Warum das IT-Sicherheits-Toolkit nicht für OT geeignet ist

Informationstechnologie (IT) bietet uns die Möglichkeit, kreativ zu experimentieren und flexibel zu agieren. Software lässt sich problemlos zurücksetzen, umgestalten oder neu konfigurieren, bis sie optimal funktioniert. Dabei geht es oft darum, verschiedene Ansätze auszuprobieren, bis das beste Ergebnis erzielt wird.

Bei der Betriebstechnologie (OT) sieht die Sache jedoch anders aus. OT-Systeme sind darauf ausgelegt, einmal eingerichtet zu werden und dann stabil und ohne häufige menschliche oder maschinelle Eingriffe zu laufen. Diese Infrastrukturen unterstützen kritische Prozesse, bei denen Änderungen nicht nur kompliziert, sondern auch riskant sein können. Während in der IT dynamische Anpassungen oft der Schlüssel zum Erfolg sind, dreht sich in der OT alles um Beständigkeit und Zuverlässigkeit.

Dies ist nur einer von vielen grundlegenden Unterschiede zwischen OT und IT, die erklären, warum die meisten Sicherheitslösungen, die für die IT entwickelt wurden, einfach nicht mit den Parametern, Prioritäten und Realitäten des OT-Bereichs kompatibel sind. Schauen wir uns einige gängige Tools an, die zur Erleichterung des sicheren Zugriffs in IT-Umgebungen eingesetzt werden, um herauszufinden, warum sie die Anforderungen der OT nicht erfüllen können.

Wie IT-Lösungen Sicherheit erhöhen

VPNs: Sicherheit durch Privatsphäre

Wie der Name schon andeutet, wurden virtuelle private Netzwerke (VPNs) ursprünglich entwickelt, um die Privatsphäre der Nutzer zu schützen – nicht unbedingt, um maximale Sicherheit zu gewährleisten. In bestimmten Situationen können VPNs durchaus eine praktische Lösung sein, etwa wenn nur eine kleine Anzahl von Mitarbeitern gelegentlich auf weniger sensible Systeme aus der Ferne zugreifen muss.

Doch wenn es darum geht, eine größere Anzahl von Fernarbeitern langfristig oder dauerhaft sicher mit dem Firmennetzwerk zu verbinden, stoßen VPNs an ihre Grenzen. Dies gilt besonders, wenn kritische Infrastrukturen und OT-Systeme involviert sind. In solchen Fällen bieten VPNs nicht das notwendige Sicherheitsniveau, um den Anforderungen gerecht zu werden. Hier braucht es spezialisierte Lösungen, die sowohl den Schutz der Infrastruktur als auch die Sicherheit der Fernzugriffe gewährleisten.

• Angreifer können eine VPN-Verbindung mit gestohlenen oder geleakten Anmeldedaten leicht kompromittieren. Sobald ein Angreifer in das Netzwerk eingedrungen ist, bietet das VPN keine Kontrollmöglichkeiten, um den Zugriff zu beschränken oder die Aktivitäten des Angreifers zu überwachen.

• VPNs können nicht verhindern, dass Malware, die sich auf dem Gerät eines Benutzers befindet, das gesamte Netzwerk infiziert und Arbeitsplätze gefährdet, die mit veralteten, nicht gepatchten Betriebssystemen und der im OT-Bereich üblichen Infrastruktur arbeiten.

• Die Hersteller erlauben nur selten die Installation eines VPN-Agenten auf den Geräten der Auftragnehmer bzw. Dienstleister. Das bedeutet, dass VPNs das große Problem der Zugangssicherung für Drittanbieter und Techniker, die mit der Durchführung spezieller Aufgaben in OT-Umgebungen beauftragt sind, nicht lösen können.

Letztendlich ist die Sicherheit eines VPNs stark davon abhängig, dass es selbst nicht kompromittiert wird. Gerade in einer Welt zunehmender Cyberbedrohungen ist dies jedoch keine Garantie. Für kleine Unternehmen, die ausschließlich IT-Systeme betreiben, mag ein VPN noch als primäre Lösung für den sicheren Fernzugriff ausreichen. Anders sieht es jedoch bei Organisationen aus, die kritische Infrastrukturen oder industrielle Systeme verwalten. Hier sind die Risiken, die mit einem VPN einhergehen, einfach zu hoch. Angriffe auf VPNs könnten verheerende Auswirkungen haben und die Sicherheit der gesamten Infrastruktur gefährden.

Firewalls: Sicherheit durch Traffic-Monitoring

Firewalls sind seit langem ein fester Bestandteil der IT-Sicherheit, und inzwischen gibt es auch OT-spezifische Firewalls, die den OT-Datenverkehr überwachen und die Kommunikation mit dem OT-Netz einrichten. Diese Firewalls sitzen tiefer in den OT-Schichten, auf der Ebene der speicherprogrammierbaren Steuerung (SPS) oder darunter. Auch wenn sie effektiver sind als die für IT-Umgebungen entwickelten Firewalls, sind OT-spezifische Firewalls immer noch kompliziert zu implementieren und zu warten.

• Firewalls werden standardmäßig mit schwachen Passwörtern und aktivierten Verwaltungsschnitstellen konfiguriert und ausgeliefert. Wenn Unternehmen diese Schnittstellen nicht absichern, können Angreifer leicht unverschlüsselte Anmeldedaten abfangen, die ihnen Zugang zum Netzwerk verschaffen.

• Moderne Taktiken wie Spoofing, Port-Hopping, Steganografie und andere Methoden können Firewalls leicht umgehen. Einige IT-Firewalls sind nicht in der Lage, zu erkennen, welche Paketaustauschvorgänge in einer OT-Umgebung erlaubt sind, was Angreifern die Möglichkeit bietet, unbemerkt Malware in das System einzuschleusen.

• Firewalls erfordern erheblichen und kontinuierlichen Wartungsaufwand – so sehr, dass überlastete Administratoren oft zu großzügige Regeln implementieren, um sicherzustellen, dass legitimer Zugriff und Produktivität nicht beeinträchtigt werden. Außerdem erfordern Firewall-Updates Ausfallzeiten, die in OT-Umgebungen, die immer in Betrieb sein müssen, nicht möglich sind.

Schließlich, und vielleicht am gravierendsten, ist das Problem, dass Firewalls im Laufe der Zeit an Effektivität verlieren können. Eine Firewall lässt sich mit einer Ziegelmauer vergleichen: Jedes Mal, wenn eine Verbindung erlaubt wird, wird ein Ziegel entfernt. Über die Zeit häufen sich diese Lücken, insbesondere wenn temporäre Öffnungen, die für Tests oder Wartungsarbeiten eingerichtet wurden, nicht sofort wieder geschlossen werden.

Hinzu kommt die Herausforderung mit externen Dienstleistern, die regelmäßig auf Systeme zugreifen müssen. Sie kommen und gehen, und wenn ihre Zugänge nicht sorgfältig verwaltet und geschlossen werden, sobald sie nicht mehr gebraucht werden, kann die Firewall zunehmend durchlässig werden. Diese schleichende Erosion der Sicherheit macht deutlich, dass es nicht ausreicht, sich allein auf Firewalls zu verlassen. Ein striktes Management und regelmäßige Überprüfungen sind entscheidend, um langfristig die Sicherheit zu gewährleisten.

Verwaltung des privilegierten Zugriffs: Sicherheit durch Zugriffskontrolle

Privileged Access Management (PAM)-Tools spielen eine zentrale Rolle bei der Sicherung kritischer Systeme und sensibler Informationen, indem sie klare Kontrollen darüber festlegen, was Benutzer tun dürfen und was nicht. Durch PAM wird das Prinzip der minimalen Rechtevergabe konsequent umgesetzt, wodurch Nutzer nur den Zugriff auf Ressourcen erhalten, die sie wirklich benötigen. Darüber hinaus bieten diese Tools eine erhöhte Sichtbarkeit und detaillierte Protokollierungsfunktionen, die dabei helfen, alle Aktivitäten genau zu überwachen.

Obwohl PAM-Lösungen wichtige Schritte zur Validierung der Identität eines Benutzers unternehmen – was ein wesentlicher Bestandteil für den sicheren Zugriff ist – stoßen sie dennoch an ihre Grenzen. In vielen Fällen reicht ihre Funktionalität nicht aus, um alle Sicherheitsanforderungen abzudecken, insbesondere wenn es um komplexe, großflächige Netzwerke und besonders sensible Systeme wie in der OT geht. Es bedarf zusätzlicher Sicherheitsmaßnahmen und Lösungen, die über den bloßen Identitätsschutz hinausgehen, um einen umfassenden Schutz zu gewährleisten.

• PAM-Lösungen authentifizieren Benutzer nach der initialen Zugriffsgewährung auf das Netzwerk nicht weiter. Schlechte Sicherheitshygiene, wie schwache Passwörter und die Nutzung von Schatten-IT, können die Vorteile einer PAM-Lösung untergraben.

• Wie der Name schon sagt, sind PAM-Tools darauf ausgelegt, sich auf privilegierte Benutzer zu konzentrieren, meist Systemadministratoren. Allerdings haben auch Führungskräfte, Mitglieder des HR-Teams und andere Benutzergruppen oft Zugang zu sensiblen Ressourcen. Selbst Drittanbieter werden häufig mit zu vielen Berechtigungen ausgestattet, um schnellstmöglich arbeiten zu können. Wenn die PAM-Lösung nicht auf all diese Gruppen angewendet wird, ist ihre Wirksamkeit von Anfang an eingeschränkt.

• Cloud-basierte PAM-Tools erfordern die Weitergabe von Geheimnissen wie Anmeldeinformationen und Tokens an den PAM-Anbieter, was sofort ein potenzielles Sicherheitsrisiko darstellt. Aber auch On-Premises-PAM-Produkte haben ihre eigenen Herausforderungen, wie den Bedarf an kontinuierlicher Wartung und kostspieligen Rechenressourcen.

PAM-Lösungen verwalten Zugangsdaten, überprüfen jedoch nicht, wie ein Benutzer auf eine Anwendung zugreift. Solange die Zugangsdaten korrekt sind, wird der Zugriff gewährt. Besonders bei kritischen Infrastrukturen birgt das Risiken, da Angreifer gültige Zugangsdaten stehlen und über das PAM-System unbemerkt Schaden anrichten können. Daher braucht es zusätzliche Schutzmaßnahmen, um den gesamten Zugriffspfad abzusichern und Missbrauch zu verhindern.

Endpunkt-Sicherheit: Sicherheit durch Geräte

Endpoint-Sicherheitslösungen wie Endpoint Detection and Response (EDR) und Antiviren-Software zielen darauf ab, das Netzwerk zu schützen, indem sie verhindern, dass Malware und andere bösartige Programme Geräte infizieren – und so den bösartigen Zugriff auf das Netzwerk blockieren. Allerdings stoßen auch diese Lösungen in OT-Umgebungen auf Schwierigkeiten.

• Endpoint-Sicherheitslösungen erfordern die Installation von Agents auf den Geräten, doch die meisten Geräte in OT-Umgebungen verfügen nicht über die nötigen Rechen- und Speicherkapazitäten, um solche Agenten zu unterstützen. OT-Geräte sind zu stark in speziell angepasste Steuerungsnetzwerke integriert, um von IT-basierten Agenten gewartet werden zu können.

• OT-Umgebungen sind oft sehr komplex, und Endpoint-Sicherheitslösungen können sich nur schwer an ihre spezifischen Konfigurationen und Anforderungen anpassen. Darüber hinaus sind viele Endpoint-Sicherheitslösungen nicht mit älteren OT-Systemen und -Geräten kompatibel.

• Die Natur industrieller Prozesse kann ungewöhnliches oder unerwartetes Verhalten erzeugen, das von traditionellen Endpoint-Sicherheitslösungen fälschlicherweise als Sicherheitsbedrohung eingestuft werden könnte. Gleichzeitig könnten diese Lösungen in der Lage sein, komplexe Angriffe oder Bedrohungen, die speziell auf OT-Umgebungen abzielen, nicht zu erkennen, was zu „false Negatives” führen kann.

Letztlich unterstützen die meisten für die IT entwickelten Endpoint-Sicherheitslösungen einfach nicht die spezialisierten Protokolle, die in OT-Systemen verwendet werden. Sie können sich nicht an die komplexen OT-Umgebungen anpassen und sind auf Prozesse angewiesen (wie z. B. Echtzeitüberwachung und Verhaltensanalyse), die den Betrieb stören könnten. Darüber hinaus kann die Unfähigkeit von Endpoint-Sicherheitslösungen, sich leicht in OT-spezifische Sicherheitskontrollen wie Intrusion-Detection-Systeme und spezialisierte Überwachungstools zu integrieren, zu erheblichen Sicherheitslücken führen.

OT-Umgebungen verdienen OT-spezifische Lösungen

Die Fortschritte im Bereich des Privileged Access Management, der Endpoint-Sicherheit und in anderen Bereichen der IT-Sicherheit sind sicherlich lobenswert, jedoch können diese Lösungen die Sicherheitsbedürfnisse und -prioritäten von OT-Umgebungen nicht erfüllen. Neben den Unzulänglichkeiten der zuvor untersuchten Werkzeugtypen gibt es mehrere weitere Gegebenheiten, die die Anwendung von IT-Lösungen auf OT-Anwendungsfälle erschweren oder unmöglich machen:

• IT-Sicherheitswerkzeuge erfordern nahezu immer Ausfallzeiten für Patches und Upgrades. In der OT-Welt hat die Verfügbarkeit der Systeme höchste Priorität, und selbst eine kurze Patch-Aktion würde wahrscheinlich mehr Störungen verursachen, als toleriert werden kann.

• IT-Sicherheitslösungen leiten den Datenverkehr häufig in die Cloud oder sind in anderer Weise cloudabhängig. Selbst heute ist die OT-Infrastruktur nicht immer mit dem Internet verbunden, was Tools, die eine Cloud-Verbindung erfordern, unbrauchbar macht.

• Viele, wenn nicht sogar die meisten IT-Sicherheitswerkzeuge können die in OT-Umgebungen üblichen veralteten Systeme und Infrastrukturen nicht unterstützen.

IT-Sicherheitsprodukte wurden ursprünglich in OT-Umgebungen verwendet, da es keine anderen Optionen gab. Heute gibt es jedoch spezialisierte Lösungen. Angesichts der wachsenden Bedrohung durch Cyberangriffe auf kritische Infrastrukturen ist es für Industrieunternehmen unerlässlich, Sicherheitstools einzusetzen, die auf die spezifischen Anforderungen und Herausforderungen der OT ausgelegt sind. Nur so lassen sich potenziell katastrophale Angriffe effektiv abwehren.

Erfahren Sie mehr über Cyolo PRO, die hybride Lösung für den privilegierten Fernzugriff für OT-Umgebungen.