Wenn Sie für die Sicherheit einer OT-Umgebung verantwortlich wären, welche drei unverzichtbaren Schritte würden Sie sofort umsetzen?

Aus unserer Erfahrung aus verschiedenen Einsätzen in OT-Umgebungen wissen wir, dass es häufig bereits an der Verfügbarkeit relevanter Informationen mangelt. Also, welche Assets gibt es? Welcher Patchstand liegt vor? Welche Schwachstellen sind vorhanden? Welche Kritikalität besteht zum Beispiel für eine Fertigungsstraße? Welche Kommunikationsbeziehungen gibt es? Diese und viele weitere Fragen können meist nicht beantwortet werden. Um Angriffe erkennen und dann auch eindämmen zu können, sind diese Informationen aber unerlässlich. Grundsätzlich gilt: Ohne Visibilität keine Angriffserkennung. Deshalb wäre für mich der erste Schritt, für die benötigte Transparenz zu sorgen.

Danach sollte in meinen Augen eine Separierung des OT-Netzes erfolgen. Mit der im ersten Schritt geschaffenen Transparenz sollte ich in der Lage sein, Bereiche, die nicht miteinander kommunizieren müssen, zu erkennen. Basierend auf diesen Informationen sollte dann eine Separierung umgesetzt werden. OT-Verantwortlichen muss aber vorab klar sein, dass eine Separierung in bestehenden Anlagen sehr schwer umsetzbar ist. Aus diesem Grund macht es oft Sinn, auf eine virtuelle Separierung zurückzugreifen. Das OT-Netz wird dabei zunächst in virtuelle Segmente unterteilt. Anschließend können alle Verbindungsversuche, die über die virtuellen Grenzen hinweg aufgebaut werden sollen, mithilfe von entsprechenden technischen Lösungen gemeldet werden.

Der dritte Schritt stellt für mich die Einrichtung einer Anomalieerkennung dar. Das heißt, es werden Systeme eingesetzt, die zunächst ein Normalverhalten in der zu überwachenden OT-Umgebung definieren und anschließend alle Abweichungen oder Anomalien melden. Natürlich wird dann auch entsprechendes Personal benötigt, um die gemeldeten Abweichungen zu überprüfen und gegebenenfalls zu handeln.

Obwohl Sie nur nach drei Schritten gefragt haben, möchte ich noch einen wichtigen vierten Schritt erwähnen. Die besten Schutz- und Erkennungsmaßnahmen bringen nämlich nichts, wenn Sie nicht in der Lage sind, angemessen zu reagieren, sobald ein potenzieller Angriff erkannt wird. Deshalb müssen zum Schluss erfahrene Experten eingesetzt werden, die ein schnelles, strukturiertes und für die Schwere und Art des Vorfalls angemessenes Vorgehen sicherstellen.

Weshalb benötigen OT-Umgebungen Managed Detection and Response?

Um diese Frage zu beantworten, würde ich gerne noch einmal auf die eben genannten Schritte zurückkommen. Die Schritte eins und zwei können vielleicht noch mithilfe von entsprechenden technischen Lösungen umgesetzt werden. Spätestens wenn es darum geht, erkannte Abweichungen zu qualifizieren, Maßnahmen abzuleiten und diese umzusetzen, bedarf es jedoch technischer Expertise, die natürlich rund um die Uhr verfügbar sein muss. Und hier kommt Managed Detection and Response ins Spiel. Mit dem Begriff werden Dienstleistungen umschrieben, die basierend auf verhaltensbasiert arbeitenden technischen Lösungen, Abweichungen und Auffälligkeiten untersuchen und bewerten. Auf diese Weise können Unternehmen eine Angriffserkennung etablieren, ohne selbst Ressourcen aufbauen zu müssen.

Setzt der MDR-Dienstleister dann noch entsprechend potente technische Lösungen ein, wie wir es übrigens auch tun, kann er die Schritte eins und zwei direkt mitliefern.

Mit dem ersten Schritt sprechen Sie ein typisches Problem fast aller OT-Verantwortlichen an. Warum stellt fehlende Transparenz grundsätzlich ein Problem dar und wieso löst die von Ihnen angesprochene Technologie dieses Problem sozusagen am Rande mit?

Erfahrungsgemäß gibt es in vielen Unternehmen keine Möglichkeit, alle aktiven Geräte und Kommunikationsteilnehmer im OT-Netz zu erfassen. Für einen Angreifer stellen die Kommunikationsteilnehmer aber einen Großteil der zur Verfügung stehenden Angriffsfläche dar. Deshalb ist es wichtig, sich ein Bild davon zu machen, wie diese dem Angreifer zur Verfügung stehende Angriffsfläche aussieht. Man sollte zum Beispiel klären, welche Geräte es überhaupt in der OT-Umgebung gibt, wie diese miteinander kommunizieren, von welchem Gerät welche Netzbereiche erreicht werden können und welche Versionen, Patchstände oder Schwachstellen vorhanden sind. Nur wenn mir diese Informationen vorliegen, kann ich die dem Angreifer zur Verfügung stehende Angriffsfläche kontrollieren und bestmöglich einschränken.

Außerdem sind diese Informationen wichtig, wenn ein Event bewertet oder ein Vorfall bearbeitet werden muss. Sie werden benötigt, um zu ergründen, welchen Einstieg ein Angreifer gewählt hat, wie weit dieser fortgeschritten ist, welche Geräte er unter seine Kontrolle gebracht hat und welche Geräte oder Netzbereiche gefährdet sind.

Die von uns eingesetzte Technologie benötigt diese Informationen ebenfalls, um eine verhaltensbasierte Analyse der OT-Umgebung durchzuführen. Deshalb werden all diese und viele weitere Informationen von der Lösung automatisch erfasst. Die dadurch geschaffene Visibilität bietet für viele Unternehmen, mit denen wir sprechen, auf den ersten Blick fast mehr Nutzen als der dadurch gewonnene Sicherheitsgewinn. Neben dem Informationsgewinn ist die IT- beziehungsweise OT-Security dann manchmal nur noch das Sahnehäubchen.

Wie lassen sich Angriffe in OT-Umgebungen schnell aufdecken?

OT-Umgebungen profitieren im Vergleich zu klassischen IT-Umgebungen von zwei Eigenschaften, die man sich für die Angriffserkennung zunutze machen kann: Zum einen sind OT-Umgebungen relativ deterministisch. Das heißt, es gibt wenig neue Kommunikationsteilnehmer und -beziehungen. Die Zahl der verwendeten Protokolle ist ebenfalls überschaubar und es kommen selten neue Protokolle hinzu. Deshalb sind Abweichungen in einem deterministischen System einfach zu erkennen. Dieser Umstand spielt unserem Managed Detection and Response Service in die Karten: Wenn zum Beispiel ein Angreifer versucht, eine neue Kommunikationsbeziehung aufzubauen, weil er sich in der OT-Umgebung ausbreiten möchte, wird die im MDR-Service eingesetzte Anomalieerkennung dieses Verhalten sofort als auffällig einstufen und Alarm schlagen. Zum anderen läuft der Großteil der Kommunikation in OT-Umgebungen noch immer unverschlüsselt ab. So kann der Netzwerkverkehr einfach mitgelesen und ausgewertet werden.

Werden nun technische Systeme eingesetzt, die sich diese Eigenschaften zunutze machen, können Experten im Falle einer erkannten Abweichung die Lage sondieren und gegebenenfalls schnell eingreifen.

Was unterscheidet MDR für OT-Umgebungen von MDR für IT-Umgebungen?

OT-Umgebungen sind im Vergleich zu IT-Umgebungen wesentlich anfälliger für Störungen. Gleichzeitig geht eine Störung in einer OT-Umgebung nicht selten mit einem Produktionsausfall einher. Wie vorhin bereits erwähnt, umfasst ein Managed Detection and Response Service technische Lösungen, die Ereignisse innerhalb der OT-Umgebung analysieren, vorqualifizieren und gegebenenfalls aufbereitet melden. In OT-Umgebungen muss natürlich gewährleistet sein, dass die eingesetzte Lösung zum einen überhaupt ausgerollt werden kann und zum anderen den Betrieb nicht stört. Aus diesem Grund eignen sich nur bestimmte technische Lösungen für den Einsatz in OT-Umgebungen.

Hinzu kommt, dass die für die Angriffserkennung wichtigen Informationen wie Patchstand, vorhandene Schwachstellen oder Gerätehersteller in OT-Umgebungen nicht so einfach gewonnen werden können wie in IT-Umgebungen. Im Bereich der Betriebstechnik müssen dafür Protokolle bis auf Wertebene dekodiert werden. Dazu bedarf es Spezialwissen über den Aufbau von proprietären Protokollen. Auch deshalb sollten in der OT-Welt keine typischen IT-Lösungen wie SIEM-Systeme eingesetzt werden. Stattdessen werden Speziallösungen benötigt, die auf OT-Umgebungen ausgerichtet sind.

Welche Komponenten benötigt der Kunde dafür?

In der Regel werden technische Lösungen eingesetzt, die in der Lage sind, den Netzwerkverkehr passiv mitzuschneiden und alle Daten – bis hin zu den übertragenen Werten typischer Anlagenprotokolle – zu lesen. So wird der Betrieb in der OT-Umgebung nicht beeinflusst. Der mitgeschnittene Netzwerkverkehr wird dann analysiert.

Häufig werden hierfür verhaltensbasierte Lösungen eingesetzt. In diesem Fall wird jedes Ereignis, das von einem im Vorhinein als normal definierten Verhalten abweicht, gemeldet. Mithilfe von Informationen über vorhandene Assets, deren Patchstand oder vorhandene Sicherheitslücken und vielen weiteren Daten, die von guten, auf den OT-Einsatz spezialisierten Lösungen aus dem Netzwerkverkehr ausgelesen werden können, meldet die technische Lösung dann potenziell kritische Ereignisse.

Wie können Schäden im Angriffsfall minimiert werden?

Im Idealfall vereitelt man einen Angriff natürlich von vornherein mit entsprechenden Schutzmaßnahmen. Unsere Erfahrung hat allerdings gezeigt, dass ein hundertprozentiger Schutz nicht möglich ist. Bei der Schadensminimierung kommt es daher auf die Geschwindigkeit an, mit der ein Angriff erkannt und anschließend behandelt wird. Deshalb sollten im Rahmen der Angriffserkennung und -bewältigung vier essenzielle Bausteine berücksichtigt werden: Erstens muss die initiale Erkennung schnellstmöglich erfolgen. Zweitens müssen alle für die Eindämmung relevanten Informationen an zentraler Stelle durchsuchbar vorliegen. Drittens müssen erfahrene Experten verfügbar sein. Viertens muss das Vorgehen der Experten für die unterschiedlichen Security-Incident-Typen wie Ransomware oder Data Leak klar definiert und erprobt sein.

Was passiert, wenn ein Angriff aufgedeckt wird?

Wenn ein Angriff aufgedeckt wird, gilt es vor allem, schnell und gemäß vorab definierter Ablaufpläne zu reagieren. Der von der technischen Lösung generierte Alarm muss qualifiziert und bestätigt werden. Anschließend wird die Art des Security Incidents bestimmt und gemäß vorab definierter Ablaufpläne gehandelt. Die Reaktion kann dabei vielfältig erfolgen und ist abhängig von der Kritikalität des Incidents. Wie reagiert werden muss, hängt beispielsweise davon ab, welche Geräte betroffen sind, wie weit der Angreifer vorgedrungen ist und ob der Betrieb einer Fertigungsstraße gefährdet ist. Die Kritikalität bestimmt die Intensität und den Umfang der Maßnahmen.

Es kann auch sein, dass Systeme isoliert werden müssen, um den Angriff einzudämmen. Zudem bestehen je nach Unternehmen, Branche und Art des Incidents Meldepflichten, die eingehalten werden müssen. Gegebenenfalls müssen die verantwortlichen Personen einen Arbeitskreis bilden, der neben typischen Verantwortlichen auch Pressestellen, Rechtsabteilungen und Personal umfassen kann. Wer dem Arbeitskreis angehört, hängt ebenfalls von der Art und dem Umfang des Incidents ab.

Ganz wichtig ist natürlich, ständig Rücksprache mit dem Betriebsverantwortlichen zu halten, bevor technische Maßnahmen umgesetzt werden, die Auswirkungen auf die OT-Umgebung haben können.

Warum ist r-tec für Industrieunternehmen der richtige Ansprechpartner in puncto MDR?

Neben dem Aspekt, dass wir alle eben genannten Anforderungen erfüllen können, und dem Fakt, dass wir im Rahmen unseres MDR-Service den Marktführer im Bereich Anomalieerkennung in OT-Umgebungen einsetzen, gibt es noch einige andere Gründe, die für r-tec als Partner in puncto MDR sprechen.

Da r-tec schon seit mehr als 25 Jahren in der Cyber-Security-Branche tätig ist, verfügt unser Team beispielsweise über jede Menge Erfahrung und Expertenwissen im Bereich der Angriffsabwehr, das im Falle einer Attacke für den Kunden sehr nützlich sein kann.

Mit unseren Pentest- und Red-Teaming-Spezialisten haben wir außerdem Experten an Board, die täglich die Sichtweise eines Angreifers einnehmen und Angriffe, natürlich für den guten Zweck, durchführen. So sind wir immer auf dem neuesten Stand in Bezug auf aktuelle Tools, Taktiken und Methoden von Angreifern. Das ist ein enormer Vorteil bei der Behandlung von Angriffen. Denn wenn man weiß, welche Vorgehensweisen man anwenden muss, um von aktuellen Security-Lösungen unentdeckt zu bleiben, weiß man auch, wonach man suchen muss, um einen Angreifer zu entdecken.

Ein weiterer Grund ist, dass wir unsere Kunden über den gesamten Lifecycle eines Security Incidents betreuen können. Wir unterstützen sie bei der Entdeckung, Analyse, Eindämmung und Untersuchung von Angriffen, bei der genauen Rekonstruktion des Angriffsverlaufs und, falls erforderlich, beim vollständigen Wiederaufbau der Umgebung. Außerdem überwachen wir die Systeme, um sicherzustellen, dass ein gestoppter Angreifer nicht erneut aktiv wird. Anschließend können wir die IT-Security-Maßnahmen des Kunden überprüfen und gegebenenfalls optimieren.

Herr Wegner, wir danken Ihnen für dieses Gespräch.