Operationale Technik (OT), die für den Betrieb von Industrieanlagen zuständig ist, und die Informationstechnik (IT) sind schon längst nicht mehr getrennt. Die Digitalisierung führt zu einer immer engeren Verschränkung der beiden Bereiche, mit Folgen für die Sicherheit. Cyberangriffe sind somit möglich und werden auch schon ausgeführt (vgl. hierzu den Computerworld-Hintergrundbericht zur OT-Security).

So weit so unschön. Doch bei den derzeitigen Berührungs- und Verknüpfungspunkten wird es nicht bleiben. Denn auch auf die OT-Welt warten grössere Umwälzungen. Dies ist zumindest das Fazit der Keynote von Dale Peterson, OT Industry Evangelist und Experte in Sachen ICS (Industrial Control Systems), an der dieses Jahr online stattfindenden Konferenz «Fortinet Secure OT 2020». «Oft fällt der Spruch: 'In der OT wird das nicht funktionieren'», berichtet Peterson. Doch auch wenn diese Aussage oft zu hören sei, bleibe sie falsch. «Irgendwann finden alle technischen Erungenschaften auch ihren Weg in die ICS-Welt», meint er und untermauert dies mit Beispielen wie Ethernet, Windows, Active Directory oder Virtualisierung, die alle Eingang in die OT-Welt gefunden hätten.

Laut Peterson steht die Branche daher vor weiteren Disruptionen, die schlussendlich zu einer engeren Verzahnung der beiden Welten führen. So würden heute noch wenige Daten über Unregelmässigkeiten in ICS in die SIEM-Systeme (Security Information and Event Management) und in die SOC (Security Operation Center) auf der IT-Seite der Unternehmen gelangen. Dies werde sich ändern, so Peterson. Kontextuelle Daten würden dann in beide Richtungen fliessen. Denn in Zukunft werde es sich nicht mehr lohnen für beide Bereiche, OT und IT, ein SOC zu betreiben. «Das Enterprise-SOC wird daher in Zukunft verantwortlich sein und Vorkommnisse im OT-Bereich aufdecken sowie darauf reagieren», fügt Peterson an.

Auch auf die Operateure der Anlagen kommen gemäss dem ICS-Experten Veränderungen zu. Sie würden nämlich oft recht repetitive Aufgaben ausführen, die sich durch Machine-Learning-Systeme ersetzen liessen. Allerdings wäre dies nicht das Ende der Operateure selbst, betont er sofort. Für ungewöhnliche Vorkommnisse bräuchte es sie noch. Allerdings müssten sie hierfür weitergebildet werden und über mehr Skills verfügen.

Auch das Cloud-Thema beherrscht mittlerweile die OT- und ICS-Welt. Peterson warnt in diesem Zusammenhang vor allem vor sogenannten geschlossenen Kreisläufen (Closed Loops), wenn also nicht nur Prozesse zwecks Effizienzsteigerung in die Cloud ausgelagert werden, sondern auch aus der Cloud Befehle ans ICS geschickt würden. «Hier wird es beängstigend», meint er.

Abzuhalten sei die Cloud-Entwicklung nicht, da sie auch viele Vorteile für die Industrie biete, so der Experte weiter. Er präsentierte diesbezüglich Beispiele von digitalen Zwillingen und Geistern (Digital Twin und Digital Ghost) in der Cloud. Mit diesen könnten Security-Massnahmen schlussendlich verbessert werden.

Dass die Cloud in Zukunft eine grosse Rolle spielen werde, davon waren auch die Teilnehmer einer anschliessenden Diskussionsrunde überzeugt. Sie wiesen zudem darauf hin, dass sich die Grenzen zwischen IIoT (Industrial Internet of Things) und OT vermischen werden.

Disruptionen und Änderungen geschehen derweil nicht nur in der OT-Welt selbst. Auch auf Seiten der Cyberkriminellen tut sich einiges. Einen Überblick über die aktuelle Gefahrenlage gab im Anschluss Anthony Giandomenico, der als Practice Director im Bereich «Digital Forensics and Incident Response» von Fortinet tätig ist. Er zitiert eine aktuelle, hauseigene Studie, der zufolge 74 Prozent der OT-Betreiberorganisationen in den letzten 12 Monaten von einem Malware-Angriff betroffen waren.

Und diese Malware wendet sich laut Giandomenico immer gezielter an OT-Systeme. Er nennt als Beispiel die Ransomware «Ekans», die dieses Jahr gezielt für ICS-Kampagnen verwendet wurde. «Ekans konnte beispielsweise die Firewall des Hosts ausser Gefecht setzen und ganz bestimmte OT-Dienste ausschalten», berichtet er.

«Die Angriffe werden ausgeklügelter», fasst Giandomenico zusammen. So verwende die Hackerseite mittlerweile über 70 Techniken, um die Sicherheitssysteme auszuhebeln und zu umgehen. Zudem werden zunehmend automatisierte und gezielte Attacken kombiniert. «Sie können sicher sein, dass Malware den Weg in ihr System finden wird», sagt er. Daher sei es um so wichtiger, dass diese Versuche erkannt und bekämpft würden.

Eine weitere Empfehlung des Fortinet-Experten an die Verantwortlichen ist es daher, sich über die Taktiken, Techniken und Prozeduren der Angreifer schlau zu machen. «Zum Glück gibt es hierfür mittlerweile das MITRE-ATT&CK-Rahmenwerk und -Wissenplattform, mit der abgeklärt werden kann, wie effektiv die eigenen Sicherheitsvorkehrungen gegenüber echten Attacken bestehen können», meint Giandomenico und zeigte in diesem Zusammenhang als Beispiel die aktuelle «Heat Map» des Frameworks. Diese gibt es nicht nur in einer umfassenden Form für alle Industrien, sondern auch spezialisiert für einzelnen Branchen.