Do you want to see our content in English?

x
  • English
Continue
x

OT-Netze mit Risiko- und Schwachstellenanalyse absichern

““

Energie und UmweltKritische Infrastruktur (KRITIS)ProduktionService und After SalesVerkehr und Logistik

Lösungsbeispiel Risiko- & Schwachstellenanalyse im OT-Netzwerk
8 Minuten Lesezeit
Vorlesen
8 Minuten Lesezeit
Vorlesen

Die Sicherheit von OT-Umgebungen (Operational Technology) ist ein zentrales Element der Cybersecurity im Industrial IoT. Unternehmen benötigen deshalb einen einfachen Einstieg in OT-Security, der Transparenz schafft und konkrete Handlungsoptionen eröffnet. Eine Risiko- und Schwachstellenanalyse, wie sie der Leipziger Security-Dienstleister Rhebo GmbH anbietet, kann dabei einen ersten wirkungsvollen Schritt darstellen.

Die systematische Bewertung der OT-Security ermöglicht Einblicke in Assets, Kommunikationswege und Exposition. Auf dieser Basis lassen sich priorisierte Maßnahmen ableiten, die Betriebssicherheit und Cyberresilienz nachhaltig verbessern.

Die Herausforderung: Fehlende Transparenz in gewachsenen OT-Strukturen

Maschinen, Anlagen und Energieinfrastrukturen hängen von vernetzten Steuerungen, Sensoren und Kommunikationssystemen ab. Störungen oder Manipulationen dieser Systeme wirken sich unmittelbar auf die Verfügbarkeit der OT aus und können ganze Prozessketten stilllegen. Hinzu kommen regulatorische Anforderungen wie NIS2. Die Richtlinie verpflichtet Unternehmen, Risiken systematisch zu bewerten, die Infrastruktur nachvollziehbar zu dokumentieren und angemessene Sicherheitsmaßnahmen nachzuweisen.

OT-Netzwerke sind in der Regel sehr komplex. Sie bestehen aus SPSen, HMIs, SCADA-Systemen, Industrie-PCs, Sensoren und vielen weiteren spezialisierten Komponenten. Häufig stammen die Systeme aus unterschiedlichen Gerätegenerationen. Die folgenden Beispiele basieren auf Erfahrungen aus mehreren durchgeführten Risiko- und Schwachstellenanalysen in unterschiedlichen Industrieumgebungen und zeigen typische Herausforderungen in der Praxis. Ein Beispiel: Bei einem Lebensmittelproduzenten waren in den OT-Netzen an jedem seiner vier Standorte 200 bis 550 Geräte von zirka zwei Dutzend Herstellern in Betrieb. In vielen Unternehmen sieht es ähnlich aus. Hinzu kommt: Die Dokumentationen sind verteilt oder veraltet und nur selten hat ein einheitliches Team die Zuständigkeit für die Sicherheit. Die größte Hürde bei der OT-Security besteht also in der fehlenden Transparenz.

Zusätzlich gibt es in einigen Geschäftsfeldern eine zwingende Erweiterung ins Industrial IoT, die nicht unterbrochen werden darf, etwa bei einem Hersteller von Stromspeichern. Die einzelnen Speichergeräte senden Daten an die Unternehmenszentrale und werden von dort gesteuert – ein zusätzlicher Angriffsvektor, der abgesichert werden muss.

Faktoren, die den Überblick im OT-Netz erschweren

Einige Faktoren erschweren den Überblick über OT-Netzwerke:

  • Oft ist unklar, welche Assets vorhanden sind. Bestandslisten helfen selten weiter, da sie oft nicht auf dem neuesten Stand sind.
  • Auch die unterschiedlichen Kommunikationswege sind häufig unklar. Es ist nicht bekannt, welche Systeme insgesamt miteinander sprechen, welche Protokolle sie einsetzen und ob alle Verbindungen überhaupt betrieblich notwendig sind.
  • Zusätzliche Risiken entstehen durch Kommunikationswege in Richtung IT oder Internet. Auch Fernzugänge von Herstellern oder Dienstleistern schaffen weitere Angriffsflächen.
  • Bestehende Sicherheitsmaßnahmen sind oft intransparent und schlecht dokumentiert. So ist ihre tatsächliche Wirksamkeit für die OT-Security schwer einschätzbar.

Die Kombination dieser Faktoren führt dazu, dass Risiken zwar wahrscheinlich sind, aber nicht präzise benannt werden können.

Herausforderungen im Überblick

  • Unvollständige oder veraltete Asset-Listen
  • Intransparente Kommunikationswege und Protokolle
  • Zusätzliche Angriffsflächen durch IT-Übergänge und Fernzugriffe
  • Mangelhafte Dokumentation bestehender Schutzmaßnahmen

Die Lösung: Ein aktuelles Lagebild mit Risiko- und Schwachstellenanalyse erzeugen

Die Risiko- und Schwachstellenanalyse der Rhebo GmbH erzeugt die vollständige Sichtbarkeit aller Assets, sodass weitere Maßnahmen geplant werden können.

Insgesamt hat die Analyse drei Ziele:

  1. Identifizierung aller vorhandenen OT-Systeme.
  2. Identifizierung kritischer Kommunikationsmuster und Verbindungen.
  3. Priorisierung der Risiken nach Kritikalität. Dabei stehen Systeme mit hoher betrieblicher Bedeutung und hoher Exposition im Vordergrund.

Viele Unternehmen nutzen die Risiko- und Schwachstellenanalyse als ersten Schritt, um Transparenz zu schaffen und priorisierte Maßnahmen abzuleiten, bevor sie in kontinuierliche Sicherheitsüberwachung investieren. Entscheidend ist dabei, dass die Analyse ohne Eingriffe in die Produktion erfolgt. Rhebo setzt hierfür auf eine Kombination aus passiven Verfahren und spezialisierter Monitoring-Software. Da der laufende Betrieb immer Priorität hat, stehen passive Verfahren im Vordergrund. Mit ihnen wird der Datenverkehr ohne Eingriffe in die Systeme beobachtet. Aktive Verfahren werden nur punktuell eingesetzt. So bleibt die Stabilität der Anlagen auch bei einem umfassenden Scan erhalten.

Strukturierter Leitfaden für Dokumentation und Bewertung

Die Erfassung der Daten orientiert sich am Leitfaden der britischen Cybersicherheitsbehörde NCSC. Er beschreibt in fünf Schritten, wie Unternehmen ein besseres Verständnis ihrer OT-Netzwerke und -Systeme sowie der damit verbundenen Risiken erreichen.

  1. Prozesse und Zuständigkeiten für die OT-Dokumentation festlegen, Quellen bündeln und Daten prüfen.
  2. OT-Informationen klassifizieren, Zugriffe begrenzen und die Speicherung sowie Backups absichern.
  3. Alle Assets mit passivem Monitoring sichtbar machen und nach Kritikalität, Risiko und Verfügbarkeit einstufen.
  4. Verbindungen und Protokolle analysieren, unnötige Zugriffe entfernen und sichere Standards durchsetzen.
  5. Externe Herstellerzugriffe bewerten, Vertrauensstufen definieren und unsichere Wege konsequent absichern.

Im Blog der Rhebo GmbH gibt es eine Übersicht über die Vorgehensweise (Teil 1, Teil 2). Die ersten beiden Punkte sind vorbereitende Schritte. Sie sorgen für Hintergrundinformationen zum Vergleich der ermittelten Daten mit der bisherigen Dokumentation sorgen.

Passives Monitoring schafft schnell ein belastbares Lagebild

Die Analyse selbst nutzt ein passives, netzbasiertes Monitoring-System wie den Rhebo Industrial Protector, der auch große OT-Netzwerke überwachen kann. Ein kommunaler Elektrizitäts- und Gasversorger untersuchte beispielsweise damit die Kommunikation von und zwischen den mehreren hundert Ortsstationen auf Anomalien und auffällige Vorgänge, um den Überblick über sein internes OT-Netzwerk zu verbessern.

Der Industrial Protector lässt sich leicht in die OT integrieren und ist bereits nach rund 30 Minuten betriebsbereit. Anschließend zeichnet er den Datenverkehr etwa zwei Wochen lang auf. Dabei registriert die passive Monitoring-Lösung jedes System, das Daten sendet oder empfängt. Ergänzt wird dies durch Informationen wie Protokolle, Rollen oder Herstellermerkmale.

Bereits nach kurzer Laufzeit des Systems entsteht ein erster Netzwerkplan. Doch das ist nur eine Momentaufnahme. Die Sichtbarkeit von Assets und Verbindungen erhöht sich mit der Zeit, denn turnusmäßige Vorgänge werden häufig erst nach einiger Zeit sichtbar. Updates, Wartungen oder Backups sind nur einige Beispiele dafür.

Bei dem oben genannten Versorger entdeckte das System bereits nach kurzer Zeit verschiedene Schwachstellen. Dazu zählten veraltete Protokolle und Firmware-Stände sowie gefährdende Werkseinstellungen auf OT-Komponenten. Zusätzlich hat der Versorger nun Klarheit darüber, wie stark die Leittechnik zu bestimmten Zeiten ausgelastet ist und wo es Kapazitätsengpässe gibt.

Analyse von Verbindungen und Vertrauenszonen

Im nächsten Schritt analysiert das System alle vorhandenen Geräte und Verbindungen und vergleicht sie mit bestehenden Architektur- oder Datenflussdiagrammen. Dabei fallen unnötige oder unerwartete Verbindungen auf, insbesondere Übergänge zur IT oder ins Internet sowie externe Zugriffe von und zu Herstellern oder Dienstleistern. Auf dieser Basis erfasst die Schwachstellenanalyse das Risiko aller Assets und Datenverbindungen.

So entdeckte eine Risiko- und Schwachstellenanalyse eines Chemieunternehmens in den drei Produktlinien eines Standorts eine Reihe von Schwächen in der OT-Security: Einige Geräte nutzten nicht die aktuelle Software, es gab Klartextpasswörter und unsichere Authentifizierungsmethoden. Zudem erkannte die Analyse mehrere nicht erreichbare Geräte und verschiedene Netzwerkstörungen, die bisher nicht aufgefallen waren.

Protokollnutzung und Anomalie-Erkennung im laufenden Betrieb

Parallel erfolgt eine Analyse der Protokollnutzung, bei der unnötige, veraltete oder unsichere Protokolle identifiziert werden. Sie erzeugen eine Angriffsfläche, die sich durch Software-Aktualisierungen oder das Abschalten von unnötigen Protokollen leicht beheben lassen.

Aufgrund der langen Laufzeit wird zudem die Mustererkennung im OT-Datenverkehr zu einem zentralen Element der OT-Security. Das Überwachungssystem lernt typische Kommunikationsmuster. Dadurch kann es wiederkehrende Abläufe als Normalverhalten und Abweichungen als Anomalien klassifizieren, die auf Fehlkonfigurationen, technische Defekte oder sicherheitsrelevante Ereignisse hinweisen.

Bei einem Logistikunternehmen hat das Monitoring sogar Sabotageversuche durch Mitarbeitende aufgedeckt. In einer Langzeitanalyse meldete Rhebo Industrial Protector ungewöhnliche Kommunikationsvorgänge an Fernwartungszugängen. Eine forensische Analyse bei einem spezialisierten Dienstleister zeigte, dass über eine interne Workstation Shutdown-Befehle an Kundensysteme gesendet wurden. So konnte der Logistiker die Sabotage wirksam beenden.

Das Ergebnis: Klare Prioritäten und konkrete Maßnahmen

Wenn alle Datenpunkte zusammengetragen sind, folgt die Bewertung der Kritikalität anhand von drei Parametern:

  • Die geschäftliche Bedeutung des Assets.
  • Die Verfügbarkeitsanforderungen.
  • Die mögliche Auswirkung eines Ausfalls.

Am Ende dieses Prozesses steht ein konsolidiertes Bild mit einer vollständigen Asset-Liste, einer Übersicht aller Kommunikationsbeziehungen, einer Risikobewertung und einer priorisierten Liste von Handlungsfeldern. Unternehmen können damit über weitere Schritte auf dem Weg zu einer strukturierten OT-Sicherheit entscheiden.

Dabei richtet sich die Risiko- und Schwachstellenanalyse nicht nur an typische Produktionsunternehmen. So hat ein Rechenzentrumsbetreiber das interne Netz seiner Gebäudeleittechnik überprüft. Sie versorgt die mehrere zehntausend Server mit Strom und Kühlung, sichert den Zugang zu den Rechenzentren und gewährleistet den Brandschutz. Das Sicherheitsteam konnte unverschlüsselte Kommunikation beseitigen, nicht erreichbare Services lokalisieren und veraltete Betriebssysteme, Firmware und Protokolle identifizieren.

Insgesamt liefert die Risiko- und Schwachstellenanalyse der Rhebo GmbH Ergebnisse, die sich direkt in Maßnahmen umsetzen lassen. Eine zusätzliche Dokumentation der aktuellen Maßnahmen für die OT-Security und deren Bewertung hinsichtlich ihrer Wirksamkeit macht Lücken sichtbar. Damit wird die Risiko- und Schwachstellenanalyse zu einem Ausgangspunkt für die Einführung weiterführender Sicherheitsmaßnahmen, z.B. auf Basis des Rhebo Industrial Protector. Für viele Organisationen markiert die Risiko- und Schwachstellenanalyse damit den Einstieg in eine strukturierte OT-Sicherheitsstrategie.

Ergebnisse im Überblick

  • Vollständige Inventarisierung aller Systeme und Rollen
  • Netzwerkplan mit allen Datenflüssen und Abhängigkeiten
  • Bewertete Risiken und priorisierte Handlungsfelder
  • Konkrete Empfehlungen zu Protokollen, Zugriffen und Segmentierung

  • Zugehörige Kategorien
  • Energie und Umwelt
  • Kritische Infrastruktur (KRITIS)
  • Produktion
  • Service und After Sales
  • Verkehr und Logistik
  • Betrugs- und Schadensprävention

    • Jetzt IoT Use Case Update erhalten

    Erhalten Sie monatlich exklusive Einblicke in unsere Use Cases, Aktivitäten und News aus dem Netzwerk - Jetzt kostenlos anmelden.