Nichts geht mehr, alles steht still: Mit einem Angriff auf die IT- und OT-Infrastruktur müssen Unternehmen heute täglich rechnen, oft passiert dies gerade auch an Wochenenden oder kurz vor Feiertagen.
Wie können sich Unternehmen auf den Fall der Fälle vorbereiten? Eine schnelle, koordinierte und effiziente Reaktion hilft, potenzielle Schäden zu begrenzen und verhindert, dass diese für das Unternehmen existenzbedrohend werden. Durch eine gute Vorbereitung kann man die »Headless Chicken Phase« direkt nach einem Angriff auf ein Minimum beschränken und den Mitarbeitenden traumatische Erfahrungen ersparen. Für produzierende Unternehmen, die über Operational Technology (OT) verfügen, erfordert die Vorbereitung auch ein geübtes Zusammenspiel zwischen dem oft IT-lastigen Security Operations Center (SOC) und den Verantwortlichen für die Produktionsanlagen. Die Devise lautet daher: vorbereiten, vorbereiten, vorbereiten!
In der OT-Sicherheit verhält sich vieles anders als in der IT-Sicherheit. Insbesondere spielt die Verfügbarkeit eine wesentlich wichtigere Rolle.
Während man bei IT-Sicherheitsvorfällen betroffene Systeme einfach vom IT-Netzwerk nimmt oder abschaltet, ist dies mit der OT-Infrastruktur oftmals keine Option oder mit erheblichen Schäden und Folgewirkungen verbunden.
Würde man Industrieanlagen, in denen zum Beispiel Metalle und Glas geschmolzen oder auch Butter geschlagen wird, einfach abschalten, müsste man mit Schäden in Millionenhöhe und monatelangen Wiederherstellungszeiten und Produktionsausfällen rechnen. Folgewirkungen können sich auch über das betroffene Unternehmen hinaus erstrecken. Anlagen, die im hohem Umfang Strom verbrauchen, kann man nicht kurzfristig von Stromnetz nehmen, ohne damit die Netzstabilität in der umliegenden Region zu gefährden.
Fünf-Punkte-Plan für mehr Resilienz
Die gute Nachricht ist: Es gibt fünf relativ einfach umsetzbare Maßnahmen, die Unternehmen für den Ernstfall ergreifen können:
1) OT-Notfallteam
Es ist sicherzustellen, dass OT-Notfallteams jederzeit verfügbar und kompetent besetzt sind. Idealerweise wird jahrelange Expertise in den Gewerken mit der IT-Sicherheitsexpertise im SOC verknüpft. Dazu braucht es oft zusätzlich »Übersetzer«, die die Sprachen der IT und die der Asset Owner vor Ort verstehen und so sicherstellen, dass die Kommunikation funktioniert. Diese Personen finden sich im Notfall nicht von allein, deswegen müssen im Vorfeld eines OT-Vorfalls Verantwortliche benannt werden und bekannt sein.
2) Meldeketten
Das OT-Notfallteam versucht die Probleme während eines Angriffs auf einer technischen Ebene in den Griff zu bekommen und eine Eskalation möglichst zu verhindern. Diese gelingt aber nicht immer. Schwerwiegende Entscheidungen müssen in der Regel andere treffen. Dazu braucht es durchdachte Meldeketten mit Eskalationsstufen sowie klaren Übergabepunkten, die festlegen, wer unter welchen Umständen informiert bzw. involviert wird. Wichtig: Einzelentscheidungen sind möglichst zu vermeiden. Entscheidungen sollten in vordefinierten Teams getroffen werden. Wichtig ist es auch, Meldeketten und Eskalationsstufen bis zum Ende durchzudenken. Auch die Frage, wer entscheiden kann, dass ein Vorfall erledigt ist, sollte man im Blick behalten.
3) Dokumentation
Um in der stressigen Situation eines Angriffs effizient reagieren zu können, braucht es Dokumentation, die leicht zugänglich und auch offline verfügbar ist. Dazu gehören:
- Technische Pläne (Netzwerke, Grundrisse, Produktionszellen)
- Kommunikationsalternativen (bei Ausfall von E-Mail und VoIP)
- Meldeketten
- Abschaltpläne: Was kann unter welchen Umständen wie und in welcher Reihenfolge abgetrennt bzw. abgeschaltet werden?
- Pläne zur Einbeziehung von Dritten wie zum Beispiel Strafverfolgung, externe Dienstleister, Notfallunterstützung von Expertinnen und Experten aus Unternehmen in der Umgebung
sowie Entscheidungshilfen:
- Fragenkataloge zur »Triage«, um schnell feststellen zu können, wie schwerwiegend ein Vorfall ist.
- Entscheidungsvorlagen mit Feldern für alle relevanten Informationen, die zur Entscheidungsfindung ab einer bestimmten Eskalationsstufe benötigt werden
Last but not least hilft es bei der Aufarbeitung eines Vorfalls, schon während der Notfallmaßnahmen wichtige Vorgänge und Beobachtungen zu dokumentieren und Daten zu sichern. Auch hier können vorbereitete Templates helfen. Diese Dokumentation unterstützt später die Aufarbeitung einschließlich der Ursachenforschung (»root cause analysis«) und Forensik erheblich und hilft dabei, Prozesse für die Zukunft zu verbessern. Da Firmen im Notfall schon an der Belastungsgrenze arbeiten, kann man hierfür auch externe Partner hinzuziehen, beispielweise Teams aus Universitäten und Forschungseinrichtungen. Idealerweise hat man schon im Vorfeld entsprechende Vertrauensbeziehungen aufgebaut und Vertraulichkeitsvereinbarungen getroffen.
4) Backups
Mit Backups geht in der IT leider noch viel schief. Unternehmen testen zu unregelmäßig, ob ihre Backups funktionieren und mit welchen Wiederherstellungszeiten sie rechnen müssen. In der OT ist dies oftmals noch komplexer. Es geht oft schon los mit der Frage: »Wo sind die Backups?« Manchmal heißt es dann: »Irgendwo hier auf dem Shopfloor sollte sich ein USB-Schlüssel mit dem Backup finden lassen«. Getestete Prozesse für die regelmäßige Erstellung von Backups und Wiederherstellung sowie überprüfte Wiederherstellungszeiten inklusive Hardware und OT findet man selten vor. Solche Zustände könnten bald als fahrlässig bewertet werden. Im Hinblick auf die Umsetzung der neuen EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-II Direktive) in Deutschland werden Vorstände betroffener Unternehmen in vielen Sektoren dann für solche Versäumnisse haftbar gemacht (siehe Leselinks).
5) Üben, üben, üben
Damit im Stress der Abwehr eines Angriffs auch das meiste funktioniert, muss man so viel üben wie möglich. Dazu gehört es, Angriffsszenarien und ihre Folgen in Planspielen zu simulieren. Dies offenbart Wissenslücken und bringt nützliche »daran habe wir noch nicht gedacht«-Momente mit sich. Um besser zu verstehen, wie die Kolleginnen und Kollegen im Notfallteam im Alltag denken und arbeiten, kann sich auch »Job Shadowing« anbieten: Dabei begleitet man die Kolleginnen und Kollegen für eine gewisse Zeit oft für einen typischen Arbeitstag. Zusätzlich lernt man sich dabei auch persönlich besser kennen und kann Vertrauen aufbauen.
Meldeketten, Notfallkommunikation, und Informationsbeschaffung sollte man unter simulierten Angriffsbedingungen testen und üben. Nur so lernt man, ob alle Meldungen auch richtig ausgelöst werden und bei den Zielpersonen ankommen.
Für die OT lohnt es sich, Testzellen einzurichten, an denen man Backup-Prozesse und Wiederherstellung testen kann, ohne in die Produktion einzugreifen. Wenn möglich, sollten Expertinnen und Experten auch an gehackten (oder entsprechend präparierten) Maschinen üben, wie man diese wieder unter Kontrolle bringen kann.
Eins ist klar: All dies organisiert sich nicht von selbst. Anfangs entsteht ein größerer Aufwand, danach sollten regelmäßig Übungen stattfinden und Aktualisierungen der Notfallpläne und der Dokumentation erfolgen. Das geht nur mit der Management-Unterstützung. Im Hinblick auf die oben erwähnte Umsetzung der NIS-II Direktive in Deutschland sollte sich diese Unterstützung wesentlich leichter gewinnen lassen. Niemand will sich schließlich vor Mitarbeiterinnen und Mitarbeiter stellen müssen, um zu sagen: »Ihr Job ist weg, weil ich meinen nicht gemacht habe.«
Sie möchten mehr über OT-Sicherheit erfahren und sich mit Expertinnen und Experten zu diesem Thema austauschen? Dann treten Sie unserer Linked-In Gruppe bei. Dort werden sie auch über zukünftige Blogbeiträge zu OT-Sicherheitsthemen informiert und bekommen Informationen zu relevanten Veranstaltungen am Fraunhofer IAO, z.B. dem OT-Security-Day Stuttgart am 12.09.2024.
Leselinks:
- Symposium: OT-Security Day am 12. September 2024
- News und Austausch zu OT-Sicherheit auf LinkedIn
- Alle Blogbeiträge zu OT-Sicherheit
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, Bearbeitungsstand 07.05.2024
