Anzeige
Home   >   Management & Technologie   >   Chemiebranche braucht OT-Security-Strategie

Chemiebranche braucht OT-Security-Strategie

von am 12. Dezember, 2022

Die Vereinigten Staaten haben einen 100-Tage-Plan zur Verbesserung der Cyberabwehr in der chemischen Industrie vorgestellt – hinkt Europa hinterher? Mit dieser Frage beschäftigt sich Syed M. Belal, Global Director of Cybersecurity Consulting für den Geschäftsbereich Hexagon Asset Lifecycle Intelligence.

Cyberangreifer bewirkten nach Angaben des Bundeskriminalamts im aktuellen „Lagebild Cybercrime“ im vergangenen Jahr in Deutschland wirtschaftliche Schäden von gut 223,5 Milliarden Euro – und ein Ende des Trends nach oben ist nicht in Sicht.

Hochkarätige Attacken, wie 2021 der Ransomware-Vorfall bei Colonial Pipeline, haben für großes Aufsehen in der Branche gesorgt und die Behörden auf den Plan gerufen – nicht zuletzt, da den Betreibern nichts anderes übrigblieb, als das geforderte Lösegeld tatsächlich zu zahlen.

Zudem wurden beispielsweise seit Jahresbeginn in der Europäischen Union schon Angriffe auf sieben weitere Unternehmen allein im Öl- und Gas-Sektor gemeldet – und das sind nur die Meldungen von jenen Unternehmen, die ihre Angreifer rechtzeitig entdecken konnten.

Daten – auch für Kriminelle wertvoll

Der Übergang zu datengesteuerten Prozessen und die digitale Transformation haben die betriebliche Komplexität im letzten Jahrzehnt um ein Vielfaches erhöht. Und wir sind noch lange nicht am Ende der Fahnenstange angelangt: Jahr für Jahr werden mehr Anstrengungen unternommen, um Automatisierung, künstliche Intelligenz (KI), Machine Learning und natürliche Sprachverarbeitung in eigene Betriebsabläufe zu integrieren – was natürlich auch bessere Konnektivität bedingt, wollen Unternehmen Abläufe remote manuell kontrolliert oder gar vollständig automatisiert ablaufen lassen.

Aber nicht nur Unternehmer in der Chemiebranche wissen, wie wertvoll diese Daten sind – und welchen Wert sie deshalb auch für Cyberkriminelle haben, denen viele Türen offenstehen, um Informationen zu stehlen, Prozesse zu sabotieren, oder Ransomware-Attacken durchzuführen. Folglich konzentrieren sich Abwehrmaßnahmen auf den Schutz vor Verlust von Daten und lassen den Schutz von Betriebstechnologie (englisch Operational Technology, kurz OT) weitgehend außer Acht – was sich dringend ändern muss.

OT mittlerweile von außen angreifbar

Zu klassischen OT-Systemen zählen Endgeräte bzw. Komponenten eines Endgeräts, die sich in aller Regel mittels Modell-, Serien- oder Versionsnummer identifizieren lassen, also beispielsweise Hardware, Firmware und Software, die in einer entsprechenden Umgebung laufen.

Zu solchen Systemen gehören DCS, PLC und SIS, aber auch Vibrationsüberwachung, Systeme zur Feuer- und Gasaustrittsbekämpfung, Brennermanagementsysteme, fortschrittliche Prozesssteuerung, Turbinen- und Kompressorsteuerungen, Schutzrelais, intelligente Instrumentierung, Bediener- und Engineering-Stationen – und Schalter, Router, Firewalls.

OT-Systeme steuern die Produktionsmaschinerien eines Unternehmens und die für den Betrieb der Anlagen verwendeten Geräte. Traditionell arbeiteten diese Systeme isoliert von den IT-Systemen eines Unternehmens, was sie lange Zeit vor den meisten Cyberangriffen geschützt hat.

Ältere SCADA-Systeme waren nie dafür gedacht, gepatcht zu werden, haben keine Intrusion Detection oder sind nicht einmal durch Passwörter geschützt. Die Digitalisierung hat dafür gesorgt, dass diese Systeme nun auch zunehmend IT-gesteuert sind – und damit sind sie nun gefährdet für Angriffe von außen.

Die aktuelle Bedrohungslage

Da die Häufigkeit und das Ausmaß von Angriffen zunehmen, ist dies ein äußerst beunruhigendes – und schädliches – Versäumnis. Zumal die besten Praktiken im Bereich der Cybersicherheit heute von der Annahme ausgehen, dass ein Netzwerk längst kompromittiert wurde.

Und ein solches Risiko ergibt sich auch, und besonders dann, wenn IT- und OT-Systeme eng miteinander verknüpft sind. Im Fall der Colonial hatte sich beispielweise der Angriff primär gegen IT-Systeme gerichtet, doch bedrohte die eingesetzte Ransomware ebenfalls die OT-Infrastruktur. Obendrein konnten die OT-Prozesse nicht weiterlaufen, da das Abrechnungssystem des Unternehmens nicht verfügbar war.

Obwohl es sich also nicht einmal um einen direkten Angriff auf OT-Systeme handelte, war der gesamte Geschäftsbetrieb nicht weniger als sechs Tage lang offline, was die Ölversorgung in den Vereinigten Staaten vor echte Probleme stellte.

Ohne sinnvolle Abwehrmaßnahmen kann kompromittierte Operational Technology Unternehmen also unter Umständen schon innerhalb von wenigen Stunden zu Fall bringen – und dabei sind gesundheitliche oder Sicherheitsrisiken noch nicht einmal mit eingerechnet: Werden Sicherheitsmechanismen deaktiviert, könnte das Leben von Produktionsmitarbeitern auf dem Spiel stehen oder massive Umweltschäden das Resultat sein.

Was tun?

Die Inventarisierung aller Assets ist ein wichtiger erster Schritt zur Stärkung einer jeden Cybersicherheitslage, also aller OT- und ICS-Endpunkte. Herkömmliche, IT-zentrierte Security-Tools ermöglichen allerdings nur selten Transparenz und Management von Level-1- und Level-0-Geräten, während OT-Werkzeuge im Kern noch immer nicht für die modernen, vernetzten Abläufe ausgelegt sind – und herkömmliche IT-Sicherheitstools können die Vielfalt der Systeme, Software und Versionen nur schwer widerspiegeln.

Über diese erste Bestandsaufnahme hinaus benötigen Unternehmen einen integrierten Ansatz für ihre Cybersicherheit, der auch OT-Anlagen einschließt. Ein dreigleisiger Ansatz, der Cybersicherheit, Prozesssicherheit und Digitalisierung kombiniert, ist unerlässlich. Die meisten Betreiber befassen sich zwar schon mit Fragen in diesem Zusammenhang – aber nur separat und nicht integriert in einer kohärenten Strategie.

Diese Strategie ist weder einmalig noch ein Alles-oder-Nichts-Ansatz: Es handelt sich um einen kontinuierlichen Prozess, bei dem die OT-Anlagen überwacht werden müssen, um Konfigurationsprobleme zu identifizieren, Schwachstellen zu priorisieren und Entscheidungen auf der Grundlage von Risikobewertungen zu treffen.

Dadurch werden Nacharbeiten und Nachrüstungen vermieden, die Zeit und Ressourcen verbrauchen oder gar das allgemeine Sicherheitsrisiko erhöhen. Es ist sehr wahrscheinlich, dass zur Erreichung dieser Ziele neue Sicherheitstechnologien erforderlich sein werden, die über einfaches Netzwerk-Sniffing hinausgehen und ein vollständiges Inventar von Level-1-und Level-0-Assets und deren Konfigurationen liefern. Denn nach der Inventarisierung müssen die OT-Anlagen genauestens überwacht werden, um Konfigurationsprobleme zu erkennen und Schwachstellen zu priorisieren.

Letztlich ist die OT-Cybersicherheit die logische Fortsetzung der Strategie der digitalen Transformation: Zunächst geht es darum, Prozesse anzupassen, die nicht für das digitale Zeitalter erfunden wurden. Aber es geht auch darum, schrittweise eine stärkere Integration zu erreichen. Und für die chemische Industrie, wie auch für andere kritische Sektoren, ist eine angemessene Planung unter Berücksichtigung der Cybersicherheit unerlässlich.

Links:

https://hexagon.com/de/company/divisions/asset-lifecycle-intelligence

Nicht erst im Lichte des aktuellen Krieges in der Ukraine und der damit verbundenen Zerstörung der Nord-Stream-Pipelines wächst die Sorge um die Sicherheit wichtiger Infrastruktur. Doch obwohl vielen Unternehmen in der Branche bewusst ist, wie kritisch die Sicherheit von Anlagen und deren Steuerungssysteme (Industrial Control Systems, ICS) auch für ihre eigene wirtschaftliche Existenz ist, investieren sie zu wenig in den Schutz derselben. Echte Cybersecurity geht über die IT-Infrastruktur und die reinen Geschäftsanwendungen hinaus: der Schutz von Betriebstechnologie – Operational Technology, kurz OT –, von Equipment, Assets und auch Prozessen, die industrielle Anlagen kontrollieren und steuern, ist ebenso wichtig. Bild: Talpa auf Pixabay

Artikel per E-Mail versenden