Hindernisse bei der Einführung von OT/ICS in die Cloud

 

Zum besseren Verständnis, wie diese Hindernisse beseitigt werden können, hat Belden eine Gruppe von Sicherheitsexperten zu einigen der wichtigsten Hindernisse im Bereich OT/ICS befragt. Die Antworten sind im Folgenden aufgeführt. 

 

Tobias Heer | Leitender Architekt im Bereich F&E bei Belden

 

Zweifellos werden Cloud-Dienste in zukünftigen Industrienetzwerken eine immer wichtigere Rolle spielen. Die sichere Integration eines Cloud-Dienstes oder sogar mehrerer Cloud-Dienste in eine OT-Umgebung kann jedoch verschiedene Herausforderungen für die Netzwerkarchitektur und das Sicherheitskonzept mit sich bringen. Besonders schwierig ist, dass die Cloud-Verbindung oft mit IoT-Geräten und -Systemen gebündelt wird, sodass sie sich in Fertigungsnetzwerke einschleichen kann. 

 

Je tiefer die Ebene der integrierten Cloud-Dienste ist (siehe die Ebenen 0 bis 2 des Purdue-Referenzmodells, d. h. die Produktionszellen), desto stärker müssen die bewährten und wirksamen Sicherheitsmechanismen angepasst werden. Das Zonen- und Leitungskonzept, das ein industrielles Netzwerk in fein abgestufte und weitgehend isolierte Bereiche unterteilt, muss speziell angepasst werden, um den Weg für Geräte auf Feldebene zu ebnen, damit sie mit einer lokalen oder globalen Cloud kommunizieren können. Daher müssen sowohl die Firewall- als auch die Überwachungsrichtlinien überprüft oder neu festgelegt werden. 

 

Die zusätzliche Verbindung mit IT-Netzwerken oder sogar dem Internet erfordert auch ein aktuelles Patch- und Schwachstellenmanagement, um die Möglichkeit zu minimieren, dass Angreifer und Malware in die unteren Schichten eines industriellen Netzwerks vordringen. Das Gleiche gilt für Angriffserkennungssysteme und SIEM-Systeme. Unternehmen, die bereits über ein entsprechendes Sicherheitskonzept verfügen, sind hier im Vorteil. 

 

Abschließend muss ein klar festgelegter und gut dokumentierter Prozess zur Integration von Cloud-Diensten und IoT-Geräten, die Cloud-Dienste benötigen, eingeführt werden. Die Erhaltung sicherer und aktueller Informationen ist nahezu unmöglich, sobald unzulässige oder schlecht verwaltete Cloud-Verbindungen an verschiedenen Stellen in einer Anlage entstehen. Ohne einen umfassenden Überblick über zulässige und tatsächlich genutzte Cloud-Dienste und industrielle IoT-Geräte, die diese nutzen, ist die Gewährleistung einer angemessenen Überwachung, eines Schwachstellen- und Patch-Managements sowie einer angemessenen Reaktion auf Vorfälle zum Scheitern verurteilt. Die Cloud stellt die Zukunft für viele innovative Funktionen in modernen IoT-Netzwerken dar. Der Preis dafür ist jedoch eine geringere Kontrolle und Segmentierung, die durch andere Sicherheitsmaßnahmen ausgeglichen werden muss.

 

Ben Jackman | Strategic Account Manager bei Tripwire

 

Das Hauptproblem, auf das ich zunächst hinweisen möchte, ist das Purdue-Referenzmodell. Einige Kunden bestehen immer noch darauf, dass ihr ICS „Air Gap“ ist, obwohl wir wissen, dass dies in 99,9 % aller Fälle ein Irrtum ist. Nach dem Purdue-Referenzmodell befindet sich die ICS/OT-Umgebung mehrere Schichten von Firewalls und Netzwerken vom öffentlichen Internet (d. h. von Cloud-Diensten) entfernt. 

 

Das zweite Hindernis ist die Meinung, dass die Cloud unsicher ist oder Ihr OT/ICS für weitere Sicherheitsschwachstellen öffnet und Ihre Angriffsfläche vergrößert. Technologien wie SDN ermöglichen eine konvergente Architektur als Option im Gegensatz zum Purdue-Referenzmodell.

 

Argiro Birba | Senior Manager, Gewährleistung der Cybersicherheit bei ADACOM Cybersecurity 

 

Die Einführung von Cloud-Lösungen für OT/ICS-Umgebungen gilt als revolutionärer Schritt hin zur vollständigen Remote-Verwaltung dieser Umgebungen. Vor allem während der Pandemie erwies sich die Verwaltung von Industriesystemen vor Ort als Herausforderung, weshalb viele Unternehmen den Schritt wagten und die genannten Lösungen für die Verwaltung ihrer Systeme von zu Hause aus nutzten. Der Übergang zur Cloud mag den Eindruck vermitteln, dass wir dabei sind, eine Büchse der Pandora zu öffnen, die zusätzliche Angriffsflächen für schädliche Benutzer bietet, die diese identifizieren und ausnutzen können. 

 

Laut einer im Juli letzten Jahres veröffentlichten Studie von Team82 von Claroty kann der unbefugte Cloud-basierte Zugriff auf Managementsysteme die OT/ICS-Infrastruktur vollständig gefährden. Interessanterweise kann der Erstzugriff nun über Social-Engineering-Techniken erfolgen, eine Angriffskategorie, die nach der Einführung von Cloud-basierten Diensten in OT/ICS-Umgebungen mit Air Gag eingeführt wird. 

 

Darüber hinaus wurde eine Reihe von CVE für Schwachstellen ermittelt, die in den Cloud-basierten Remote-Management-Plattformen entdeckt wurden – die kritischste ist die Remote-Befehlsausführung. Viele weitere Fälle von kritischen Schwachstellen wurden veröffentlicht und werden in Zukunft veröffentlicht werden, wodurch sich Fragen nach dem Risiko für die Datensicherheit und die Einhaltung von Vorschriften stellen. 

 

Da dieses Phänomen des Zusammenspiels und der Ausnutzung neuer Schwachstellen in OT/ICS-Umgebungen, die über Cloud-basierte Dienste verwaltet werden, in absehbarer Zeit nicht aufhören wird, müssen sowohl von Anbietern als auch von Kunden geeignete Maßnahmen ergriffen werden. Den Anbietern wird die Erstellung eines Patch-Management-Programms empfohlen, damit Patches/Fixes schnell an die Kunden geliefert werden, während die Kunden ihre Sicherheitsrichtlinien überarbeiten und damit beginnen sollten, die Sicherheit von OT/ICS-Umgebungen umfassend zu berücksichtigen (genauso umfassend wie die Funktionalität und Verfügbarkeit).

 

Patrick C. Miller | CEO und Eigentümer von Ampere Industrial Security

 

Da die cyberphysischen Schnittstellen (Endpunktsensorik, Betriebs- und möglicherweise erste Telemetriegeräte) vor Ort sein müssen, sind die unmittelbaren Cloud-Optionen in erster Linie für die Managementsysteme und aggregierten Betriebsumgebungen gedacht. Weitere Möglichkeiten sind die Speicherung großer oder langfristiger Datenmengen und die Analyse, da die Digitalisierung von Umgebungen immer weiter zunimmt. 

 

Eine stärkere Digitalisierung wird zu betrieblichen Vorteilen führen und zusätzliche Einnahmen aus den analytischen Datenprodukten generieren, die aus ihren Rohdaten erstellt werden. Die Lizenzierung und Wartung dieser Plattformen kann sehr teuer sein. Für einige der kleineren Betriebe kann es kostengünstiger sein, eine gemeinsam genutzte oder virtualisierte Verwaltungsplattform als Service zu erwerben. Für größere Unternehmen kann es kostengünstiger sein, für die potenziell unbegrenzte Kapazität der in der Cloud verfügbaren Ressourcen zu bezahlen. 

 

Die Herausforderungen bei der Wahl von Cloud-Lösungen sind im Prinzip die gleichen wie bei On-Premise-Lösungen – Sicherheit und Zuverlässigkeit. Der Unterschied besteht vielmehr in der fehlenden direkten Kontrolle über diese Risikofaktoren. Zusicherungen können im Rahmen von Verträgen, Zertifizierungen, Normen, Audits usw. gegeben werden, sie entziehen sich jedoch im Wesentlichen Ihrer direkten Kontrolle. 

 

Außerdem handelt es sich bei vielen ICS- und OT-Umgebungen um kritische Infrastrukturen. Viele dieser kritischen Infrastrukturen werden auf unterschiedliche Weise reguliert, gegebenenfalls auf nationaler, regionaler oder lokaler Ebene – rund um den Globus. Viele dieser Vorschriften werden gerade erst an die Cloud-Optionen für diese Technologien angepasst (oder sind noch nicht angepasst), sodass die Möglichkeit der Nutzung von Cloud-Lösungen erheblich eingeschränkt sein kann. Einige ICS/OT-Funktionen in der Cloud sind unabdingbar, doch die Sensibilität der Systeme und Daten sowie die Bedenken im Hinblick auf die Verfügbarkeit (einschließlich Latenzzeiten), eingebettet in ein komplexes Regelwerk, können dazu führen, dass der Fortschritt nur langsam erfolgt.

 

Jason Louviere | Senior Technical Product Manager bei Tripwire

 

Das größte Hindernis für die Einführung der Cloud für OT/ICS-Umgebungen sind Angst und Unsicherheit. Die Sorge entsteht durch die Notwendigkeit, eine Art von konsistenter Verbindung zur Außenwelt für ihre industriellen Umgebungen aufzubauen, selbst wenn die Ports in der Firewall nur für ausgehende Verbindungen offen sind. Ich bin der Ansicht, dass diese Sorge durch die Einführung von Tools wie Prosoft von Belden ausgeräumt werden kann, mit denen ein verschlüsselter Tunnel zwischen den industriellen Netzwerken und Anwendungen wie Tripwire Anywhere eingerichtet werden kann. 

 

Die Ungewissheit ist schwieriger zu überwinden und hängt mit der Sicherheit zusammen, aber nicht so, wie wir denken. Die meisten mittelgroßen bis großen Industrieanlagen wie zum Beispiel in der Landwirtschaft, der chemischen Industrie und im verarbeitenden Gewerbe, sind üblicherweise 24 Stunden am Tag im Einsatz. Der Zugriff auf diese Netzwerke und Systeme ist jedoch stark eingeschränkt. Der Aspekt, dass das Personal oder das System eines anderen Unternehmens ständigen Zugriff auf diese industriellen Prozesse hat und mit ihnen kommuniziert, insbesondere über Fernzugriff, birgt die Gefahr, dass der Prozess durch nicht kontrollierte Variablen unbeabsichtigt beeinflusst und sogar abgeschaltet wird. Sie können entweder durch die Sättigung ihrer Netzwerkbandbreite mit Scans und Datenübertragungen oder durch die versehentliche Abschaltung eines Systemprozesses abgeschaltet werden, sodass die Kosten für den Neustart und die Erstattung der verlorenen Produkte in die Millionen gehen können. 

 

Unternehmen wie Belden und Tripwire verfügen über die Technologie zur Absicherung von Datentransaktionen und können den Bandbreiten- und Ressourcenverbrauch bei diesen technischen Transaktionen begrenzen. Sie vermittelt dem Kunden diese Fähigkeit und liefert den Beweis dafür, dass unser Produkt kein Risiko für die industriellen Systeme des Kunden darstellt, während wir diese schützen. Meiner Meinung nach dürfte dieser Punkt insbesondere für kleine und mittelständische Kunden die größte zu überwindende Hürde darstellen.

 

Markus Bloem | Industrial Sales Engineer von Tripwire

 

In erster Linie hat das Cloud Computing für die Industrie an Bedeutung gewonnen. Viele Unternehmen, die auf die Cloud umstellen, müssen sich zwischen einer One-Cloud-Strategie und einer Multi-Cloud-Strategie entscheiden. One-Cloud bedeutet nur einen Anbieter und Multi-Cloud bedeutet mehrere Anbieter. Daher gibt es keine Bindung an einen einzigen Anbieter – das sogenannte Vendor-Lock-in. 

 

Die Argumente für Unternehmen zur Nutzung der Cloud sind Kosteneinsparungen, Outsourcing und mehr Flexibilität bei der Arbeit. Auch die Sicherheit ist ein wichtiger Faktor und ein Hindernis für die Einführung der Cloud. Zu den Sicherheitsaspekten der Cloud gehören Daten und Datenschutz, Compliance und Datenverlust oder ein Angriff über Schwachstellen in der Cloud. Die meisten Unternehmen fürchten Angriffe und weit verbreitete Formen der Wirtschafts- und Industriespionage. 

 

Oft fehlen den Unternehmen Ressourcen und Fachwissen über Datenschutz und Compliance-Richtlinien, sodass sie hier keine Risiken eingehen möchten. Auch der zunehmende Fokus auf internationale Normen wie ISO 27001/IEC 62443 macht Fortschritte, wodurch die Unternehmen eine Vielzahl von Vorschriften befolgen und ihr Umfeld bewerten müssen.

 

Tim Erlin | VP of Strategy bei Tripwire

 

Es existieren viele Arten von Industrieunternehmen. Daher erweisen wir der Industrie einen schlechten Dienst, wenn wir sie pauschal zusammenfassen und versuchen, zu verallgemeinern. Anhand einiger Beispiele, wie z. B. einem Stromversorger, einem Fertigungsbetrieb und einer Wasseraufbereitungsanlage, werden die Unterschiede schnell deutlich. Es gibt klare betriebliche Unterschiede, doch konzentrieren wir uns vielmehr auf die Frage der Cloud-Einführung. Natürlich hat jedes dieser Unternehmen sowohl OT- als auch IT-Umgebungen. Und in den meisten Fällen sind ihre IT-Umgebungen nicht von der Cloud-Einführung ausgeschlossen. 

 

Die größte und folgenreichste Einschränkung für Stromversorgungsunternehmen ergibt sich aus der NERC-Norm zum Schutz kritischer Infrastrukturen (CIP). Vereinfacht ausgedrückt, macht NERC CIP die Einführung von Cloud-Diensten in ihren OT-Umgebungen praktisch unmöglich. Wenn Sie mit NERC CIP zu tun haben, werden Sie wahrscheinlich mit Ungläubigkeit auf diese letzte Aussage reagieren. Gewiss gibt es Fälle, in denen die Einführung von Cloud-Diensten nicht grundsätzlich unmöglich ist, aber aufgrund der Kombination aus dem Prüfungsaufwand, dem Mangel an Beispielen für die Cloud-Nutzung in Versorgungsunternehmen und dem Fehlen von Cloud-Diensten, die für Stromversorgungsunternehmen konzipiert sind, ist es im Prinzip unmöglich. 

 

Bei einem Fertigungsbetrieb bestehen weitaus weniger Hindernisse. Da es in der Fertigung häufiger um Gewinn und Effizienz geht, bieten Cloud-basierte Dienste eine gute Grundlage, die für die Einführung spricht. Falls die Einführung eines Cloud-Dienstes die Leistung steigern, Ausfallzeiten minimieren oder sich anderweitig positiv auf die Fertigung auswirken kann, besteht eine gute Chance auf die Einführung. Das bedeutet nicht, dass es keine organisatorischen Hindernisse zu überwinden gibt, sondern eher, dass diese voraussichtlich leichter zu überwinden sind. 

 

Abschließend erhielten wir alle einen genaueren Einblick in die in Wasseraufbereitungsanlagen eingesetzte Technologie, als in Oldsmar, FL, ein Angreifer aus der Ferne es beinahe schaffte, die Einstellungen der Wasseraufbereitung zu verändern. In diesen Fällen handelt es sich um Anlagen, die noch nicht optimal auf die Cloud vorbereitet sind. Und ehrlicherweise hat die Branche bisher keine wirklich überzeugenden Produkte bereitgestellt. Die Wasser- und Abwasserwirtschaft steht nicht unbedingt an erster Stelle auf der Liste der Zielkunden von Technologieunternehmen, doch gehört sie zweifellos zu unserer kritischen Infrastruktur. 

 

Hierbei handelt es sich lediglich um drei Beispiele aus Industrieunternehmen, jedoch existieren noch viele weitere Teilsegmente, die ihre eigenen Herausforderungen und Hindernisse zu bewältigen haben. Die Einführung der Cloud ist im Prinzip unumgänglich, wird aber in den verschiedenen Industrieunternehmen unterschiedlich schnell erfolgen.

 

Wenn Sie mehr über die potenziellen Vorteile der Cloud im OT/ICS-Bereich erfahren möchten, klicken Sie hier.