OPSWAT kritische Infrastrukturen; dies beschränkt sich jedoch nicht auf das, was Regierungen als „kritische Infrastruktur“ definieren, sondern umfasst alles, was Sie als kritisch erachten.
Im Mittelpunkt dieser Infrastruktur stehen kritische Daten – Daten, die einen sicheren, stabilen und unterbrechungsfreien Betrieb gewährleisten.
In ICS- (Industrial Systems) und OT-Umgebungen spiegeln diese Daten die Kernfunktionen bzw. -prozesse des Unternehmens wider. Wenn es jedoch zu einem Cybervorfall kommt, steht die Eindämmung an erster Stelle.
Das Dilemma der Eindämmung
Der erste Schritt bei der Eindämmung besteht darin, die betroffenen Systeme zu isolieren und Verbindungspfade zu unterbrechen, über die sich der Angriff ausbreiten könnte. So fordert beispielsweise die CISA (Cybersecurity and Infrastructure Security Agency) in ihren Leitlinien zur Reaktion auf Ransomware ausdrücklich, betroffene Systeme unverzüglich zu isolieren und Geräte nach Möglichkeit vom Netz zu trennen(1). Dies ist ein fundierter Ratschlag – doch in industriellen Umgebungen kann er zu einem betrieblichen Dilemma führen:
| Sicherheit erfordert Trennung | Der operative Bereich benötigt Transparenz |
|---|---|
| Seitliche Bewegung unterbinden | Laufen die Systeme noch sicher? |
| Schluss mit der Befehls- und Kontrollstruktur | Sind die Systeme stabil oder weichen sie zunehmend von den Toleranzgrenzen ab? |
| Verbreitung verhindern | Müssen wir den Betrieb einstellen oder können wir ohne Zwischenfälle weiterarbeiten? |
Optische Dioden lassen keinen Raum für Zweifel
Eine optische Datendiode ermöglicht es Unternehmen, bidirektionale Verbindungen wie Firewalls, VPNs, Fernzugriff und Vertrauensbeziehungen zu sperren, während kritische Telemetriedaten weiterhin nach außen übertragen werden können. Diese Methode bietet einen Mechanismus für Prozesstransparenz, erhöhte Sicherheit und eine verbesserte Entscheidungsfindung auf der Grundlage von Echtzeitdaten.
Der Core
Auch wenn Sie während der Isolierung die „Tür“ zwischen IT und OT „schließen“, können Sie dennoch einen „Briefschlitz“ offen lassen, durch den schreibgeschützte Prozessdaten aus der OT-Umgebung herausgelangen können – und das alles, ohne einen Netzwerkweg zurück in die OT-Umgebung zu schaffen.
Die Isolierung als Teil der Incident Response (IR) steht im Einklang mit den seit langem bestehenden OT-Sicherheitsrichtlinien des NIST. Das NIST weist darauf hin, dass eine Alternative zur Firewall ein unidirektionales Gateway bzw. eine Datendiode ist, die nur autorisierte, konfigurierte Kommunikation in eine Richtung zulässt (2).
Was passiert, wenn alles dunkel wird?
Wie lässt sich die Produktion ohne Automatisierung und Infrastruktur aufrechterhalten? Ein häufig zitiertes Beispiel für „Eindämmung durch Abschaltung“ ist der Ransomware-Vorfall bei Norsk Hydro im Jahr 2019, bei dem das Unternehmen den Netzwerkzugang sperrte, um eine Ausbreitung zu verhindern, und für einen bestimmten Zeitraum auf manuelle Prozesse zurückgriff. Die Ransomware „LockerGoga“ traf einige ihrer Aluminiumverarbeitungswerke am stärksten, und die finanziellen Auswirkungen beliefen sich auf bis zu 71 Millionen US-Dollar. Pensionierte Werksmitarbeiter, die mit dem alten Papiersystem vertraut waren, meldeten sich freiwillig, um in ihre Werke zurückzukehren und die Produktion am Laufen zu halten(3).
Dieser Fall ist aufschlussreich, da er verdeutlicht, welche betrieblichen und finanziellen Kosten entstehen, wenn während der Reaktion auf Sicherheitsvorfälle die digitale Konnektivität und die zentrale Übersicht über automatisierte Prozesse verloren gehen. Es war die richtige Entscheidung.
Transparenz bei der Entscheidungsfindung mit Begrenzung
In vielen Industrieunternehmen hängt die Prozesstransparenz vom Datenfluss aus OT-Quellen ab, wie zum Beispiel:
- OPC-UA-Server (Echtzeitwerte, Alarme, kontextbezogene Daten)
- Historien wie AVEVA PI (Zeitreihen + Ereignisse + Asset-Framework-Kontext)
Während der Isolierung ist es üblich, Firewalls und Regeln zu deaktivieren oder den Fernzugriff zu sperren, um zu verhindern, dass OT-Telemetriedaten mit Unternehmenssystemen verbunden werden. Eine Diodenarchitektur verändert diesen Fehlermodus:
- Sie können die Firewall- oder Server-Routen für eingehenden Datenverkehr deaktivieren.
- Sie können weiterhin Einweg-Telemetriedaten abrufen, um den Überblick über die Lage zu behalten und Vorfälle schneller in Echtzeit einzustufen.
- Wenn Sie andere Tools zur Netzwerküberwachung einsetzen, die zur Erkennung von Bedrohungen auf die Transparenz des Netzwerkverkehrs angewiesen sind, können Sie den Datenfluss über eine Diode aufrechterhalten
Beispielszenario
Vorfall
Ransomware bricht im Unternehmensnetzwerk aus. Das Incident-Response-Team isoliert und unterbricht den Datenverkehr zwischen IT und OT, um eine Infizierung der OT-Infrastruktur zu verhindern.
Problem
Die zentralen Teams verlieren den Zugriff auf OT-Dashboards und Historienansichten, die Aufschluss darüber geben, ob die Umgebung sicher und stabil ist.
Mithilfe einer Diode leitet die OT weiterhin schreibgeschützte Telemetriedaten an ein Empfängernetzwerk weiter, wo die Führungskräfte des SOC und des Betriebs wichtige Trends, Alarme und Sicherheitsdaten einsehen können – ohne dass dabei Steuerungsdaten zurück in die OT-Umgebung gesendet werden.
Eine Diode „löst zwar das Ransomware-Problem nicht“ (informieren Sie sich über Präventionstechnologien in MetaDefender Core), doch sie verringert das Ausmaß der Auswirkungen, indem sie den eingehenden Netzwerkzugriff aus Risikozonen verhindert und gleichzeitig ein Mindestmaß an operativer Transparenz gewährleistet.
Zu übermittelnde praktische Daten
Um die operative Effektivität zu gewährleisten, sollten Sie in der Planungsphase Ihres IR-Plans einen Datensatz zur Krisentransparenz definieren. Dieser sollte unter anderem folgende Daten enthalten:
- Sicherheitsrelevante Prozesswerte (Druck, Temperatur, Füllstände, Verriegelungen)
- Betriebs-/Statusanzeigen (Auto/Manuell, Freigabe, Auslösungen)
- Alarmübersichten (Anzahl + häufigste Alarme)
- Telemetriedaten zum Netzwerkzustand (kritische Switches/Router, Status von Geräten/Ports (aktiv/inaktiv), historische Zustandsdaten)
- Mindestkontext (Asset-Bezeichnungen/Einheiten, damit die Teams diese schnell interpretieren können)
Referenzen
1. CISA. https://www.cisa.gov/ransomware-response-checklist; CISA. [Online]
2. NIST. SP800-82r3. NIST. [Online] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf.
3. Briggs, Bill. Hacker greifen Norsk Hydro mit Ransomware an. Das Unternehmen reagierte mit Transparenz. Microsoft.com. [Online] 16.12.2019. https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/.
