Die Cybersecurity and Infrastructure Security Agency hat in Zusammenarbeit mit dem UK National Cyber Security Centre, oder NCSC-UK, dem FBI und internationalen Partnern kürzlich einen neuen Satz von Richtlinien mit dem Titel Secure Connectivity Principles for Operational Technology veröffentlicht.

Diese neue Richtlinie skizziert neue sichere Konnektivitätsprinzipien für die Betriebstechnik. Diese Prinzipien können angewendet werden, um OT-Betreibern zu helfen, die Konnektivität innerhalb und zu OT-Systemen zu entwerfen, zu überprüfen und zu sichern, um das Verständnis der Konnektivitätssicherheit in eine definierte Cyber-Sicherheitsmaßnahme zu verwandeln.

Diese Richtlinie markiert in vielerlei Hinsicht einen definitiven Wandel. Erstens wird anerkannt, dass Konnektivität, in welcher Form auch immer, sei es für Fernwartung, Analytik und OEM-Unterstützung, eine wichtige Geschäftsanforderung darstellt und nicht gefährdet werden kann. Die Richtlinie fordert, dass die mit der Konnektivität verbundenen Risiken sorgfältig verwaltet werden, ohne dabei das Geschäftsergebnis zu gefährden oder Ressourcen zu überlasten. Bemerkenswert ist auch, dass erwähnt wird, dass Konnektivität nicht als Standardzustand des Betriebs betrachtet werden kann, der ohne Schutzmaßnahmen existiert.  

Diese Richtlinie entfernt sich auch vom sogenannten "Box-Ticking" und der oberflächlichen Einhaltung hin zu einem zielorientierten Rahmen, der die Risiken versteht und Wege aufzeigt, mit den Risiken umzugehen. Die Richtlinie fordert auch, dass OT-Sicherheit als Grundvoraussetzung für physische Sicherheit und Betriebsverfügbarkeit behandelt wird.

Lassen Sie uns nun einen detaillierten Blick auf diese Richtlinie und ihre Auswirkungen für Unternehmen überall werfen.

Bevor wir das tun, vergessen Sie nicht, unseren vorherigen Blogbeitrag über „Der Eurail B.V. Breach Report“ hier zu lesen.

Priorisieren Sie Maßnahmen entsprechend den Ressourcenbeschränkungen
Bereits im Anfangsteil des Richtliniendokuments wird auf die von Unternehmen erlebten Ressourcenbeschränkungen hingewiesen. Die Richtlinie erkennt diese Herausforderung an und empfiehlt, dass Unternehmen ihre Abhilfemaßnahmen gestaffelt und unter Priorisierung der Risiken konzentrieren. Einige Themen, die gemäß der Richtlinie berücksichtigt werden sollten, sind:

•  Bedeutung des zugrunde liegenden Assets/Prozesses: die Rolle und Auswirkung des Geräts oder Prozesses auf Ihre Abläufe, einschließlich der Fähigkeit, Schlüsselfunktionen zu steuern und/oder zu überwachen.

•  Backups: das Vorhandensein von ausfallsicheren oder redundanten Systemen, die die Verfügbarkeit aufrechterhalten und das Risiko unsicherer Betriebsbedingungen oder Dienstausfälle verringern.

•  Implementierungszeit: Die Zeit, die für die Implementierung der Änderung benötigt wird, unter Berücksichtigung der derzeit verfügbaren Mittel und der Komplexität. Es muss verstanden werden, dass die billigste Lösung nicht unbedingt die wirkungsvollste sein könnte, um die Konnektivität zu sichern.

•  Aktive Bedrohungstätigkeiten durch Angreifer mit unterschiedlichem Raffinement, einschließlich Berücksichtigung aktueller geopolitischer Ereignisse, spezifischer Bedrohungen und der potenziellen nationalen Sicherheit von Unternehmen und/oder Kundenorganisationen

Die Kernprinzipien sicherer OT-Konnektivität

Das NCSC fasst sichere Konnektivität in acht strategische Säulen zusammen. Wir sollten diese nicht als unabhängige Aufgaben sehen, sondern als eine geschichtete Defense-in-Depth-Strategie.

•       Netzwerke segmentieren: Wo immer veraltete Produkte vorhanden sind, sollten Segmentierungs- und Netzwerkkontrollen eingesetzt werden. Diese können helfen, die damit verbundenen Risiken zu bewältigen. Jedoch sollten Organisationen solche Maßnahmen als kurzfristige Eingriffe betrachten und bewerten, ob diese Maßnahmen ausreichend sind, während sie einen Zeitrahmen für den Austausch von Assets festlegen

•  Risiken und Chancen ausgleichen: Jede Verbindung muss einen dokumentierten Business Case haben, um zu existieren. Wenn Sie das "Warum" und "Wer" (Senior Risk Owner) nicht definieren können, sollte die Verbindung nicht existieren. In jeder Phase des Designprozesses sollte das Unternehmen beurteilen, ob die Konnektivität in der Lage ist, die im Business Case definierten Risikoschwellen zu erfüllen und ob sie mit dem Bedrohungskontext Ihrer Organisation übereinstimmt oder nicht.

• Lieferkettenrisiken verstehen und adressieren: Es ist unerlässlich, das mit der Beschaffung neuer Produkte verbundene Lieferkettenrisiko zu managen (insbesondere wenn das Produkt aus risikoreichen Regionen stammt oder Komponenten enthält, deren Herkunft unklar oder unbekannt ist). Unternehmen müssen sicherstellen, dass Geräte sicher nach Design sind und unter Einhaltung eines sicheren Produktentwicklungslebenszyklus entwickelt wurden. Dies hilft, das Risiko zu reduzieren, Schwachstellen durch Komponenten Dritter oder unsichere Designpraktiken einzuführen

• Exposition begrenzen: Expositionsmanagement bedeutet, die Angriffsfläche und das damit verbundene Risiko zu verkleinern. Dies bedeutet, eingehende Port-Exposition zu entfernen und sicherzustellen, dass Verbindungen nur innerhalb der OT-Umgebung initiiert werden. In Situationen, in denen Systeme außerhalb der OT-Umgebung Zugriff auf OT-Assets benötigen (wie zum Beispiel für OEM-Fernunterstützung), wird die Verwendung von vermittelten Verbindungen über ein sicheres Gateway empfohlen, das in einem separaten, sicherheitskontrollierten Segment wie einer demilitarisierten Zone (DMZ) gehostet wird. Eine vermittelte Verbindung ist im Wesentlichen eine Methode, bei der die externe Partei eine Verbindung zu einem zwischengeschalteten System (dem Broker) herstellt. Dieses System leitet die Verbindung dann sicher an das OT-Asset weiter. Dies stellt sicher, dass das OT-System niemals direkt dem Internet oder externen Netzwerken ausgesetzt wird und dass alle Zugriffe vermittelt, überwacht und kontrolliert werden.

• Öffentliche Sichtbarkeit verwalten: durch den Einsatz von Werkzeugen zur Verwaltung der externen Angriffsfläche

• (EASM) oder anderen Tools zur Erkennung internetbasierter Assets sollten Unternehmen daran arbeiten, eine versehentliche oder nicht verwaltete Exposition rechtzeitig zu identifizieren, bevor Angreifer dies tun. Diese Entdeckungswerkzeuge indexieren internetverbundene Assets und Protokolle, sodass jeder exponierte Webserver, Fernzugangsportale oder industrielle Geräte finden kann. EASM-Tools können verwendet werden, um Ihre Angriffsfläche zu verkleinern und die Wahrscheinlichkeit eines Angriffs zu reduzieren. Wenn Unternehmenssysteme für diese Scan-Dienste sichtbar sind, ist es sehr wahrscheinlich, dass sie von böswilligen Akteuren gefunden und angegriffen werden, was das Risiko für diese Systeme erheblich erhöht.

• Zentralisieren und standardisieren: Ad-hoc "Shadow OT"-Verbindungen liegen im Kern des Problems. Die Konsolidierung von Zugangspunkten ermöglicht einheitliche Sicherheitskontrollen und einfachere Überwachung.

• Protokolle sichern: Gehen Sie nach Möglichkeit weg von Klartext-Altes-Protokollen und verwenden Sie statt dessen standardisierte, verschlüsselte und authentifizierte Pfade.

• Die Grenze verstärken: Ihre Grenze (wie Firewalls, DMZs, Gateways) ist Ihre primäre Verteidigung. Sie muss modern, modular und in der Lage sein, tiefe Paketinspektionen durchzuführen, um Bedrohungen daran zu hindern, einzudringen.

• Die Auswirkungen eines Kompromisses begrenzen: Gehen Sie immer davon aus, dass ein Einbruch passieren wird. Verwenden Sie Segmentierung, um seitliche Bewegungen und "Kontamination" des breiteren Prozesses zu verhindern.

• Protokollieren und Überwachen: Wenn Sie es nicht sehen können, können Sie es nicht verteidigen. Überwachung ist Ihre "letzte Verteidigungslinie", um anomales Verhalten zu erkennen, bevor es den physischen Prozess beeinträchtigt.

• Plan zur Isolation erstellen: Die Konnektivität muss "abtrennbar" sein. Sie benötigen einen "großen roten Knopf"-Plan, um OT während eines aktiven Vorfalls physisch oder logisch vom IT/Internet zu isolieren, ohne das Werk zu blockieren.

Das "Push-Only"-Gebot

Einer der kritischsten technischen Empfehlungen in der NCSC-Richtlinie ist der Übergang zu "Push-Only"-Architekturen. Dies erfordert ein tieferes Verständnis.

In einer traditionellen IT-Umgebung sind Unternehmen an ungehinderte bidirektionale Anfragen gewöhnt. In hochsicherer OT rät die NCSC, dass keine Port-Anfragen auf der OT-Seite der DMZ offen sein sollten. Alle Daten, sei es Telemetrie für einen Cloud-Zwilling oder Protokolle für ein SOC, müssen aus der höher vertrauenswürdigen OT-Zone in die niedriger vertraute Unternehmenszone "geschoben" werden.

Eine so einfache architektonische Wahl trägt wesentlich dazu bei, eine massive Klasse von Schwachstellen bei der Remote-Ausbeutung zu beseitigen.

Sichere Konnektivitäts-Checkliste für Unternehmen

Basierend auf dem NCSC-Rahmenwerk können OT-Betreiber die folgende Checkliste verwenden, um ihre aktuelle OT-Konnektivitätshaltung zu überprüfen und die Lücken gemäß dieser NCSC-Richtlinie anzupassen.

Phase 1: Governance und Risiko

• [ ] Business-Case-Audit: Hat jede externe Verbindung (OEM, Remotezugriff, Cloud) einen genehmigten Business Case und einen benannten Senior Risk Owner? Ist der Business Case begründet und mit Dokumentation validiert?

• [ ] Asset-Inventar: Haben Sie eine "Definitive Architecture View", die alle Endpunkte von Drittanbietern und "Shadow"-Mobilfunkmodems umfasst? Haben Sie das?

• [ ] Abhängigkeitsmapping: Haben Sie identifiziert, ob OT-Funktionen auf externe Cloud-Dienste angewiesen sind, um zu operieren? (Kann das Werk laufen, wenn das Internet ausfällt?)

Phase 2: Architektonische Verstärkung

• [ ] Eingehende Exposition: Sind alle eingehenden Ports (Abhörports) an der OT-Grenze geschlossen?

• [ ] Push-only-Datenströme: Werden OT-Daten in die DMZ "geschoben", anstatt von externen Systemen "gezogen" zu werden?

• [ ] Protokollstandardisierung: Verwenden Sie moderne, verschlüsselte Protokolle (z.B. OPC-UA mit Sicherheit, HTTPS, MQTT mit TLS) für den gesamten grenzüberschreitenden Verkehr?

• [ ] Verwaltete DMZ: Gibt es eine funktionale DMZ zwischen IT und OT, bei der alle Datenverkehre enden und neu authentifiziert werden?

Phase 3: Defensive Operationen

• [ ] Zero-Trust-Remotezugriff: Ist der Remotezugriff auf bestimmte Assets beschränkt, zeitlich begrenzt und wird mittels Multi-Faktor-Authentifizierung (MFA) durchgesetzt?

• [ ] Segmentierte Protokollierung: Werden Protokolle von Grenzgeräten (Firewalls, IDS) an ein zentrales, sicheres Repository zur Echtzeitanalyse gesendet?

• [ ] Protokollinspektion: Führen Ihre Grenzfirewalls eine "Deep Packet Inspection" (DPI) durch, um sicherzustellen, dass OT-Protokolle nur gültige industrielle Befehle übertragen?

Phase 4: Resilienz und Wiederherstellung

• [ ] Isolations-Playbook: Haben Sie ein getestetes "Kill Switch"-Verfahren, um das OT-Netzwerk während eines vermuteten Einbruchs in weniger als 15 Minuten zu isolieren?

• [ ] Manuelle Rückfalloption: Können Ihre Betreiber den Prozess sicher herunterfahren oder manuell betreiben, wenn die Netzverbindung ausfällt?

• [ ] Bereitschaft für den Neustart: Werden Ihre Sicherheitskontrollen (Firewalls/IDS) einen "Black-Start" der Anlage nach einem vollständigen Stromausfall behindern?

Sie können das vollständige Dokument zu dieser Richtlinie hier lesen.

Buchen Sie eine kostenlose Beratung zur sicheren Konnektivität mit Shieldworkz.

Testen Sie unsere NDR-Lösung für die OT-Sicherheit, hier.