Operation Technology (OT) umfasst die Hardware und Software zur Optimierung und Automatisierung industrieller Prozesse. Diese Systeme zur industriellen Steuerung (Industrial Control Systems, ICS, oder Supervisory Control and Data Acquisition, SCADA) werden in einer Vielzahl von Branchen eingesetzt. Darunter fallen beispielsweise die Bereiche Energie, Öl und Gas, Wasseraufbereitung, Verteidigung, Transportwesen und Verkehrssteuerung. Zudem kommen sie auch in privaten Einrichtungen zum Einsatz, um Funktionen wie Heizung, Lüftung und Klima (HVAC) zu überwachen und zu steuern.
Mit dem Aufkommen des Industrial Internet of Things (IIoT) können physische, OT- und Cybersysteme nun kombiniert und auf neue Weisen genutzt werden, die noch vor einem Jahrzehnt unvorstellbar waren. Schwachstellen in OT-Netzwerken, Prozessleitsystemen und kritischer Infrastruktur befinden sich jedoch zunehmend im Fadenkreuz hochmotivierter, qualifizierter und staatlich geförderter Angreifer. Ihre Ziele reichen von finanzieller Ausbeutung und Spionage über Sabotage bis hin zur Zerstörung.
"Als Gesellschaft sind wir alle bei einer Vielzahl kritischer industrieller Prozesse auf Betriebstechnologien angewiesen", sagte David Gracey, Chief Information Security Officerbeim Bergbaukonzern Rio Tinto bereits 2015 in einem PwC-Bericht (PDF). Der kontinuierliche und regelmäßige Austausch von Informationen und Erkenntnissen zur Cybersicherheit sei also von wesentlicher Bedeutung, um die Widerstandsfähigkeit dieser Systeme und Prozesse durch neu auftretende Cyber-Risiken zu verbessern.
Echtzeit wird branchen- und sektorenübergreifend zum De-facto-Standard und lässt keinen Raum für Unterbrechungen oder Verzögerungen. Erfolgreiche Cyberangriffe auf OT können daher weit über finanzielle Verluste hinaus gehen und verheerende Folgen haben. Die Konsequenzen können von Blackouts in der Energieversorgung oder dem Gesundheitswesen, über Umweltschäden und damit einhergehend in Extremfällen sogar bis hin zum Verlust von Menschenleben führen.
Zunehmende Konvergenz schafft Angriffsfläche
OT-Systeme werden seit langem in Industriebetrieben eingesetzt, um physikalische Prozesse zu überwachen und zu steuern. Viele dieser OT-Geräte und -Netzwerke sind bereits seit zehn Jahren im Einsatz. Inhärente Sicherheit hatte damals eine nachgelagerte Rolle gespielt, denn die Netze und Geräte waren als geschlossenes System hermetisch vom IT-Netzwerk getrennt. Eine Öffnung oder Interaktion war nicht vorgesehen.
Mit der digitalen Revolution wächst jedoch das Bedürfnis der Anwender nach Daten sowie der Wunsch, auf die Geräte und Steuerungssysteme in Echtzeit zuzugreifen. Durch Konnektivität und wesentlich engere Systemintegration sollen etwa die Effizienz gesteigert, Reportings optimiert, bessere Entscheidungen getroffen und neue Geschäftsmodelle erschlossen werden. Im Ergebnis bewegen sich die OT-Betreiber in vermischten Infrastrukturen. Die starren Grenzen zwischen den beiden bisher getrennten Disziplinen IT und OT verwischen.
Während die meisten Unternehmen im Bereich der Unternehmens-IT-Systeme verstärkt in Sicherheit investieren, wurde dies bei OT oft nicht berücksichtigt. Das führt zu weitreichenden Schwachstellen und größerer Angriffsfläche. OT ist zunehmend DDoS-Angriffen, Malware und anderen schweren Cyber-Risiken ausgesetzt, die zu Ausfallzeiten oder anderen unerwünschten Effekten führt.
Cyberangriffe schießen in die Höhe
Einige OT-Betreiber sind besonders anfällig, vor allem diejenigen, welche die genannten SCADA- oder ICS-Technologien einsetzen. Eine Studie (PDF) von Forrester Research im Auftrag von Fortinet aus dem Jahr 2017 ergab, dass 90 Prozent der 429 befragten Security-Entscheider Opfer einer Sicherheitspanne in diesen Systemen waren.
Anders als in der Vergangenheit steht jedoch inzwischen mehr auf dem Spiel. Ausfallzeiten durch Sicherheitsvorfälle sind schlicht weg undenkbar geworden oder haben bittere Konsequenzen, die nicht wegdiskutierbar sind. Die Bedrohungslage für OT-Umgebungen entwickelt sich täglich weiter, wobei Cyberangriffe an Häufigkeit, Komplexität und Zerstörungskraft zunehmen. Die Aggressoren sind sich der verheerenden Folgen gezielter Angriffe bewusst. Beispielsweise erhielten Cyberkriminelle im Juli 2017 in den USA Zugang zu einem Nuklearenergienetz und anderen Energieunternehmen. Zuvor erlitt ein deutsches Stahlwerk im Jahr 2014 einen Cyberangriff auf das Werksnetz, der zu massiven Schäden am Hochofen führte. Was früher nach einer Hollywood-reifen Szene aus einem Actionfilm klang, ist inzwischen Realität geworden.
Auch andere Branchen spüren die neuen Risiken. Erst Ende Dezember 2018 erfolgte ein Cyberangriff auf die Los Angeles Times und The Chicago Tribune, der den Druckprozess massiv beeinträchtigt hat. Nicht nur die Zeitung selbst sondern auch Ausgaben der New York Times und des Wall Street Journal waren betroffen, die über die gleichen Netze ihren Druckvorgang steuern.
Eine Reihe von DDoS-Angriffen auf einen liberianischen Mobilfunkbetreiber im Oktober 2015 wurde so mächtig, dass er das Internet des westafrikanischen Landes komplett lahmlegte. Im Jahr 2014 feuerte ein Hacker im Namen der Aktivistengruppe Anonymous, mehrere DDoS-Angriffe auf das Boston's Children's Hospital, was zu einer Ausfallzeit von zwei Wochen führte. Dadurch wurden die Patientenversorgung und der Geschäftsbetrieb des Krankenhauses stark beeinträchtigt.
Fazit
Gegner, darunter auch Nationalstaaten mit großer Reichweite, tiefen Taschen und fundierten Kenntnissen der Industriesysteme, haben Unternehmen und kritische Infrastrukturen längst im Fadenkreuz. Die Häufigkeit, Komplexität und Schwere dieser Bedrohungen nimmt ständig zu. Die geänderte Bedrohungslage erfordert die stärkere Zusammenarbeit über die Unternehmensgrenzen hinweg, sei es in Form von Industriekooperationen und dem Austausch zur Prävention, oder mit den Strafverfolgungsbehörden bei Verdachtsfällen.
Sich dem technologischen Fortschritt in Form der Konvergenz der Infrastrukturen und den daraus resultierenden Möglichkeiten durch neue Anwendungsbeispiele zu verschließen, wird kaum die Antwort sein. Wichtig ist, sich der damit einhergehenden Risiken bewusst zu werden, die Aktivitäten auf den Prüfstand zu stellen und an der Widerstandsfähigkeit zu arbeiten - nicht einmalig, sondern fortlaufend.
Eine sichere und widerstandsfähige OT-Umgebung aufrechtzuerhalten, erfordert eine umfassende Verteidigungsstrategie. Das schließt Sicherheitsrichtlinien und -prozesse, die Beschäftigung von Mitarbeitern mit den richtigen Fähigkeiten und insbesondere die Implementierung der richtigen Technologie mit ein. Schon lange wird der Faktor Mensch jedoch zum Engpass. Mangelndes Verständnis von Cyber-Risiken und unzureichende Zusammenarbeit zwischen den relevanten Geschäfts-, IT- und OT-Teams ist oft treibende Kraft bei Datenpannen.
Um der Bedrohungslage habhaft zu werden, dem Gegenüber auf Augenhöhe zu begegnen und schnelle Reaktionsfähigkeit im Angriffsfall zu gewährleisten, bedarf es einem deutlich höheren Grad an Automation. Im Zuge dieser "Automation first"-Haltung gilt es, den Einsatz von Analytics und maschinellem Lernen zu forcieren.