"Es gibt keine 100%ige Sicherheit in der Betriebstechnologie. Die Angreifer sind immer ein paar Schritte voraus."
Dieses Interview wurde von Cybernews geführt, zuerst veröffentlicht und für diese Website bearbeitet.
Angesichts von Cyberangriffen, die den Strom abschalten könnten, ist das Bewusstsein für solche enormen Risiken heute ausgeprägter denn je. Doch trotz des geschärften Misstrauens und sorgfältiger IT-Richtlinien gibt es immer noch einige Dinge, die dem Auge entgehen.
Die meisten industriellen Systeme, sowohl digitale als auch physische, sind auf Funktionalität und nicht auf Sicherheit ausgelegt, und wenn man das nicht erkennt, kann das zu katastrophalen Ereignissen führen. Viele Unternehmen neigen jedoch immer noch dazu, die Überprüfung und Implementierung von Sicherheits- und Überwachungsmaßnahmen in ihre Betriebstechnologie zu vergessen, wodurch Lücken entstehen, durch die Angreifer schlüpfen können.
Cybernews sprach mit Klaus Mochalski, CEO von Rhebo, einem Unternehmen, das sich auf die Bereitstellung von Sicherheits- und Überwachungslösungen für Betriebstechnologie und IoT spezialisiert hat, über die Bedeutung der Sicherung und des Zugriffs auf die Kerntechnologie.
Warum ist eine kontinuierliche Überwachung mit Erkennung von Bedrohungen und Eindringlingen innerhalb des OT-Netzwerks für die OT-Sicherheit so wichtig?
Um die Metapher einer Festung oder eines Stadtstaates zu verwenden: Firewalls, Authentifizierungsmaßnahmen, Sicherheitsrichtlinien und Datendioden bilden die Stadtmauer und die Torwächter. Sie sind die Grenzkontrolle, die das Eindringen offensichtlicher, leicht identifizierbarer und definierter Feinde verhindert. Einbrüche sind jedoch in jeder Festung möglich, sei es durch geschickte Verschleierung (z. B. Identitätsfälschung über Phishing-Kampagnen), gewaltsames Eindringen (Brute Force), Bestechung (Innentäter), Dritte (Kompromittierung der Lieferkette) oder geheime Passagen (Hintertüren und Softwareschwachstellen). Aus diesem Grund gibt es in jeder Festung und in jedem Stadtstaat Polizei und Geheimdienst für die innere Sicherheit.
Die OT-Überwachung von Rhebo mit Bedrohungs- und Intrusion Detection sorgt für diese innere Sicherheit. Es behält das Innere der Festung im Auge und untersucht kontinuierlich das Verhalten der Akteure innerhalb der Grenzen auf irreguläres oder verdächtiges Verhalten. Auf diese Weise werden Anomalien innerhalb der OT erkannt, detailliert dokumentiert und in Echtzeit an die Geschäftsleitung gemeldet. Dabei spielt es keine Rolle, ob dieses anomale Verhalten von einem "Fremden" (d. h. einem neuen Netzwerkmitglied) oder einem regulären Bewohner der Festung (z. B. einem Administrator) ausgeht. Wenn es nicht dem erwarteten und autorisierten Verhalten entspricht, wird es entdeckt und gemeldet.
Verdeckte Operationen, neuartige Angriffstechniken und komplexe Manöver, die bei professionellen Angriffen eingesetzt werden, werden so frühzeitig erkannt und können sofort lokalisiert und abgewehrt werden.
Was sind Ihrer Meinung nach die größten Probleme, mit denen industrielle IoT- und OT-Umgebungen heutzutage konfrontiert sind?
Im OT und IoT sind wir mit drei Problemen konfrontiert. Erstens ist da der "Insecure by Design"-Aspekt von industriellen Komponenten. Industrielle Geräte und Systeme verfügen kaum über Sicherheitsmaßnahmen. Und selbst wenn so etwas wie die Verschlüsselung von Protokollen verfügbar ist - wie Maßnahmen für MMS-Protokolle, die in der Norm IEC 62351-4 definiert sind - wird sie aufgrund von Konflikten mit der Prozessstabilität und dem Zeitplan kaum implementiert.
Das zweite Problem ist die mangelnde Transparenz der Betriebstechnologie (OT). Für die meisten Betreiber und Sicherheitsingenieure, mit denen wir sprechen, ist die OT eine Blackbox. Sie wissen nicht, was drin ist. Sie wissen nicht, was dort vor sich geht. Und ganz sicher kennen sie weder die Risiken noch die Sicherheitslücken. Wenn wir eine OT-Risiko- und Schwachstellenbewertung durchführen und mit der OT-Überwachung für unsere Kunden beginnen, ist dies in der Regel das erste Mal, dass sie einen Einblick in ihre OT erhalten.
Drittens besteht das Risiko einer Unterbrechung der Lieferkette.
Automatisierte industrielle Netzwerke bestehen aus einer Vielzahl von Systemen und Geräten von mehreren Dutzend verschiedenen Anbietern. Die OT ist also erstaunlich komplex geworden. Unter Berücksichtigung der Probleme "insecure by design" und "lack of visibility" ist es sehr wahrscheinlich, dass ein Angriff oder eine Kompromittierung über einen Zulieferer oder einen für die Wartung zuständigen Subunternehmer erfolgt. Deshalb ist es von größter Wichtigkeit, alle Aktivitäten im OT-Bereich genau zu überwachen.
Wie haben sich die jüngsten globalen Ereignisse auf Ihren Arbeitsbereich ausgewirkt? Haben Sie festgestellt, dass dadurch neue Sicherheitsprobleme entstanden sind?
Unsere Hauptkundengruppe betreibt kritische Infrastrukturen wie Energie- und Wasserversorgung. Natürlich stehen sie an vorderster Front, wenn es um Krisen geht, sei es durch den Personalabbau aufgrund der Pandemie oder durch die Cyberrisiken, die durch Kriege und staatlich gesponserte Gegner entstehen. Aber es handelt sich weniger um ein neues Sicherheitsproblem als vielmehr um ein erhöhtes Bewusstsein und die Angst, ins Kreuzfeuer zu geraten. Was sich also geändert hat, ist, dass die Cybersicherheit kritischer Infrastrukturen - und insbesondere ihrer Betriebstechnologie - für viele Kunden zu einem wichtigen Anliegen geworden ist.
Außerdem ist das Bewusstsein von Betreibern und Sicherheitsingenieuren so stark gewachsen, dass sie sich einer 100%igen Sicherheit nicht sicher sein können, da die wichtigsten Sicherheitslücken außerhalb ihres Zuständigkeitsbereichs liegen. Log4Shell und die wachsende Zahl offengelegter Schwachstellen in industriellen Komponenten haben gezeigt, dass egal, was ein Sicherheitsingenieur unternimmt, um Cybersicherheit zu gewährleisten, es immer eine versteckte Lücke gibt, von der er noch nicht einmal weiß. Es ist das Bewusstsein, nichts zu wissen und nichts wissen zu können. Und das ist in gewisser Weise auch gut so, denn dieses Bewusstsein ist der erste Schritt, um den Prozess der Risikobewertung zu beginnen und nach einer Lösung zu suchen, die Transparenz in die Blackbox bringt und das Problem der unbekannten und neuartigen Angriffsvektoren in Angriff nimmt. Und genau hier kommt Rhebo ins Spiel.
Über welche Sicherheitstools sollten Unternehmen und Einzelpersonen verfügen, um diese neuen Bedrohungen zu bekämpfen?
Im Großen und Ganzen geht es darum, einen Rahmen für eine umfassende Verteidigung zu schaffen. Die üblichen Sicherheitstools wie Firewalls, SIEM, Sicherheitsrichtlinien, Schulungen und Segmentierung sind immer noch absolut wichtig und gültig. Sie erfüllen nach wie vor ihren Zweck, um die Mehrzahl der Angriffe zu verhindern, die bekannten Pfaden folgen. Sie bilden die Stadtmauer und die Torwächter, um auf meine Metapher einer Festung oder eines Stadtstaates zurückzukommen. Darüber hinaus - und das ist ein Unterschied zu früher - brauchen Unternehmen auch Werkzeuge, die diese zweite Verteidigungslinie bilden. Da wir wissen, dass es keine 100-prozentige Sicherheit gibt und dass (insbesondere staatlich geförderte) Angreifer immer ein paar Schritte voraus sind, müssen Unternehmen auf Kompromisse vorbereitet sein. Da sie nicht garantieren können, dass sie alle Angriffe verhindern können, müssen sie ihr Cybersicherheitsteam in die Lage versetzen, erfolgreiche Eindringlinge so schnell wie möglich zu identifizieren. OT-Monitoring mit Bedrohungs- und Intrusion Detection bildet diese zweite Verteidigungslinie für die interne Sicherheit, indem es volle Transparenz innerhalb des OT schafft und verdächtige Aktivitäten in Echtzeit meldet.
Welche Missverständnisse in Bezug auf die IoT-Landschaft sind Ihnen am häufigsten aufgefallen?
Es gibt einige Missverständnisse. Erstens gibt es die Vorstellung, dass sich andere um die Cybersicherheit kümmern werden. Man hofft, dass der Hersteller eines Geräts irgendeine Art von Sicherheit eingebaut hat oder es zumindest so konzipiert hat, dass es so wenig Schwachstellen wie möglich aufweist. Leider ist bei industriellen Geräten und Systemen oft genau das Gegenteil der Fall, da der Schwerpunkt im Allgemeinen auf dem Betrieb und der industriellen Funktionalität liegt.
Der zweite typische Irrglaube, den ich sehr oft höre, ist: "Bisher ist uns noch nichts passiert, wir scheinen sicher genug zu sein". Doch angesichts von Log4Shell, all den Phishing-Kampagnen und weltweiten Umwälzungen ist die Wahrscheinlichkeit groß, dass ihre IT und OT bereits kompromittiert ist. Sie wissen es nur nicht, weil sie keinen Überblick haben und immer noch glauben, dass eine Kompromittierung zu einer sofortigen Unterbrechung führt. Das mag für typische Ransomware-Angriffe zutreffen, aber ganz sicher nicht für gezielte Angriffe wie den, den wir 2016 mit CRASHOVERRIDE beim ukrainischen Energieversorger Ukrenergo gesehen haben. Die Angreifer hielten sich etwa 11 Monate lang in der IT- und OT-Abteilung auf, um Fuß zu fassen, sich der Entdeckung zu entziehen und die Nutzdaten zu platzieren, bevor sie ein 330-kV-Umspannwerk zum Absturz brachten, das 250.000 Menschen ohne Strom ließ.
Was glauben Sie, warum es Monate dauert, bis bestimmte Unternehmen Bedrohungen aufdecken, die sich in ihren eigenen Netzwerken versteckt hatten?
Wie ich bereits erwähnt habe, liegt es an der mangelnden Sichtbarkeit und der fehlenden Fähigkeit, über signaturbasierte Angriffsmuster hinauszugehen. Man kann nicht schützen, was man nicht sieht. Und man kann nicht bekämpfen, was man nicht erkennt. Sie brauchen also eine Lösung, die Transparenz schafft und in der Lage ist, Anomalien im Verhalten von OT-Geräten und -Systemen zu erkennen, unabhängig davon, ob diese Anomalien bekannten Signaturen oder völlig neuen Mustern folgen.
Welche Branchen sollten sich Ihrer Meinung nach besonders um die Sicherheit ihrer IoT-Geräte kümmern?
Hierauf gibt es keine einfache Antwort. Natürlich sind die Branchen mit kritischen Infrastrukturen am stärksten gefährdet. Aber da alles miteinander verbunden und voneinander abhängig ist, muss der Fokus erweitert werden. Bei Kompromissen in der Lieferkette müssen auch Subunternehmer und Anbieter einbezogen werden. Der Fall SolarWinds im Jahr 2020 war eine Warnung. Log4Shell machte Millionen von Unternehmen über Nacht angreifbar. Und die Störung der KA-SATCOM-Satelliteninfrastruktur von Viasat, die angeblich mit der russischen Invasion in der Ukraine zusammenhängt, beweist, wie effektiv es ist, Branchen zu stören, indem man Dienstleister in der Lieferkette ins Visier nimmt. Zumal diese Dienstleister nicht nur für die Branche tätig sind, die das ursprüngliche Ziel sein könnte (d. h. das ukrainische Militär, das die KA-SATCOM-Infrastruktur nutzt), sondern auch für unzählige andere Branchen. Diese anderen Wirtschaftszweige sind möglicherweise nicht das Ziel, sondern werden als Kollateralschaden ebenfalls zu Opfern. So nutzt beispielsweise Enercon in Deutschland die Dienste von Viasat zur Steuerung und Fernwartung seiner Windparks. Nach dem Angriff auf Viasat verlor Enercon die Kontrolle über mehrere tausend Windkraftanlagen. Und plötzlich hat der Krieg zwischen Russland und der Ukraine auch die deutsche Energieversorgung in Mitleidenschaft gezogen.