von Redaktion IT-A…
Lesezeit
3 Minuten
Datensicherheit in OT-Umgebungen
Mehr als 40 Prozent aller Cyberangriffe auf Unternehmen erfolgen innerhalb der Firewall durch Innentäter. Immer öfter sind auch industrielle Produktionsanlagen das Ziel. Air-Gapped-Netzwerke bieten hier zwar einen guten Schutz, werden jedoch immer seltener. IT und OT nutzen zunehmend die gleichen Standards und Infrastrukturen, was den Einsatz intelligenter Cybersecurity-Tools, etwa von Datenschleusen, notwendig macht. Sie sorgen nicht nur für stabile IT-Systeme, sondern schützen sensible OT-Bereiche über mobile Speichergeräte wirksam vor Cyberattacken.
In Deutschland entfällt rund ein Viertel der gesamten Wertschöpfung auf das produzierende Gewerbe. Doch gerade im KMU-Umfeld hat der Grad der Digitalisierung und Vernetzung noch beachtliches Potenzial. Eines der Hemmnisse, die Unternehmen davon abhalten, die Digitalisierung weiter voranzutreiben, ist das Thema Cybersecurity. Dies ist kein Wunder, gelten viele deutsche Industrieunternehmen weltweit als Experten auf ihrem Gebiet, was aber längst nicht in jedem Fall auch für den Bereich Cybersicherheit in der Operational Technology (OT) gilt. Ein Garant für einen zuverlässigen Schutz vor Angriffen auf Produktionsanlagen, und somit für eine hohe Verfügbarkeit, sind immer noch physisch getrennte Produktionsumgebungen (air-gapped). Doch diese werden seltener und IT und OT nutzen zunehmend die gleichen Standards und Infrastrukturen. Trotzdem hängt die OT bei der IT-Sicherheit allgemein noch hinterher.
Malware kommt immer öfter zu Fuß
Eine Studie das SANS-Instituts aus 2018 zeigt, dass 25 Prozent aller Cyberangriffe auf Unternehmen auf Beschäftigte zurückzuführen sind. Weitere 16 Prozent entfallen auf zu gering abgesicherte Serviceprovider. Somit erfolgen also insgesamt 41 Prozent aller Attacken innerhalb der Firewall. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt mit dem Defense-in-Depth-Ansatz sowohl einen Perimeterschutz (Abschottung nach Außen) als auch eine interne Unterteilung der Produktion in abgeschottete Zonen. Gerade Innentätern und Serviceprovidern ist mit herkömmlichen Maßnahmen zur Cybersicherheit nicht beizukommen. Hier rät das BSI zur Einführung spezieller technischer und organisatorischer Maßnahmen.
Neben all den möglichen Bedrohungsszenarien für Cyberangriffe geht von analogen Vektoren weiterhin Gefahr aus. Malware kann heute über mit Mikrochips manipulierte Kabel, aber auch über infizierte USB-Sticks von Mitarbeitern und Servicetechnikern problemlos die Firewall umgehen. Auch isolierte Produktionsumgebungen werden aus nachvollziehbaren Gründen nicht gegen mobile Speichergeräte abgeschottet, sind doch Maschinen und Anlagen in der Regel mit USB-Schnittstellen für Wartung, Updates und Datenauswertung ausgestattet. Ähnlich wie bei den Sicherheitsüberprüfungen an Flughäfen helfen hier sogenannte Datenschleusen, auch Wechseldatenträgerschleusen genannt.
Erstmal durch die Datenschleuse
Besucher und Servicetechniker, die einen sensiblen IT- oder OT-Bereich betreten wollen, müssen mitgebrachte Datenträger auf Sicherheitsrisiken überprüfen lassen. Dies geschieht mittels Datenschleusen, das heißt physische Kiosksysteme, die die von Besuchern und Servicetechnikern mitgebrachten mobilen Speichergeräte durchleuchten, also auf Malware überprüfen. Dies geschieht zudem idealerweise unter Aufsicht des eigenen Betriebspersonals. Hauptbestandteil einer professionellen Datenschleuse ist ein sogenannter Antimalware-Multiscanner. In ihm werden mehrere Antiviren-Engines gebündelt. Dies bedeutet, dass ein mitgebrachtes Speichergerät nicht nur mit einer einzigen Antiviren-Engine, sondern, je nach Hersteller, mit bis zu 35 AV-Lösungen überprüft wird. Bei tagtäglich über 300.000 neue Malware-Varianten ist das laut BSI auch dringend ratsam.
Um die Wartezeit für den Besucher während des Scanvorgangs mit dem Antimalware-Multiscanner so gering wie möglich zu halten, ist die parallele, also gleichzeitige Überprüfung mit allen integrierten Scannern sinnvoll. Insbesondere, wenn es sich um die Überprüfung mit sehr vielen AV-Engines handelt. Vor einer Prüfung fragt das Kiosksystem nach den Daten des Besuchers und protokolliert alle Angaben. Sind im Anschluss alle Daten auf dem Datenträger ohne Beanstandung, befindet sich mit einer Wahrscheinlichkeit von über 99,5 Prozent keine Malware mehr auf dem Speichergerät.
Dateidesinfektion hilft gegen Zero Days
Die Restrisiken sind sogenannte Zero Day Exploits. Darunter versteht man bisher unbekannte Sicherheitslücken, die von Angreifern bereits erfolgreich ausgenutzt werden. Erkennt die Heuristik der Malware-Scanner den ausführbaren Programmcode oder Befehlsaufruf nicht rechtzeitig, ist der Weg für die Zero Day Exploits frei. Daher verfügen professionelle Datenschleusen über die Funktion einer Dateidesinfektion, die höchstwirksam vor diesen Restrisiken schützt.
Eine Dateidesinfektion geht prinzipiell davon aus, dass alle Dateitypen, die Schadcode enthalten können, auch mit Schadcode infiziert sind. Gefährliche Dateitypen wie Audio- und Videodateien sowie Office-Dokumente, die eingebettete Malware enthalten können, werden deshalb ausnahmslos in harmlose Dateien umgewandelt und eventuelle Links, wie sie auch in PDFs noch enthalten sein können, unschädlich gemacht.
Sichere Datenübertragung ins Produktionsnetzwerk via Datentresor
Wurde ein mobiler Datenträger erfolgreich mit der Datenschleuse überprüft, darf der Besucher sein Speichergerät entweder mitnehmen oder auf einen vom besuchten Unternehmen zur Verfügung gestellten mobilen Datenträger kopieren und ausschließlich damit den sensiblen Produktionsbereich betreten. Alternativ ist es möglich, die Daten auf dem mitgebrachten Speichergerät lediglich in die Datenschleuse zu kopieren und dort auf Malware überprüfen zu lassen. In diesem Fall müssen Besucher oder Servicetechniker nicht erst auf das Scanergebnis warten. Die gescannten Dateien werden dann über Secure File Transfer in eine Art Tresor übertragen, der sich noch im IT-Netzwerk befindet. Dabei werden nur virenfreie Daten über eine sichere Verbindung in den Datentresor (Vault) transferiert und dort gespeichert. Alle im Datentresor befindlichen Dateien durchlaufen in regelmäßigen Abständen wiederholend mit den neuesten Antimalware-Signaturen eine Überprüfung.
Da sich der Datentresor außerhalb der OT-Umgebung befindet, bleibt ein isoliertes Produktionsnetzwerk weiterhin abgeschottet. Die über die Datenschleuse gescannten Dateien werden mithilfe von individuellen Codes aus dem Datentresor angefordert und sicher übertragen. Falls gewünscht, kann der Dateizugriff erst nach einem voreingestellten Zeitraum erlaubt werden. Damit verhält sich der Datentresor wie eine Art interne Sandbox, die ebenfalls neue Dateien über eine festgelegte Zeitspanne testet. Eine granulare Benutzerverwaltung legt die Art der Authentifizierung und der Dateitypen fest, auf die zugegriffen werden kann. In diesem Zusammenhang ist es wichtig, dass Mitarbeiter, Besucher, Servicetechniker und andere Gäste immer nur auf ihre eigenen Dateien zugreifen können. Verlassen die Gäste das Unternehmen, werden auch Ihre Dateien automatisch gelöscht.
Fazit
Cybersecurity muss auch in Produktionsumgebungen zukünftig eine größere Bedeutung haben. Jegliche Art von Malware kann aber auch sprichwörtlich ins Unternehmen eingeladen werden. Für Servicearbeiten und Produktpräsentationen kommen immer wieder Hersteller und Dienstleister ins Haus und bringen dabei oftmals mobile Datenträger mit. Die Gefahr durch Innentäter ist nicht zu unterschätzen. Datenschleusen mit ihren mehrschichtigen Zusatzfunktionen sind eine technisch- und organisatorische Maßnahme, um sensible IT- und OT-Bereiche wirksam vor Cyberattacken über mobile Speichergeräte zu schützen.
ln/Robert Korherr, Geschäftsführer von ProSoft
Malware kommt immer öfter zu Fuß
Eine Studie das SANS-Instituts aus 2018 zeigt, dass 25 Prozent aller Cyberangriffe auf Unternehmen auf Beschäftigte zurückzuführen sind. Weitere 16 Prozent entfallen auf zu gering abgesicherte Serviceprovider. Somit erfolgen also insgesamt 41 Prozent aller Attacken innerhalb der Firewall. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt mit dem Defense-in-Depth-Ansatz sowohl einen Perimeterschutz (Abschottung nach Außen) als auch eine interne Unterteilung der Produktion in abgeschottete Zonen. Gerade Innentätern und Serviceprovidern ist mit herkömmlichen Maßnahmen zur Cybersicherheit nicht beizukommen. Hier rät das BSI zur Einführung spezieller technischer und organisatorischer Maßnahmen.
Neben all den möglichen Bedrohungsszenarien für Cyberangriffe geht von analogen Vektoren weiterhin Gefahr aus. Malware kann heute über mit Mikrochips manipulierte Kabel, aber auch über infizierte USB-Sticks von Mitarbeitern und Servicetechnikern problemlos die Firewall umgehen. Auch isolierte Produktionsumgebungen werden aus nachvollziehbaren Gründen nicht gegen mobile Speichergeräte abgeschottet, sind doch Maschinen und Anlagen in der Regel mit USB-Schnittstellen für Wartung, Updates und Datenauswertung ausgestattet. Ähnlich wie bei den Sicherheitsüberprüfungen an Flughäfen helfen hier sogenannte Datenschleusen, auch Wechseldatenträgerschleusen genannt.
Erstmal durch die Datenschleuse
Besucher und Servicetechniker, die einen sensiblen IT- oder OT-Bereich betreten wollen, müssen mitgebrachte Datenträger auf Sicherheitsrisiken überprüfen lassen. Dies geschieht mittels Datenschleusen, das heißt physische Kiosksysteme, die die von Besuchern und Servicetechnikern mitgebrachten mobilen Speichergeräte durchleuchten, also auf Malware überprüfen. Dies geschieht zudem idealerweise unter Aufsicht des eigenen Betriebspersonals. Hauptbestandteil einer professionellen Datenschleuse ist ein sogenannter Antimalware-Multiscanner. In ihm werden mehrere Antiviren-Engines gebündelt. Dies bedeutet, dass ein mitgebrachtes Speichergerät nicht nur mit einer einzigen Antiviren-Engine, sondern, je nach Hersteller, mit bis zu 35 AV-Lösungen überprüft wird. Bei tagtäglich über 300.000 neue Malware-Varianten ist das laut BSI auch dringend ratsam.
Um die Wartezeit für den Besucher während des Scanvorgangs mit dem Antimalware-Multiscanner so gering wie möglich zu halten, ist die parallele, also gleichzeitige Überprüfung mit allen integrierten Scannern sinnvoll. Insbesondere, wenn es sich um die Überprüfung mit sehr vielen AV-Engines handelt. Vor einer Prüfung fragt das Kiosksystem nach den Daten des Besuchers und protokolliert alle Angaben. Sind im Anschluss alle Daten auf dem Datenträger ohne Beanstandung, befindet sich mit einer Wahrscheinlichkeit von über 99,5 Prozent keine Malware mehr auf dem Speichergerät.
Dateidesinfektion hilft gegen Zero Days
Die Restrisiken sind sogenannte Zero Day Exploits. Darunter versteht man bisher unbekannte Sicherheitslücken, die von Angreifern bereits erfolgreich ausgenutzt werden. Erkennt die Heuristik der Malware-Scanner den ausführbaren Programmcode oder Befehlsaufruf nicht rechtzeitig, ist der Weg für die Zero Day Exploits frei. Daher verfügen professionelle Datenschleusen über die Funktion einer Dateidesinfektion, die höchstwirksam vor diesen Restrisiken schützt.
Eine Dateidesinfektion geht prinzipiell davon aus, dass alle Dateitypen, die Schadcode enthalten können, auch mit Schadcode infiziert sind. Gefährliche Dateitypen wie Audio- und Videodateien sowie Office-Dokumente, die eingebettete Malware enthalten können, werden deshalb ausnahmslos in harmlose Dateien umgewandelt und eventuelle Links, wie sie auch in PDFs noch enthalten sein können, unschädlich gemacht.
Sichere Datenübertragung ins Produktionsnetzwerk via Datentresor
Wurde ein mobiler Datenträger erfolgreich mit der Datenschleuse überprüft, darf der Besucher sein Speichergerät entweder mitnehmen oder auf einen vom besuchten Unternehmen zur Verfügung gestellten mobilen Datenträger kopieren und ausschließlich damit den sensiblen Produktionsbereich betreten. Alternativ ist es möglich, die Daten auf dem mitgebrachten Speichergerät lediglich in die Datenschleuse zu kopieren und dort auf Malware überprüfen zu lassen. In diesem Fall müssen Besucher oder Servicetechniker nicht erst auf das Scanergebnis warten. Die gescannten Dateien werden dann über Secure File Transfer in eine Art Tresor übertragen, der sich noch im IT-Netzwerk befindet. Dabei werden nur virenfreie Daten über eine sichere Verbindung in den Datentresor (Vault) transferiert und dort gespeichert. Alle im Datentresor befindlichen Dateien durchlaufen in regelmäßigen Abständen wiederholend mit den neuesten Antimalware-Signaturen eine Überprüfung.
Da sich der Datentresor außerhalb der OT-Umgebung befindet, bleibt ein isoliertes Produktionsnetzwerk weiterhin abgeschottet. Die über die Datenschleuse gescannten Dateien werden mithilfe von individuellen Codes aus dem Datentresor angefordert und sicher übertragen. Falls gewünscht, kann der Dateizugriff erst nach einem voreingestellten Zeitraum erlaubt werden. Damit verhält sich der Datentresor wie eine Art interne Sandbox, die ebenfalls neue Dateien über eine festgelegte Zeitspanne testet. Eine granulare Benutzerverwaltung legt die Art der Authentifizierung und der Dateitypen fest, auf die zugegriffen werden kann. In diesem Zusammenhang ist es wichtig, dass Mitarbeiter, Besucher, Servicetechniker und andere Gäste immer nur auf ihre eigenen Dateien zugreifen können. Verlassen die Gäste das Unternehmen, werden auch Ihre Dateien automatisch gelöscht.
Fazit
Cybersecurity muss auch in Produktionsumgebungen zukünftig eine größere Bedeutung haben. Jegliche Art von Malware kann aber auch sprichwörtlich ins Unternehmen eingeladen werden. Für Servicearbeiten und Produktpräsentationen kommen immer wieder Hersteller und Dienstleister ins Haus und bringen dabei oftmals mobile Datenträger mit. Die Gefahr durch Innentäter ist nicht zu unterschätzen. Datenschleusen mit ihren mehrschichtigen Zusatzfunktionen sind eine technisch- und organisatorische Maßnahme, um sensible IT- und OT-Bereiche wirksam vor Cyberattacken über mobile Speichergeräte zu schützen.
ln/Robert Korherr, Geschäftsführer von ProSoft
