von Assets zu einer Herausforderung für die Sicherheitsarchitektur von Unternehmen macht, sagte Subramoni. Sensoren, Edge-Geräte, Konnektivität sowie zugehörige Daten, Anwendungen und Hosting-Ökosysteme sind der Kern des verteilten IIoT-Ökosystems.

Laut Subramoni gibt es eine erhebliche Prävalenz von Legacy-Technologien und die Verbreitung in sich geschlossener Netzwerke außerhalb der Netzwerkgrenzen von Unternehmen. Und die fehlende Sichtbarkeit der Endpunkte schränkt die Möglichkeit ein, vorbeugende Maßnahmen zu ergreifen.

„Unternehmen müssen einen Katalog von Schwachstellen auf mehreren Ebenen erkennen und führen und das Wissen und die dafür erforderliche Technologie innerhalb des industriellen Ökosystems pflegen, das in der Regel noch zu einer überschaubaren Größe und Zuverlässigkeit ausgereift ist“, sagte Subramoni.

Wie ein Baustoffhersteller das IIoT sichert

Der Baustoffhersteller HIL Ltd. hat den ersten Schritt auf seinem Weg der Digitalisierung und der Implementierung von IIoT unternommen, als er in vier seiner Produktionsstätten in Indien die digitale Shopfloor-Technologie eingeführt hat, sagte Murali Raj, Chief Information Officer von HIL. Der digitale Shopfloor verbindet alle Maschinen zu einem Netzwerk und optimiert so Effizienz und Qualität.

„Jetzt gehen wir in die nächste Phase der vorausschauenden Wartung über“, sagte Raj. „Also machen wir POCs [Proofs of Concepts] zur vorausschauenden Wartung und wir machen auch POCs zur vorausschauenden Qualität. Wir müssen uns also auch um die Sicherheitsmaßnahmen kümmern.“

In der Werkstatt werden Maschinenparameter in Echtzeit durch Sensoren, speicherprogrammierbare Steuerungen (SPS) und Überwachungs- und Datenerfassungssysteme (SCADA) erfasst. Die Daten werden dann über das IT-Netzwerk von HIL in die Cloud übertragen, wo sie in Echtzeit analysiert werden, sagte Raj. Darüber hinaus generiert das System sofortige Warnungen, mit denen das Betriebsteam Korrekturmaßnahmen ergreifen kann.

„Früher existierten die SCADA-Systeme als Insel, die nicht mit dem Internet verbunden war“, sagte Raj. „Wenn Sie also Ihre Fertigungsmaschinen und darüber hinaus Ihre SPS haben, agierten sie gemeinsam im Kontrollraum, wo der Supervisor den gesamten Fertigungsprozess kontrollierte. Jetzt müssen diese Daten das Netzwerk verlassen.“

Folglich musste HIL auf der IT-Seite Firewalls implementieren, um eine sichere Verbindung zum Internet herzustellen. Um seine Edge-Geräte und Sensoren zur Datenübertragung mit dem Internet zu verbinden, habe das Unternehmen sichergestellt, dass diese Geräte den entsprechenden Sicherheitsstandards entsprachen, sagte Raj. Und HIL musste auch sicherstellen, dass seine Software und Firmware regelmäßig gepatcht und aktualisiert wurden.

Nach der Auseinandersetzung mit der Technik hat sich HIL auch mit Menschen und Prozessen befasst.

„Zuvor haben die Wartungsingenieure, Elektroingenieure, die SCADA und SPS und die Anlage steuern, nicht einmal mit unseren IT-Ingenieuren, Netzwerkingenieuren oder dem Leiter interagiert, der sich um die Sicherheit des Unternehmens kümmerte“, sagte Raj.

Jetzt müssen diese Teams zusammenkommen, sich verstehen und einen Prozess einführen, um über die Geschehnisse in ihren Bereichen auf dem Laufenden zu bleiben, sagte er. HIL schulte auch einige seiner IT-Ingenieure in OT und OT-Sicherheit und bat das Werksteam, zumindest ein Bewusstsein für Cybersicherheit zu haben.

„Wir haben auch eine externe Perspektive eingebracht, bei der EY und Deloitte uns geholfen haben, einen Rahmen für das Verständnis von IT und OT zusammenzustellen“, sagte Raj. „Da diese Fähigkeit intern innerhalb der Organisation nicht vorhanden war, hilft es manchmal, eine externe Perspektive einzubringen.“

An der Prozessfront sorgte HIL dafür, dass IT-Sicherheitsmaßnahmen wie Rollenberechtigungen, Passwort-Resets, Benutzerzugriffe auch auf der OT-Seite eingehalten wurden.

„Das Werksteam, das an solche strengen Verfahren nicht gewöhnt war, musste sie also akzeptieren“, sagte er.

Stellen Sie sicher, dass kritische Geräte/Assets streng geschützt sind

Obwohl Angriffe auf das IIoT weniger verbreitet sind als IT-Angriffe, können ihre Folgen dennoch enorm sein, darunter Produktionsausfälle, Umsatzeinbußen, Datendiebstahl, erhebliche Geräteschäden, Industriespionage und sogar Körperverletzung, sagte Asaf Karas, Mitbegründer und Chief Technology. Officer bei Vdoo, einem Anbieter von automatisierter Cybersicherheit für vernetzte Geräte und IIoT.

Daher reicht es nicht aus, die Anzahl der Angriffe statistisch zu reduzieren, sondern sicherzustellen, dass kritische Geräte und Assets sofort nach ihrer Produktionsaufnahme umfassend geschützt sind, sagte er.

Karas bot einige Ansätze an, um Unternehmen bei der Verbesserung ihrer IIoT-Sicherheit zu unterstützen:

• Übernehmen Sie Risiko- und Bedrohungsmanagementprozesse, die für ihre Branchenumgebungen spezifisch sind.
• Stellen Sie vor der Bereitstellung neuer Geräte sicher, dass diese durch das Design gesichert sind und keine ausnutzbaren Schwachstellen von Erst- oder Drittanbietern im Gerätecode oder in der Konfiguration gefunden werden.
• Verwenden Sie nach der Bereitstellung Asset-Management-Tools, um relevante Industrieanlagen zu entdecken und zu identifizieren
• Implementieren Sie Endpoint Runtime Application Agents, die speziell für diese Geräte entwickelt wurden, um kontinuierliche Überwachung und Schutz zu gewährleisten.

Hyper-Konnektivität verwalten

Die größte Herausforderung vieler Geräte besteht heute darin, dass sie nicht im Hinblick auf Cybersicherheit entwickelt wurden, sagte Kyle Miller, Direktor/Direktor von Booz Allen Hamilton. Sie laufen häufig mit vereinfachten Legacy-Betriebssystemen in Echtzeit, die nicht das gleiche Sicherheitsniveau wie herkömmliche IT-Systeme unterstützen. Infolgedessen haben sie das Potenzial, die Angriffsfläche eines Unternehmens ziemlich stark zu erhöhen, sagte er.

Jetzt werden diese Geräte in vielen Fällen aufgefordert, sich direkt von den Industrienetzwerken mit dem Unternehmensnetzwerk mit dem Internet und der Cloud zu verbinden, sagte Miller.

„[Es ist wichtig], diese Hyper-Konnektivität, die Datenflüsse und den Aufbau wirklich zu verwalten. . . eine Zero-Trust-Umgebung, in der Sie wirklich verwalten, mit was dieses Gerät kommunizieren kann und was nicht, und im Falle eines Kompromisses seinen Explosionsradius wirklich begrenzen können“, sagte er.

Vor der Implementierung von IIoT-Systemen sollten Unternehmen auch ein gutes Verständnis dafür haben, welche Arten von Risiken sie eingehen, sagte David Forbes, Principal/Director, Booz Allen Hamilton.

Um dieses Verständnis zu erlangen, muss ein Unternehmen die aktuelle Sicherheitslage seiner Anbieter, der Lösungen und der Softwareimplementierung sowie der Geräte, die es in seinem IIoT-Netzwerk implementiert, kennen, sagte Forbes.

Wenn ein Unternehmen beispielsweise Technologien von Drittanbietern implementiert, muss es den Anbietern Fragen stellen wie:

• Haben sie ihre eigene Software auf einer sicheren Plattform entwickelt?
• Verwenden sie bei Bedarf verschlüsselte Kommunikation?
• Gibt es Zugriffskontrollfunktionen?

„Das ist sehr wichtig, um das Risiko zu verstehen und wie Sie bereitwillig die Bedrohungslandschaft Ihres Netzwerks ändern, indem Sie diese IIoT-Systeme übernehmen“, sagte Forbes.

Unternehmen müssen sicherstellen, dass diese IIoT-Geräte und -Systeme gegebenenfalls von anderen IT- und OT-Netzwerken getrennt werden, sagte er. Diese Geräte sollten streng kontrolliert werden, um sicherzustellen, dass sie geschützt bleiben, aber auch, damit ein Angriffsvektor keinen Zugriff auf einen anderen schafft.

Unternehmensbezogene Cyber-Hygiene

"Das sind organisatorische Dinge", sagte Forbes. „Ich denke wirklich, was wir sehen, und wenn man sich die Ergebnisse einiger dieser Verstöße und Angriffe ansieht, geht vieles auf die Cyberhygiene und Disziplin der Organisation und auf Protokolle zurück, die möglicherweise eingeführt wurden oder nicht beginne mit.“

Industrielle Umgebungen sind eine neue Grenze für schlechte Akteure und alles deutet darauf hin, dass sie zunehmend auf diese Umgebungen abzielen.

Im Jahr 2020 gab es laut Thielemann einen deutlichen Anstieg von Schwachstellen und Bedrohungen, die auf industrielle Umgebungen abzielen. Und es ist nicht verwunderlich, wenn man bedenkt, dass Unternehmen Wert durch operatives Handeln schaffen.

„Ob für Industriespionage oder Ransomware-Versuche, diese Umgebungen sind für die meisten Unternehmen die Kronjuwelen“, sagte sie. „[D]hier geht es nicht um Sicherheits-Compliance; Es geht um die Widerstandsfähigkeit des Unternehmens.“

Um diese Herausforderungen zu bewältigen, müssen Unternehmen die wichtigsten Merkmale der in Betracht gezogenen IIoT-Bemühungen verstehen, sagte Thielemann. Zum Beispiel:

• Welche Geschäftsergebnisse werden mit den Bemühungen angestrebt?
• Wo werden die IIoT-Systeme bereitgestellt?
  • Wer hat Zugriff darauf, sowohl in der physischen als auch in der Cyberwelt?
  • Wie werden sie aufgebaut?
• Welche Sicherheitslösungen werden eingebettet sein oder müssen mehrschichtig sein?
• Müssen Anbieter für Wartungsarbeiten oder Upgrades remote vor Ort sein?
• Werden Datenströme durch bestehende Netzwerke geleitet? Kabellos?

„Unternehmen müssen die IIoT-Bemühungen über den Lebenszyklus hinweg betrachten“, sagte sie. „Vom Anforderungsdesign über den Einkauf, die Bereitstellung, Wartung und Stilllegung müssen Sicherheitsüberlegungen bei jedem Schritt berücksichtigt werden.“

Sicherheitsverantwortliche müssen erkennen, dass sich industrielle Umgebungen stark von unternehmenszentrierten IT-Umgebungen unterscheiden, sagte Thielemann. Überlegungen zu physischen Standortbeschränkungen, Betriebsfestigkeit oder sogar Sicherheit müssen beispielsweise Teil der Sicherheitsstrategie sein. Unternehmen müssen ihre IT-zentrierten Sicherheitsansätze ändern, um diese Umgebungen sowie ihre Ansätze für Patches, Überwachung und Authentifizierung zu berücksichtigen.

In der Regel liegt das IIoT eher im Zuständigkeitsbereich der Entwicklungs- und Produktionsabteilungen als der IT, sagte Subramoni.

„Allerdings muss die Transformation zusammen mit der technologischen Modernisierung organisiert und überwacht werden“, sagte sie. „Die meisten Unternehmen werden vertrauenswürdige Technologie- und Systemintegrationspartner benötigen, um bei Bedarf zu skalieren und die Kosten für den Schutz industrieller Systeme zu verwalten. Dies ist ein sich schnell entwickelnder Bedarf und die Technologie-Community stellt sich auf die Herausforderung ein.“