FAQ ZUR CYBERSICHERHEIT

Wie unterscheiden sich OT und IT-Cybersecurity?

CYBERSECURITY FAQs

Wie unterscheiden sich OT und IT-Cybersecurity?

Ein einfacher Vergleich zwischen OT und IT lautet wie folgt: Die IT legt Wert auf Datenintegrität, Vertraulichkeit und Verfügbarkeit. Die OT legt Wert auf Betriebszeit, Sicherheit und Zuverlässigkeit der Prozesse.

Die IT ist in einem Unternehmen allgegenwärtig und wird von fast jedem Mitarbeiter in jeder Kostenstelle genutzt. Daher konzentriert sich die IT-Sicherheit auf den Schutz der Daten vor unbefugtem Zugriff oder Veränderung, wobei der Schwerpunkt auf rollenbasiertem Zugriff und der Schulung der Benutzer, dem schwächsten Glied, in sicheren Cybersicherheitsverfahren liegt.

OT und -Netzwerke verwalten und steuern in der Regel die Kronjuwelen, die für den Umsatz eines Unternehmens sorgen (oder wichtige öffentliche Dienste bereitstellen), und das oft autonom. Wenn OT ausfällt oder angegriffen wird, steht mehr auf dem Spiel als bei der IT, insbesondere bei kritischen Infrastrukturen. Daher muss die OT den sicheren und zuverlässigen Betrieb physischer Prozesse gewährleisten.

Der Schutz von OT und -Netzwerken ist im Vergleich zu IT-Cybersicherheitspraktiken mit vielen Herausforderungen verbunden, die eng mit den Unterschieden zwischen OT und IT-Systemen selbst zusammenhängen.

Milliarden vs. Millionen.

Die schiere Menge und Vielfalt von OT und IoT macht ihre Verwaltung schwieriger als die von IT-Geräten. Außerdem ist jede Komponente in einem OT Teil eines größeren Prozesses in einer sehr verteilten Umgebung. Wenn eine Maschine ein Problem hat, muss man sofort erfahren, wovon sie abhängt und was von ihr abhängt.‍

Schwerer zu schützen.

In der Vergangenheit waren OT "air-gapped" - ohne Verbindung zum Internet oder zu Unternehmens-IT-Netzwerken waren Cyber-Bedrohungen kein Thema. Diese Zeiten sind längst vorbei, aber allzu oft wird die Cybersicherheit in OT immer noch vernachlässigt. Dank der industriellen Digitalisierung umfassen die heutigen Produktionsumgebungen Hunderte miteinander verbundener digitaler Systeme, die die Effizienz verbessern, aber auch neue Risiken mit sich bringen. Viele OT werden nicht verwaltet und können nicht wie IT-Computer und -Server gepatcht werden. Wo ein Patching möglich ist, kann es nicht automatisiert werden. Von einigen Ausnahmen abgesehen, beruht die Erkennung von Bedrohungen auf Deep Packet Inspection und verhaltensbasierten Anomalieerkennungstechniken, die speziell für OT entwickelt wurden.

Erkennung von Anomalien vs. Erkennung von Cyber-Bedrohungen.

Ransomware-Angriffe machen Schlagzeilen, aber alltägliche Netzwerk- oder Prozessfehlkonfigurationen, Betriebsfehler, Spitzen bei der Ressourcennutzung und andere Anomalien bedrohen OT viel eher als Angriffe von außen. Eine Anomalie ist alles, was von der Basisleistung abweicht. Das können instabile Prozesswerte, falsche Prozessmessungen und Fehlkonfigurationen sein, die zu Fehlfunktionen führen können.‍

Flüchtige Daten.

Daten, die sich durch OT und -Prozesse bewegen (z. B. Prozesswerte), sind nur für einen Augenblick relevant, und es kann Millionen dieser Datenpunkte pro Minute geben. Daher konzentriert sich die OT weniger auf die Datenexfiltration als vielmehr darauf, sicherzustellen, dass Daten nur zwischen autorisierten Geräten ausgetauscht werden und in jedem Moment aktuell sind.

Längere Lebenszyklen der Geräte.

Die meisten IT-Systeme haben einen kurzen Lebenszyklus mit eingebauter Obsoleszenz. Software wird aus dem Verkehr gezogen oder alle paar Jahre einem größeren Upgrade unterzogen, und Hardware muss häufig ersetzt werden. Die OT hat im Allgemeinen einen langen Lebenszyklus - in manchen Fällen bis zu mehreren Jahrzehnten. Geräte wie SPS werden oft speziell für raue Produktionsumgebungen entwickelt - und für eine lange Lebensdauer gebaut. Viele OT basieren immer noch auf älteren Technologien, die von vornherein unsicher" sind und gut dokumentierte Schwachstellen aufweisen, die allzu oft nicht behoben werden. Außerdem kann es Jahre dauern, bis die Geräte vom Werk genehmigt und vor Ort abgenommen werden, so dass kleine Verbesserungen nicht erwünscht sind.

Kontinuierlicher Betrieb.

Einige OT - und ihre Komponenten - laufen jahrelang ununterbrochen, mit kurzen Zeitfenstern für geplante Wartungsarbeiten. Ein kontinuierlicher Betrieb trägt zur Sicherheit und Zuverlässigkeit bei, da Ausfallzeiten in industriellen Umgebungen zu kritischen Fehlern führen können. Patches (sofern verfügbar) und andere Aktualisierungen sind selten und müssen in engen Wartungsfenstern eingeplant werden.

Einzigartige Betriebssysteme und Protokolle.

Die IT-Abteilung verwendet Standard-Betriebssysteme und kommuniziert mit Standardprotokollen. Viele OT haben proprietäre Betriebssysteme, die speziell auf ihre Verwendung zugeschnitten sind. OT verwenden außerdem Hunderte von Protokollen für die Kommunikation, von denen viele branchenspezifisch und von Natur aus unsicher sind. Diese Protokolle sind auf die Echtzeitüberwachung und -steuerung von physischen Prozessen und Geräten zugeschnitten, wobei Zuverlässigkeit, deterministische Reaktionszeiten und Ausfallsicherheit Vorrang vor Geschwindigkeit und Flexibilität haben. Proprietäre Protokolle wie Modbus oder Profibus, die mithilfe von Deep Packet Inspection (DPI) sorgfältig analysiert werden müssen, um verdächtiges oder anormales Verhalten zu erkennen.IT-Systeme zur Erkennung von Eindringlingen (IDS) und endpoint und Reaktionssysteme (EDRs) verstehen keine Industrieprotokolle und können daher keine Bedrohungen OT erkennen. Im besten Fall wären sie ineffektiv, im schlimmsten Fall könnten sie zu viele Ressourcen verbrauchen oder etwas kaputt machen.

Unsicherer Fernzugriff.

An einem beliebigen Tag können sich Dutzende von Technikern von Drittanbietern per Fernzugriff anmelden, um die Produktion zu überwachen und Fehler zu beheben, wobei sie häufig ihre eigenen Fernzugriffstools verwenden. Der laxe Umgang mit schwachen Anmeldeinformationen und Standardpasswörtern macht Unternehmen anfällig für Angriffe durch Remotecodeausführung.

‍AutonomeGeräte.

Vor allembei unbemannten Geräten werden die Standardpasswörter möglicherweise nie geändert, was es böswilligen Akteuren leicht macht, sie zu hacken, und eine Multi-Faktor-Authentifizierung (MFA) ist unpraktisch. Stattdessen wird eine kontinuierliche Überwachung eingesetzt, um Geräte zu authentifizieren und die Integrität der Kommunikation zwischen Geräten zu gewährleisten.‍

Strengere Segmentierung.

Die Segmentierung ist eine wichtige ausgleichende Kontrolle zur Begrenzung der Kommunikation und zum Schutz von Geräten, die nur selten oder gar nicht repariert werden können. Um die Kronjuwelen der Industrie zu isolieren und zu verhindern, dass Cybervorfälle in IT-Netzwerken seitlich auf OT übergreifen, werden in Industrieumgebungen sichere Zonen und Conduits eingesetzt, die den Verkehr zwischen den Segmenten steuern und überwachen

Überwindung der kulturellen Kluft zwischen IT OT IT

Das Verständnis für Cybersecurity-Risiken, die Einführung bewährter Sicherheitsverfahren und die Schaffung einer Kultur des Bewusstseins in der Industrie sind wichtige kulturelle Veränderungen. Um beispielsweise OT dazu zu bringen, die Minderung von Cybersecurity-Risiken als planmäßige Wartung zu akzeptieren, ist ein Umdenken erforderlich. Da CISOs ein unternehmensweites Risikomanagement einführen und OT zunehmend in ihre Zuständigkeit fällt, muss dieser Wandel stattfinden.

Entgegen der anfänglichen Skepsis profitieren OT von der kontinuierlichen Überwachung von Anlagen und Netzwerken in vielerlei Hinsicht. Sie sammelt eine Fülle von Informationen über die überwachten Anlagen und Prozesse, die nützlich sind, um wichtige Veränderungen zu erkennen, sowohl Anomalien im Vergleich zur Basislinie als auch Bedrohungen der Cybersicherheit. Sobald die kontinuierliche Überwachung beginnt, werden in der Regel Probleme aufgedeckt, von deren Existenz die Betreiber nichts wussten.

Sobald die Plattform Nozomi Networks installiert ist, beginnen die Netzwerksensoren mit der Analyse des ICS-Netzwerkverkehrs und erstellen eine interaktive Visualisierung davon. Betreiber und Cybersicherheitspersonal sehen die industriellen Netzwerkknoten oft zum ersten Mal visualisiert. Sie erkennen schnell Aspekte ihrer Umgebung, die ihnen vorher nicht bewusst waren, und können leicht nach weiteren Informationen suchen.

Die Hinzufügung von sicheren, störungsfreien endpoint , die speziell für OT entwickelt wurden, bietet eine weitere Ebene wertvoller Informationen: Bediener können nicht nur Konfigurationsänderungen und Anomalien erkennen, sondern auch, wer sich bei einem Gerät angemeldet hat, mit welchen anderen Geräten es kommuniziert und welche Protokolle es verwendet. Zwei große Vorteile sind die Transparenz des Ost-West-Verkehrs auf niedrigeren Purdue-Ebenen und nicht autorisierte USB-Verbindungen.

In fusionierten OT Security Operations Centers (SOCs) treffen die beiden Kulturen wirklich aufeinander. Sie erfreuen sich zunehmender Beliebtheit aus offensichtlichen Gründen wie zentraler CISO-Aufsicht, OT , verbesserten Reaktionszeiten und natürlich Kosteneinsparungen. Anstelle eines fusionierten SOC sieht man jedoch häufiger das traditionelle IT-SOC-Team, das einem neuen Kunden, der OT , eine Dienstleistung anbietet. Häufig ist das, was sich abspielt, ein Lehrbuchbeispiel dafür, dass der Dienstleister seinen Kunden nicht versteht. Ein umfassender Wissenstransfer müsste stattfinden, tut es aber nicht.

     

Ein einfacher Vergleich zwischen OT und IT lautet wie folgt: Die IT legt Wert auf Datenintegrität, Vertraulichkeit und Verfügbarkeit. Die OT legt Wert auf Betriebszeit, Sicherheit und Zuverlässigkeit der Prozesse.

Die IT ist in einem Unternehmen allgegenwärtig und wird von fast jedem Mitarbeiter in jeder Kostenstelle genutzt. Daher konzentriert sich die IT-Sicherheit auf den Schutz der Daten vor unbefugtem Zugriff oder Veränderung, wobei der Schwerpunkt auf rollenbasiertem Zugriff und der Schulung der Benutzer, dem schwächsten Glied, in sicheren Cybersicherheitsverfahren liegt.

OT und -Netzwerke verwalten und steuern in der Regel die Kronjuwelen, die für den Umsatz eines Unternehmens sorgen (oder wichtige öffentliche Dienste bereitstellen), und das oft autonom. Wenn OT ausfällt oder angegriffen wird, steht mehr auf dem Spiel als bei der IT, insbesondere bei kritischen Infrastrukturen. Daher muss die OT den sicheren und zuverlässigen Betrieb physischer Prozesse gewährleisten.

Der Schutz von OT und -Netzwerken ist im Vergleich zu IT-Cybersicherheitspraktiken mit vielen Herausforderungen verbunden, die eng mit den Unterschieden zwischen OT und IT-Systemen selbst zusammenhängen.

Milliarden vs. Millionen.

Die schiere Menge und Vielfalt von OT und IoT macht ihre Verwaltung schwieriger als die von IT-Geräten. Außerdem ist jede Komponente in einem OT Teil eines größeren Prozesses in einer sehr verteilten Umgebung. Wenn eine Maschine ein Problem hat, muss man sofort erfahren, wovon sie abhängt und was von ihr abhängt.‍

Schwerer zu schützen.

In der Vergangenheit waren OT "air-gapped" - ohne Verbindung zum Internet oder zu Unternehmens-IT-Netzwerken waren Cyber-Bedrohungen kein Thema. Diese Zeiten sind längst vorbei, aber allzu oft wird die Cybersicherheit in OT immer noch vernachlässigt. Dank der industriellen Digitalisierung umfassen die heutigen Produktionsumgebungen Hunderte miteinander verbundener digitaler Systeme, die die Effizienz verbessern, aber auch neue Risiken mit sich bringen. Viele OT werden nicht verwaltet und können nicht wie IT-Computer und -Server gepatcht werden. Wo ein Patching möglich ist, kann es nicht automatisiert werden. Von einigen Ausnahmen abgesehen, beruht die Erkennung von Bedrohungen auf Deep Packet Inspection und verhaltensbasierten Anomalieerkennungstechniken, die speziell für OT entwickelt wurden.

Erkennung von Anomalien vs. Erkennung von Cyber-Bedrohungen.

Ransomware-Angriffe machen Schlagzeilen, aber alltägliche Netzwerk- oder Prozessfehlkonfigurationen, Betriebsfehler, Spitzen bei der Ressourcennutzung und andere Anomalien bedrohen OT viel eher als Angriffe von außen. Eine Anomalie ist alles, was von der Basisleistung abweicht. Das können instabile Prozesswerte, falsche Prozessmessungen und Fehlkonfigurationen sein, die zu Fehlfunktionen führen können.‍

Flüchtige Daten.

Daten, die sich durch OT und -Prozesse bewegen (z. B. Prozesswerte), sind nur für einen Augenblick relevant, und es kann Millionen dieser Datenpunkte pro Minute geben. Daher konzentriert sich die OT weniger auf die Datenexfiltration als vielmehr darauf, sicherzustellen, dass Daten nur zwischen autorisierten Geräten ausgetauscht werden und in jedem Moment aktuell sind.

Längere Lebenszyklen der Geräte.

Die meisten IT-Systeme haben einen kurzen Lebenszyklus mit eingebauter Obsoleszenz. Software wird aus dem Verkehr gezogen oder alle paar Jahre einem größeren Upgrade unterzogen, und Hardware muss häufig ersetzt werden. Die OT hat im Allgemeinen einen langen Lebenszyklus - in manchen Fällen bis zu mehreren Jahrzehnten. Geräte wie SPS werden oft speziell für raue Produktionsumgebungen entwickelt - und für eine lange Lebensdauer gebaut. Viele OT basieren immer noch auf älteren Technologien, die von vornherein unsicher" sind und gut dokumentierte Schwachstellen aufweisen, die allzu oft nicht behoben werden. Außerdem kann es Jahre dauern, bis die Geräte vom Werk genehmigt und vor Ort abgenommen werden, so dass kleine Verbesserungen nicht erwünscht sind.

Kontinuierlicher Betrieb.

Einige OT - und ihre Komponenten - laufen jahrelang ununterbrochen, mit kurzen Zeitfenstern für geplante Wartungsarbeiten. Ein kontinuierlicher Betrieb trägt zur Sicherheit und Zuverlässigkeit bei, da Ausfallzeiten in industriellen Umgebungen zu kritischen Fehlern führen können. Patches (sofern verfügbar) und andere Aktualisierungen sind selten und müssen in engen Wartungsfenstern eingeplant werden.

Einzigartige Betriebssysteme und Protokolle.

Die IT-Abteilung verwendet Standard-Betriebssysteme und kommuniziert mit Standardprotokollen. Viele OT haben proprietäre Betriebssysteme, die speziell auf ihre Verwendung zugeschnitten sind. OT verwenden außerdem Hunderte von Protokollen für die Kommunikation, von denen viele branchenspezifisch und von Natur aus unsicher sind. Diese Protokolle sind auf die Echtzeitüberwachung und -steuerung von physischen Prozessen und Geräten zugeschnitten, wobei Zuverlässigkeit, deterministische Reaktionszeiten und Ausfallsicherheit Vorrang vor Geschwindigkeit und Flexibilität haben. Proprietäre Protokolle wie Modbus oder Profibus, die mithilfe von Deep Packet Inspection (DPI) sorgfältig analysiert werden müssen, um verdächtiges oder anormales Verhalten zu erkennen.IT-Systeme zur Erkennung von Eindringlingen (IDS) und endpoint und Reaktionssysteme (EDRs) verstehen keine Industrieprotokolle und können daher keine Bedrohungen OT erkennen. Im besten Fall wären sie ineffektiv, im schlimmsten Fall könnten sie zu viele Ressourcen verbrauchen oder etwas kaputt machen.

Unsicherer Fernzugriff.

An einem beliebigen Tag können sich Dutzende von Technikern von Drittanbietern per Fernzugriff anmelden, um die Produktion zu überwachen und Fehler zu beheben, wobei sie häufig ihre eigenen Fernzugriffstools verwenden. Der laxe Umgang mit schwachen Anmeldeinformationen und Standardpasswörtern macht Unternehmen anfällig für Angriffe durch Remotecodeausführung.

‍AutonomeGeräte.

Vor allembei unbemannten Geräten werden die Standardpasswörter möglicherweise nie geändert, was es böswilligen Akteuren leicht macht, sie zu hacken, und eine Multi-Faktor-Authentifizierung (MFA) ist unpraktisch. Stattdessen wird eine kontinuierliche Überwachung eingesetzt, um Geräte zu authentifizieren und die Integrität der Kommunikation zwischen Geräten zu gewährleisten.‍

Strengere Segmentierung.

Die Segmentierung ist eine wichtige ausgleichende Kontrolle zur Begrenzung der Kommunikation und zum Schutz von Geräten, die nur selten oder gar nicht repariert werden können. Um die Kronjuwelen der Industrie zu isolieren und zu verhindern, dass Cybervorfälle in IT-Netzwerken seitlich auf OT übergreifen, werden in Industrieumgebungen sichere Zonen und Conduits eingesetzt, die den Verkehr zwischen den Segmenten steuern und überwachen

Überwindung der kulturellen Kluft zwischen IT OT IT

Das Verständnis für Cybersecurity-Risiken, die Einführung bewährter Sicherheitsverfahren und die Schaffung einer Kultur des Bewusstseins in der Industrie sind wichtige kulturelle Veränderungen. Um beispielsweise OT dazu zu bringen, die Minderung von Cybersecurity-Risiken als planmäßige Wartung zu akzeptieren, ist ein Umdenken erforderlich. Da CISOs ein unternehmensweites Risikomanagement einführen und OT zunehmend in ihre Zuständigkeit fällt, muss dieser Wandel stattfinden.

Entgegen der anfänglichen Skepsis profitieren OT von der kontinuierlichen Überwachung von Anlagen und Netzwerken in vielerlei Hinsicht. Sie sammelt eine Fülle von Informationen über die überwachten Anlagen und Prozesse, die nützlich sind, um wichtige Veränderungen zu erkennen, sowohl Anomalien im Vergleich zur Basislinie als auch Bedrohungen der Cybersicherheit. Sobald die kontinuierliche Überwachung beginnt, werden in der Regel Probleme aufgedeckt, von deren Existenz die Betreiber nichts wussten.

Sobald die Plattform Nozomi Networks installiert ist, beginnen die Netzwerksensoren mit der Analyse des ICS-Netzwerkverkehrs und erstellen eine interaktive Visualisierung davon. Betreiber und Cybersicherheitspersonal sehen die industriellen Netzwerkknoten oft zum ersten Mal visualisiert. Sie erkennen schnell Aspekte ihrer Umgebung, die ihnen vorher nicht bewusst waren, und können leicht nach weiteren Informationen suchen.

Die Hinzufügung von sicheren, störungsfreien endpoint , die speziell für OT entwickelt wurden, bietet eine weitere Ebene wertvoller Informationen: Bediener können nicht nur Konfigurationsänderungen und Anomalien erkennen, sondern auch, wer sich bei einem Gerät angemeldet hat, mit welchen anderen Geräten es kommuniziert und welche Protokolle es verwendet. Zwei große Vorteile sind die Transparenz des Ost-West-Verkehrs auf niedrigeren Purdue-Ebenen und nicht autorisierte USB-Verbindungen.

In fusionierten OT Security Operations Centers (SOCs) treffen die beiden Kulturen wirklich aufeinander. Sie erfreuen sich zunehmender Beliebtheit aus offensichtlichen Gründen wie zentraler CISO-Aufsicht, OT , verbesserten Reaktionszeiten und natürlich Kosteneinsparungen. Anstelle eines fusionierten SOC sieht man jedoch häufiger das traditionelle IT-SOC-Team, das einem neuen Kunden, der OT , eine Dienstleistung anbietet. Häufig ist das, was sich abspielt, ein Lehrbuchbeispiel dafür, dass der Dienstleister seinen Kunden nicht versteht. Ein umfassender Wissenstransfer müsste stattfinden, tut es aber nicht.

     
Zurück zu den FAQs