Technische Maßnahmen in OT-Systemen

Von /

Technische Maßnahmen in OT-Systemen

Technische Maßnahmen in OT-Systemen dienen der Umsetzung konkreter Securityfunktionen auf Ebene von Zugriff, Netz, Kommunikation, Schwachstellenbehandlung, Überwachung und Wiederherstellung. Die Unterlage ordnet diese Maßnahmen ausdrücklich der IEC 62443-3-3 zu und nennt als Bezugspunkt die Foundational Requirements sowie die dazugehörigen technischen Umsetzungen im IACS-Umfeld. Zum IACS gehören dabei alle Komponenten, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage notwendig sind, zum Beispiel Steuerungen, Firewalls, Gateways, Switches, SCADA-Systeme, PC-basierte Stationen sowie Softwarekomponenten und Anwendungen.

Physische Security und Identification and Access Management

Im Bereich der physischen Security und des Identification and Access Management werden Zugangskontrollsysteme, biometrische Zugangskontrollen, Keycards und Überwachungssysteme für OT-Umgebungen genannt. Hinzu kommen der Einsatz von Multi-Faktor-Authentifizierung, die Implementierung strenger Passwortrichtlinien und das Vermeiden gemeinsam genutzter Anmeldedaten. Ergänzt wird dieser Bereich durch Tamper Detection mittels Sensoren und Alarmen zur Erkennung von Manipulationen, Role-Based Access Control auf Grundlage von Rollen sowie gezielte Fernzugriffslösungen mit Jump-Servern, VPNs und sicheren Remote-Desktop-Lösungen. Diese Maßnahmen werden den Foundational Requirements FR 1 – Identifizierung und Authentifizierung und FR 2 – Nutzungskontrolle zugeordnet.

Die Benutzerverwaltung wird zusätzlich als eigener technischer Problemraum beschrieben. Genannt werden typische Schwachstellen wie nicht gelöschte Standard- oder Testkonten vor der Übergabe an den Betreiber, nicht entfernte Benutzer mit hohen Privilegien nach dem Ausscheiden aus dem Unternehmen sowie Passwörter, die nicht vertraulich behandelt und nicht regelmäßig geändert werden. Als konkrete technische Maßnahme wird außerdem ein Zugangssystem mit codierten Transponderschlüsseln auf RFID-Basis genannt, mit dem Mitarbeiter entsprechend ihren Fähigkeiten und ihrer Position Maschinenfreigaben und Berechtigungen erhalten. Dieses System dient der Regelung von Zugangsberechtigung und Zugangsbeschränkung, der funktional sicheren Betriebsartenwahl sowie der Vermeidung von Fehlbedienungen und Manipulationen. Weiterhin werden digitale Zertifikate als Mittel zur eindeutigen Identifizierung von Personen oder Geräten beschrieben, sowie Multi-Faktor-Authentifizierung als Kombination zweier unterschiedlicher und unabhängiger Komponenten zum Nachweis der Benutzeridentität.

Netzwerk-Security

Für die Netzwerk-Security werden Netzwerksegmentierung durch VLANs, Firewalls und DMZs, die Trennung von IT- und OT-Netzwerken, MAC-Adressfilterung und unidirektionale Gateways genannt. Hinzu kommen Zero-Trust-Architektur mit Beschränkung des Zugriffs nach dem Prinzip der geringsten Privilegien, IDS/IPS zur Erkennung von Anomalien, Security für Fernzugriffe mit VPN, MFA und sicheren Jump-Servern, Gerätehärtung etwa durch Beschränkung von Wi-Fi- und Bluetooth-Zugängen sowie starke Verschlüsselung, zum Beispiel WPA3 für Wi-Fi. Diese Maßnahmen werden FR 5 – Eingeschränkter Datenfluss zugeordnet.

Einige Einzelmaßnahmen werden zusätzlich gesondert erläutert. Eine Firewall wird als netzwerktechnische Maßnahme zum Blockieren oder Filtern von Verbindungen von einem Netzwerk zu einem anderen Netzwerk beschrieben. Eine Netzwerk-Diode erzeugt einen Datenfluss in nur eine Richtung durch ein Conduit, verhindert die Übertragung in der verbotenen Richtung und wird zur physikalischen Netzwerktrennung verwendet. Ein VLAN wird als logisches Subnetz beziehungsweise als Zone innerhalb eines physischen Netzwerks beschrieben; es kann sich über mehrere Switches erstrecken, und die Kommunikation zwischen zwei VLANs ist über einen Router möglich. Ein VPN wird als Virtual Private Network erklärt, bei dem der Benutzer über einen verschlüsselten Tunnel eine Zone so sehen kann, als wäre er direkt mit ihr verbunden. Die Daten werden verschlüsselt übertragen. Diese Einzelmaßnahmen präzisieren die allgemeinen Netzwerkmaßnahmen des vorherigen Blocks.

Patch- und Schwachstellenmanagement

Im Bereich Patch- und Schwachstellenmanagement werden regelmäßige Patch-Updates genannt, die unter Berücksichtigung der Betriebszeit des Systems angewendet werden sollen. Wenn ein direktes Patching nicht möglich ist, wird virtuelles Patching über Security-Vorrichtungen zur Entschärfung von Bedrohungen genannt. Ergänzend werden Bedrohungsdaten-Feeds empfohlen, damit Schwachstellen mit Bezug zum eigenen System aktuell verfolgt werden können. Diese Maßnahmen werden FR 6 – Rechtzeitige Reaktion auf Ereignisse und FR 7 – Verfügbarkeit von Ressourcen zugeordnet.

Asset Management und Monitoring

Für Asset Management und Monitoring wird eine aktuelle Liste aller OT-Assets gefordert, einschließlich Firmware-Versionen und Konfigurationen. Ergänzend werden IDS/IPS als Werkzeuge zur Erkennung von Anomalien und zur Ereignisüberwachung genannt, mit dem Hinweis, dass diese durch KI verbessert werden können. In der Übersicht der möglichen Maßnahmen werden außerdem Log-Server, Asset Inventory & Mapping, kontinuierliche Netzwerküberwachung und sicheres Konfigurationsmanagement aufgeführt. Ein Log-Server dient dabei der Protokollierung und gegebenenfalls automatischen Auswertung von Ereignissen in einem Netzwerk oder einer Zone. Ein Honeypot wird als Securitymechanismus beschrieben, der Versuche unbefugter Nutzung erkennt, Angreifer vom eigentlichen Ziel ablenkt, sie in einen ungefährlichen Bereich führt und idealerweise beim „Betreten“ einen stillen Alarm auslöst. Dieser Maßnahmenblock wird FR 3 – Systemintegrität, FR 6 – Rechtzeitige Reaktion auf Ereignisse und FR 7 – Verfügbarkeit von Ressourcen zugeordnet.

Datenintegrität und sichere Kommunikation

Für sichere Kommunikation werden verschlüsselte Verbindungen mit TLS, SSH und VPN genannt. Für Dateiübertragungen werden sichere Protokolle wie SFTP genannt. Zur Erkennung von Manipulationen werden Überprüfungen der Datenintegrität über Hash-Verifizierung und Protokollierung angeführt. In der Übersicht der möglichen Maßnahmen erscheinen zusätzlich Signaturen, Schutz vor Malware, Anwendungs-Whitelist, Eingabeüberprüfung, sichere Dateiübertragungen und Datenintegritätsprüfungen. Whitelisting wird dabei als Maßnahme beschrieben, die identifizierten Entitäten explizit Zugang zu bestimmten Privilegien, Diensten oder Mobilität im System gewährt und die Ausführung nicht gelisteter Anwendungen ablehnt. Diese Maßnahmen werden den Foundational Requirements FR 3 – Systemintegrität und FR 4 – Vertraulichkeit der Daten zugeordnet.

Backup und Incident Response

Im Bereich Backup und Incident Response werden regelmäßige Backups genannt, die ausdrücklich als offline und unveränderlich für OT-Daten und Konfigurationen implementiert werden sollen. Hinzu kommen Incident Response Plans mit Entwicklung und Test OT-spezifischer Verfahren für die Reaktion auf Vorfälle und die Wiederherstellung sowie Disaster Recovery und Business Continuity Planning zur Sicherstellung von Ausfallsicherungsmechanismen für kritische Systeme. In der Maßnahmenübersicht erscheinen zusätzlich Rate-Limiting, Incident Response Plan, Disaster Recovery & Business Continuity Plan sowie Asset Inventory, kontinuierliche Netzwerküberwachung, sicheres Konfigurationsmanagement, Bedrohungsdaten-Feeds und regelmäßige Patch-Updates oder virtuelles Patching. Diese Maßnahmen werden FR 6 – Rechtzeitige Reaktion auf Ereignisse und FR 7 – Verfügbarkeit von Ressourcen zugeordnet.

Zuordnung zu den Foundational Requirements

FR 1 – Identifizierung und Authentifizierung
Dazu gehören Zugangsberechtigungssysteme, Tamper Detection, Zertifikate und Authentifizierung über VPN.

FR 2 – Nutzungskontrolle
Dazu gehören Zugangssysteme, Netzsegmentierung, Firewalls, IDS/IPS, MAC-Adressfilterung und Verschlüsselung.

FR 3 – Systemintegrität
Dazu gehören Signaturen, Schutz vor Malware, Anwendungs-Whitelist, Eingabeüberprüfung, sichere Dateiübertragungen, Datenintegritätsprüfungen und Tamper Detection.

FR 4 – Vertraulichkeit der Daten
Dazu gehören VPN, Verschlüsselung, sichere Dateiübertragungen und Datenintegritätsprüfungen.

FR 5 – Eingeschränkter Datenfluss
Dazu gehören Firewall, Netzwerk-Diode und VLAN.

FR 6 – Rechtzeitige Reaktion auf Ereignisse
Dazu gehören Log-Server, Asset Inventory & Mapping, kontinuierliche Netzwerküberwachung, sicheres Konfigurationsmanagement, Bedrohungsdaten-Feeds sowie regelmäßige Patch-Updates oder virtuelles Patching.

FR 7 – Ressourcenverfügbarkeit
Dazu gehören regelmäßige Backups, Rate-Limiting, Disaster Recovery, Business Continuity Plan, Incident Response Plan sowie weitere Maßnahmen aus Monitoring, Konfigurationsmanagement und Schwachstellenbehandlung.

Damit werden die Foundational Requirements in konkrete technische Schutzmaßnahmen für OT-Systeme übersetzt.

Nach oben scrollen