Die Anzahl der Angriffe auf IT-Netzwerke generell und OT-Infrastrukturen (Operational Technology) im Speziellen hat in letzter Zeit signifikant zugenommen. Es vergeht fast kein Tag, an dem man nicht nur in Fachmedien über derartige Vorfälle lesen kann. Die Angriffe auf IT-Netzwerke reichen von DDos-Attacken, wobei zum Beispiel generell Leitungen überlastet werden, bis hin zu Ransomware Attacken, bei denen unternehmenskritische Daten von den Angreifern verschlüsselt werden und kriminelle Erpressung im Spiel ist.
Angriffe auf OT Netzwerke sind perfider: Sie zielen meist auf sogenannte kritische Infrastrukturen ab und haben somit direkt Einfluss auf das Leben von Menschen, die von diesen abhängig sind.
Ein gutes Beispiel sind hier die andauernden Attacken auf die Wasserversorgung in Nordamerika [1]. Bei Industriebetrieben bedeutet dies meistens einen Stillstand der Produktion. Dies führt zu enormen finanziellen Schäden, aber auch zu Imageschäden für die betroffenen Unternehmen.
OT Netzwerke haben den Nachteil, dass sie historisch gewachsen und meistens von Fremdfirmen geplant worden sind. Dadurch sind Veränderungen, wie zum Beispiel Patches, nur sehr schwer installier- und umsetzbar.
Diese Netzwerke sind „flach“, der Datenstrom meist unverschlüsselt, und sie sind dadurch sehr anfällig für die unkontrollierte Ausbreitung von Schadsoftware (Lateral Movement). Ähnlich wie in IT-Netzwerken müsste man reglementieren und segmentieren, aber wie?
Ein erster Schritt wäre eine sogenannte „Einfache Segmentierung“ – oder für die Netzwerker: auf Basis Layer 3. Man kann hier zwar noch nicht von sicherer Segmentierung sprechen, aber es ist ein Beginn. Firewalls, die ICS/SCADA Protokolle nativ beherrschen, sollten zum Einsatz gebracht werden.
Sie trennen IT von OT, bilden DMZ Segmente und können auch zur Absicherung von ICS Netzwerken dienen. Diese „Micro-Segmentierung“ ist flexibel, schottet verschiedene Produktionssysteme gegeneinander ab und verhindert so globale Auswirkung bei Angriffen.
Um OT Segmentierung richtig planen und durchführen zu können, muss natürlich zuerst eine gewisse Visibilität im OT Umfeld vorhanden sein.
Eine aktuelle Bestandsliste mit Softwareständen, dokumentierten Schwachstellen und eine Kommunikationsmatrix (→ Wer spricht mit wem über welche Protokolle?) ist eine zwingende Voraussetzung, um erfolgreich eine sichere Segmentierung in einem OT Netzwerk durchzuführen.
Quellen
[1] https://www.wired.com/story/water-supply-hackers-ios-zero-day-navy-spy-security-news/
Weitere Beiträge zu diesem Thema
Visibility in Ihrem OT-Netzwerk, aus Anovis-Blog, veröffentlicht am 28.06.2021