OT-Sicherheit - Fortgeschrittene Angriffe abwehren

Industrielle Anlagen wie beispielsweise ICS und SCADA, welche unter den Begriff Operational Technology (OT) fallen, geraten immer häufiger in den Angriffsfokus von Hackern. Sie sind vergleichsweise einfache Ziele, da es sich meist um alte Anlagen mit schlechten oder nicht vorhandenen Sicherheitsvorkehrungen handelt. Diese können entweder als Brückenkopf für die Erkundung des Netzwerkes genutzt werden oder um die Anlagen selbst zu sabotieren und dem Unternehmen damit zu schaden. Auch Schutzgelderpressungen durch Ransomware sind denkbar. Durch die immer stärkere Vernetzung dieser Anlagen sind diese immer häufiger direkt über das Internet erreichbar. Der Fall NotPetya hat gezeigt, wie schwerwiegend ein solcher Angriff sein kann. So gehen die Logistikunternehmen TNT Express und Maersk beispielsweise von einem Schaden zwischen $200-300 Millionen aus. Zudem wurde erst kürzlich seitens Microsoft gemeldet, dass die international aktive Hackergruppe APT33 seinen Fokus auf industrielle Systeme gerichtet hat und derzeit bis zu 2000 Unternehmen pro Monat angreift.

Wie kann man sich gegen entsprechende Angriffe rüsten?

Eine einfache Antwort gibt es nicht. Aber mit dem richtigen Konzept lassen sich viele Angriffe vermeiden oder sogar umlenken.

Der Anfangspunkt ist die physikalische oder logische Segmentierung des OT Netzwerkes. Da viele Hersteller auf einen Wartungszugang zu den Anlagen bestehen von Außen bestehen, sollte der Zugriff auf diese nur über verschlüsselte VPN Verbindungen möglich sein. Auch Firewalls können mittlerweile viel zur Absicherung von der OT beitragen. Die Hersteller Fortinet und Stormshield bieten daher spezielle Schutzsignaturen und Profile für die Absicherung der OT an.

Nozomi Networks hingegen stellt eine Monitoring Lösung bereit, welche sich auf die OT spezialisiert hat. Dank Machine Learning ist das Trainieren der von Guardian auf die eigene OT-Umgebung denkbar einfach. Sollte ein Angriff auf den laufenden Betrieb erfolgen, löst Guardian automatisch Alarm aus. Falls eine Firewall von Fortinet im Einsatz ist, kann sogar automatisch eine Firewall Regel erstellt und die Verbindung des Angreifers sofort blockiert werden.

Zusätzlich kann auch eine Sandbox-Lösung integriert werden. Fortinet bietet hier eine Lösung an, welche sowohl komplett on-premise installiert werden kann oder als Lösung in der Cloud eingesetzt werden, wobei auch private Cloud-Instanzen möglich sind. Hier können sowohl vorgefertigte als auch personalisierte VM-Images verwendet werden, damit Sie ihr Umgebungsumfeld authentisch abbilden können.

Da es allerdings keine perfekte Sicherheit gibt, sollten auch proaktive Maßnahmen in Betracht gezogen werden. Um Angreifer möglichst früh in der Killchain zu entdecken, bietet sich der Einsatz eines sogenannten Honeypots an. Dieser simuliert ein vermeintlich einfaches Ziel und soll einen potentiellen Angreifer locken, dieses Ziel anzugreifen. Passiert dies, kann ein Angriff endeckt werden, noch bevor der eigentliche Angriff erfolgt. Hierfür bietet Fortinet den sogenannten FortiDeceptor an.

Alle genannten Lösungen lassen sich einzeln oder in Kombination einsetzen und problemlos in bestehende Sicherheitsstrukturen einbinden.

Sollten Sie Interesse an einer Lösung haben oder eine Teststellung wünschen, so können Sie uns gerne über Telefon, E-Mail oder unser Kontaktformular erreichen.

Die mit einem * markierten Felder sind Pflichtfelder.