Operational-Technology-Infrastrukturen waren bis vor kurzem als isolierte Umgebungen, ohne Anbindung an Unternehmensnetzwerke konzipiert. Dem Thema Cyber-Sicherheit wurde kaum Aufmerksamkeit geschenkt. Inzwischen hat sich diese Sichtweise gewandelt – Sicherheit in OT-Netzwerken hat Top-Priorität.
Das Risiko, dass durch Cyber-Angriffe komplette Industrieanlagen stillstehen, hat sich deutlich erhöht. Mit dem Voranschreiten von immer stärker vernetzten Fertigungsanwendungen, dem sog. „Industrial Internet of Things“ (IIoT) und dem Mobilfunkstandard 5G, kommt man nicht mehr umhin, für Fertigungsanlagen gleichwertige Sicherheitskonzepte zu implementieren, wie es in klassischen IT-Umgebungen üblich ist. Denn grundsätzlich ist die Integration von neuen Technologien immer mit potenziellen Sicherheitsrisiken verbunden.
Privates 5G bietet mehr Kontroll- und Schutzmechanismen
Öffentliche 5G-Netze stellen zwar latenzarme und leistungsstarke Konnektivität zur Verfügung, allerdings haben Industrieunternehmen nur limitierte Kontrollmöglichkeiten hinsichtlich der Sicherheit und der Servicequalität der Verbindungen. Die Anforderungen von Echtzeitanwendungen, die erweiterte Routing-Funktionen zur verbindlichen Durchsetzung von Leistungs-, Durchsatz- und Latenzschwellen voraussetzen, lassen sich damit nur bedingt erfüllen. Ein 5G-Campusnetz bietet deutlich mehr Kontrolle über den Datenverkehr kritischer Anwendungen, der dynamisch priorisiert werden kann. Darüber hinaus ist eine eigene Netzwerkinfrastruktur sicherer, weil die Daten das Unternehmensareal nicht verlassen und durch individuell konfigurierbare Maßnahmen gegen Angriffe geschützt werden können. Perimeter-Schutzmodelle sind in einer 5G-Umgebung allerdings überholt – Netzwerke auf dem 5G-Mobilfunkstandard basieren auf verteilten sog. „Software Defined Networks“ (SDN) sowie Cloud-Services und verfügen über software-definierte Perimeter mit offenen Schnittstellen.
Schwachstellen von Fertigungsumgebungen
Sog. „Industrial Control Systems“ (ICS) in Produktionsumgebungen sind auf Verfügbarkeit ausgelegt, nicht auf Sicherheit. Insofern ist ein Großteil des Datenverkehrs unverschlüsselt, wodurch sensible Informationen im Netzwerk offen zugänglich sind. Fernzugriff, -wartung und -diagnose sind folglich mit hohen Risiken behaftet: Sensoren und Aktoren agieren über eine bidirektionale Kommunikation, deren Befehle von Cyber-Kriminellen missbraucht werden können. Hinzu kommt die lange Abschreibungsphase von Produktionsanlagen. Laufzeiten von 20 Jahren oder mehr erschweren die Aktualisierung von Firmware, Betriebssystem und API sowie den Einsatz von Antiviren-Software erheblich. Wegen fehlender Updates lassen sich Schwachstellen oft nicht mehr schließen. Ist eine auf die Kundenbedürfnisse speziell angepasste Individuallösung implementiert, steigt durch Inkompatibilitäten mit standardisierten Sicherheitslösungen das Risiko.
Maßnahmen eines Sicherheitskonzepts
Ein wirklich sicheres 5G-Netzwerk erfordert eine umfassende Strategie. Das erste Ziel ist die Sichtbarkeit und ständige Echtzeitüberwachung auf allen Netzwerkebenen – von der Anwendungs- über die Daten- bis zur Signalebene –, um Sicherheitsbedrohungen und Angriffe erkennen zu können. Der zweite Schritt ist das automatische Unterbinden bekannter Angriffe, Bedrohungen und Schwachstellen, welche die Überwachung erkannt hat. Bei unbekannten Zero-Day-Bedrohungen kann maschinelles Lernen dabei unterstützen, Bedrohungen auf intelligente Weise zu stoppen, Geräte zu sichern und Sicherheitsrichtlinien zu empfehlen. Eine orchestrierte Plattform sorgt dabei für eine konsistente, netzwerkweite Durchsetzung der Richtlinien. Sinnvoll sind zudem eine Mikrosegmentierung und Zugriffskontrolle der unterschiedlichen Netzwerke und Geräte.
21.11.2022
