Sicherstellung der OT-Cybersicherheit während Wartungsfenstern von Anlagen und Standorten

In den vielen Gesprächen, die ich mit OT-Betreibern geführt habe, ist ein Thema immer wieder aufgetaucht: die Sicherstellung der Sicherheit während Wartungsfenstern.

In solchen Zeiträumen können kritische Systeme offline gestellt werden, um Patches aufzuspielen, Updates durchzuführen, physische Inspektionen vorzunehmen oder einfach nur neu zu kalibrieren. Obwohl aus Zuverlässigkeits- und Compliance-Sicht unerlässlich, stellen Wartungsfenster eine einzigartige Konvergenz von erhöhter menschlicher Intervention, gelockerten Betriebskontrollen und (normalerweise) vorübergehender Umgehung der Standardabwehr dar. Gegner wissen dies und nutzen oft diese Gelegenheiten für ihre Eindringversuche, Persistenzaktivitäten oder laterale Bewegungen.

In unserem heutigen Blog tauchen wir tief ein und erfahren, warum OT-Wartungsfenster eine Cybersicherheitsblinde Flecken darstellen, welche Taktiken Gegner verwenden, und lernen umsetzbare Maßnahmen kennen, die Sicherheits- und Ingenieurführungskräfte ergreifen können, um Risiken zu mindern.

Bevor wir fortfahren, hatten Sie die Gelegenheit, in unseren Blog über die Identifizierung von OT-Asset-Sichtbarkeitslücken in der Getränkeindustrie zu schauen? Falls nicht, können Sie den Beitrag hier lesen.

Lassen Sie uns eintauchen.

Warum sich Wartungsfenster zu OT-Cybersicherheitsblinden Flecken entwickeln

Wie jeder Hersteller Ihnen sagen würde, sind Wartungsarbeiten in jeder Industrieumgebung unvermeidlich. Aber sie bringen Cyberrisiken mit sich, die sich erheblich von den alltäglichen Operationen unterscheiden:

Vorübergehende Umgehung oder Deaktivierung von Schutzsystemen

• NDRs, Firewalls, Einbruchsverhinderungssysteme und sogar Sicherheitsverriegelungen können manchmal vorübergehend zur Systemprüfung deaktiviert werden.

• Externen Auftragnehmern kann privilegierter Zugriff auf PLCs oder HMIs gewährt werden.

• Legacy-Geräte können direkt von Laptops gepatcht werden, die nicht der normalen Sicherheits-Hardening des Werks unterliegen.

• Werkspersonal kann persönliche mobile Hotspots nutzen, um auf das Internet zuzugreifen und Patches herunterzuladen

Erhöhte menschliche Präsenz

• Anbieter, Auftragnehmer und OEM-Ingenieure können mit ihrer eigenen Ausrüstung betreten.

• Die Glaubwürdigkeitsgrenzen verschwimmen, oft umgehen diese Geräte strenge Zulassungslisten und tragen nicht verifizierte Firmware oder Werkzeuge

• Die Chancen, abgelenkt zu werden, sind auch hoch

Verdichtete Zeitpläne

• Wartungsfenster sind typischerweise kurz, was die Tendenz erhöht, Sicherheitsprozesse „nur um die Dinge zu erledigen“ zu überspringen.

• Der Druck, Ausfallzeiten zu minimieren, schafft Möglichkeiten, um Abkürzungen zu nehmen.

• Systeme können heruntergefahren und neu gestartet werden, ohne eine Sicherheitsabfolge einzuhalten

Sichtbarkeitslücken

• OT-Überwachungstools können heruntergefahren, in den Wartungsmodus versetzt oder durch große Mengen legitimen Re-Konfigurationsverkehrs geblendet werden. Dies schafft einen Nebel, unter dem böswillige Aktivitäten unbemerkt initiiert werden können.

Attraktiv für Gegner

Cyberkriminelle, APT-Gruppen und sogar Insider wissen, dass dies erstklassige Gelegenheiten sind, um:

• Persistenzmechanismen wie unautorisierte Loiterware zu implementieren.

• Unautorisierte Tools für Fernzugriff zu installieren.

• Sich lateral zwischen IT- und OT-Umgebungen zu bewegen.

• Sensible Ingenieurdaten zu exfiltrieren, ohne Alarm auszulösen.

• Hochrisiko-Kommandos können auf ungeschützten Systemen abgesetzt werden

Taktiken der Bedrohungsakteure während Wartungsfenstern

Um die Bedrohung zu verstehen, müssen wir das Verhalten von Gegnern auf reale OT-Operationen abbilden. Anhand von Frameworks wie MITRE ATT&CK für ICS sind hier Schlüsseltaktiken, die Gegner während Ausfallzeiten nutzen:

• Anfänglicher Zugang über Auftragnehmergeräte: Insider oder Agenten von Bedrohungsausakteuren stecken Laptops mit veralteten Patches oder mit Malware beladenen USB-Sticks ein.

• Persistenz: Installation bösartiger Leiterlogik in SPS, oft als Kalibrierungsskripte getarnt.

• Erhöhung von Privilegien: Ausnutzen vorübergehend gelockerter Kontoprovisionierung, um höhere Rechte zu erlangen.

• Lateralbewegung: Pendeln zwischen Engineering-Arbeitsplätzen und OT-Assets, wenn Abwehrmaßnahmen im Wartungsmodus sind.

• Auswirkungen auf Aktivitäten: Manipulation von Sicherheitsinstrumentierungssystemen (SIS) oder Modifizierung von Historiker-Daten, um nach dem Neustart Fehlkonfigurationen zu verursachen.

Gegner benötigen das Wartungsfenster nicht, um sofort eine vollständige Unterbrechung zu erreichen, sie müssen oft nur Vektoren bereitstellen, die später Hintertüren öffnen können.

Behandeln Sie Wartungsfenster als Hochrisikooperationen

Ein robustes, auf IEC 62443-basierendes OT-Cybersicherheits-Programm muss anerkennen, dass Wartung gleich hohes Risiko bedeuten. Dies bedeutet, Governance, Prozesse und Kontrollen speziell für diese Zeiträume zu gestalten. Denken Sie an die Mentalität des „Operationssaals“: Genau wie medizinische Eingriffe hohe Hygiene und strenge Protokolle erfordern, sollte auch die OT-Wartung erhöhte Cybersicherheitskontrollen umfassen.

Mehrstufige Maßnahmen zur Sicherung von Wartungsfenstern einführen

1. Planung vor der Wartung

Cybersicherheitsplaybooks: Entwickeln Sie ein Wartungs-Sicherheits-Playbook, das mit IEC 62443 und NIST CSF abgestimmt ist.

· Definieren Sie, wer temporäre Kontrollumgehungen genehmigt, wie Risiken protokolliert werden und welche kompensierenden Kontrollen aktiviert werden müssen.

Asset- und Patch-Validierung

· Führen Sie eine aktuelle OT-Asset-Inventarliste mit Firmware-Versionen, Patch-Ebenen und bekannten Schwachstellen.

· Validieren Sie Patches in einer Labor- oder Digital-Zwillingsumgebung, bevor Sie sie anlagenweit einsetzen.

Prüfung von Auftragnehmern und Anbietern

· Fordern Sie Lieferanten auf, vor Ankunft Cybersicherheitsanforderungen zu unterzeichnen.

· Verpflichten Sie die Verwendung von Anbieterzugangsportalen oder sicheren Remotezugangslösungen mit Sitzungsaufzeichnung.

· Überprüfen Sie Auftragnehmer-Laptops auf Übereinstimmung mit Unternehmensstandards (AV, Patchen, Verschlüsselung), bevor Sie den Zugang gewähren.

Inzidenzreaktion, Backup- und Wiederherstellungsvorbereitung

· Erstellen Sie Golden-Image-Backups von PLCs, SCADA-Servern und HMIs, bevor die Wartung beginnt.

· Speichern Sie diese in einem sicheren, unveränderlichen Repository, falls eine Rückrolle nötig ist.

· Halten Sie Notfallteams in Bereitschaft

2. Während der Wartung

Netzwerksegmentierung und kontrollierter Zugang

· Isolieren Sie den Wartungsverkehr in dedizierten VLANs oder Zonen.

· Wenden Sie strenge Firewall-Regeln an, die Auftragnehmergeräte auf die Systeme beschränken, die sie benötigen.

Kontrolle von tragbaren Medien

· Setzen Sie Richtlinien durch, bei denen USB-Geräte in sicheren Kiosken gescannt werden, bevor sie benutzt werden.

· Wo möglich, sollte die direkte Verwendung von tragbaren Medien untersagt werden, verwenden Sie stattdessen sichere Übertragungsgateways.

Aktive Überwachung

· Erhöhen Sie die Empfindlichkeit der Netzwerkerkennung und -reaktion (NDR) für Anomalien in Engineering-Protokollen (Modbus, DNP3, PROFINET usw.).

· Setzen Sie eine „Red-Team-Mentalität“ ein: Gehen Sie davon aus, dass Gegner Persistenz versuchen könnten, achten Sie auf ungewöhnliche Konfigurationsänderungen.

Privilegienmanagement

· Richten Sie temporäre Konten für Auftragnehmer ein, teilen Sie niemals permanente Werk-Konten.

· Implementieren Sie zeitgebundene, just-in-time Zugänge mit automatischem Ablauf nach dem Fenster.

Striktes Änderungsmanagement

· Jede Konfigurationsänderung sollte mit wer, was, wann und warum protokolliert werden.

· Video- oder Bildschirmaufnahmen der Wartungssitzungen können als Prüfpfade dienen.

3. Nach der Wartung härten

Validierungstests

· Führen Sie Integritätsprüfungen der PLC-Logik gegenüber Baselines durch.

· Überprüfen Sie, ob Sicherheitsverriegelungen und Alarme nach der Neukonfiguration ordnungsgemäß funktionieren.

Bedrohungsermittlung

· Führen Sie Nach-Wartungs-Kompromissbewertungen durch:

• Suche nach anomalen Diensten auf Engineering-Arbeitsplätzen.

• Fahnden Sie nach Persistenzindikatoren im Speicher der PLC.

• Überprüfen Sie alle Protokolle auf unautorisierte Versuche lateraler Bewegung.

Forensik-Bereitschaft

· Archivieren Sie Protokolle, Zugriffsdatensätze und Sitzungsdaten in manipulationssicherer Speicher.

· Bereiten Sie sie für regulatorische Konformitätsoder Vorfalluntersuchungen vor.

Erfahrungen sammeln

· Führen Sie eine Sicherheitsüberprüfung nach der Wartung durch, an der Operationen, Engineering und Cybersicherheitsteam beteiligt sind.

· Füttern Sie die Erkenntnisse in Playbook-Updates ein.

Organisatorische Resilienz aufbauen

Jenseits technischer Kontrollen hängt die Fähigkeit, OT während Wartungsfenstern zu sichern, stark von Menschen und Governance ab.

Cybersicherheitsschulung für Wartungspersonal

• Schulen Sie Betreiber, Ingenieure und Auftragnehmer in Sachen Cyberhygiene, Phishing, USB-Risiken und Remote-Zugriffsfallen.

• Verwenden Sie szenariobasierte Tischübungen, die speziell wartungsbezogene Angriffe simulieren.

Teamübergreifende Zusammenarbeit

• Fördern Sie die Zusammenarbeit zwischen OT-Ingenieuren, IT-Sicherheit und Werkleitern.

• OT-Personal versteht Prozesssicherheit; IT-Personal versteht die Taktiken von Gegnern, die Synergie ist entscheidend.

Kultur der Sicherheitsverantwortung

• Stellen Sie klar, dass Cybersicherheit kein „IT-Zusatz“ ist, sondern Teil der Anlagensicherheit.

• Etablieren Sie Verantwortlichkeit: Wenn eine Firewall deaktiviert wird, wer zeichnet ab? Wer stellt sicher, dass sie wieder aktiviert wird?

Integration von Compliance

• Stimmen Sie Wartungssicherheitspraktiken mit NIS2, IEC 62443-3-3 und lokalen Vorschriften ab (z.B. NIS2 in der EU, OTCC in Saudi-Arabien, Indiens CEA-Richtlinien oder NERC CIP für Nordamerika).

• Demonstrieren Sie, dass sichere Wartung sowohl eine Compliance- als auch eine Resilienzanforderung ist.

Fortgeschrittene Maßnahmen für reife Organisationen

Für Organisationen, die bereits das oben Genannte implementieren, hier sind fortgeschrittene Schritte:

Führen Sie integrierte Cyber-physische Maßnahmen aus, um Cyber- und physische Sicherheit zu verwalten. Stellen Sie sicher, dass Anlagen, die unter Wartungsfenster fallen, in einem Zustand erhöhter Alarmbereitschaft gehalten werden. 

Adopt digital twins for patch testing

• Simulieren Sie Wartungsszenarien in einem digitalen Zwilling, um Sicherheit zu validieren, bevor Produktionsressourcen berührt werden.

Zero Trust für OT-Wartung

• Erweitern Sie Zero Trust Network Access (ZTNA) auf OT-Umgebungen, Auftragnehmer authentifizieren sich kontinuierlich, mit verhaltensbasierter Vertrauensbewertung.

Verhaltensanalytik bei Änderungen in der Ingenieurtechnik

• Verwenden Sie maschinelles Lernen, um ungewöhnliche Programmiermuster in der SPS-Logik zu erkennen.

Unveränderliches Logging mit Blockchain oder WORM

• Stellen Sie sicher, dass Wartungsprotokolle nicht von Insidern oder Gegnern geändert werden können.

Lieferkettensicherheit

• Validieren Sie Firmware und Patches von OEMs durch kryptografische Signaturen.

• Überwachen Sie auf kompromittierte Anbieter-Updates (eine Taktik, wie sie in SolarWinds-Angriffen verwendet wurde).

Fallstudien

Triton/Trisis Malware (2017)

• Angreifer kompromittierten Sicherheitsinstrumentierungssysteme (SIS) während routinemäßiger Wartungsarbeiten und verursachten fast einen katastrophalen Ausfall.

• Lektion: Selbst Sicherheitssysteme sind während der Wartung nicht immun.

Ransomware in der europäischen Fertigung (2020)

• Angreifer nutzten unbeobachtete Remote-Desktop-Sitzungen aus, die für Anbieter-Patching aktiv blieben.

• Lektion: Temporärer Zugang darf niemals unüberwacht oder persistent gelassen werden.

Angriff auf asiatische Raffinerie (2022, nicht attribuierte APT)

• Gegner setzten Persistenz in PLC-Firmware während einer geplanten Abschaltung ein, die erst Monate später entdeckt wurde.

• Lektion: Bedrohungserkennung nach der Wartung ist von entscheidender Bedeutung, nicht optional.

Zusammenfassend sollten Wartungsfenster nicht nur als Stillstandszeiten für Ausrüstung angesehen werden, sie müssen als Hochrisikooperationen für Cybersicherheit betrachtet werden. Genau wie Anlagen Abschaltungen als kritische Sicherheitsereignisse behandeln, müssen Organisationen die gleiche Strenge auf digitale Sicherheit anwenden.

CISOs, Werkleiter und OT-Sicherheitsverantwortliche müssen sicherstellen, dass:

· Jedes Wartungsfenster mit einem Cybersicherheitsplan beginnt, wobei Inzidenzreaktion berücksichtigt wird.

· Jeder Auftragnehmer oder Anbieter mit einer klaren Sicherheitsbasis eintritt.

· Jede Konfigurationsänderung geprüft, validiert und überwacht wird.

· Jeder Nach-Wartungszyklus Bedrohungserkennung und Lernen aus den Erfahrungen beinhaltet.

· Ein Sicherheitsexperte konsultiert wird, um die Sicherheit während des Fensters zu gewährleisten.

Indem wir Wartung als vorfallnahe Situation mit erhöhter Situation und Risikoerkennung umformulieren, können Organisationen Gegnern eine ihrer am leichtesten ausnutzbaren Gelegenheiten verweigern. Das Ergebnis ist eine stärkere Resilienz, höhere Sicherheit und eine Anlage, die wirklich sicher ist, nicht nur im Betrieb, sondern auch während der Reparatur.

Möchten Sie mehr darüber erfahren, wie Sie die Sicherheit am Standort während Wartungsfenstern sicherstellen können? Sprechen Sie jetzt kostenlos mit unserem IEC 62443 und NIS2-Experten.