FI-DV 08 IT-Security in der OT

IT-Security in der OT

In diesem Modul erkunden Sie die spezifischen Herausforderungen der IT-Sicherheit in der Operational Technology (OT). Sie lernen die grundlegenden Konzepte der IEC 62443-Norm kennen und verstehen, wie Netzwerksegmentierung nach dem Purdue-Modell zur Absicherung von Industrieanlagen beiträgt. Sie erwerben praktische Kenntnisse im Einsatz von Firewalls in der Fertigungsumgebung und erhalten Einblicke in die Arbeit von ICS-CERTs.

Die Teilnehmer:innen werden befähigt, Sicherheitskonzepte für OT-Umgebungen zu bewerten und umzusetzen. Sie können Schwachstellen in industriellen Netzwerken identifizieren und geeignete Schutzmaßnahmen implementieren, um die Verfügbarkeit, Integrität und Vertraulichkeit von OT-Systemen zu gewährleisten.

Konzepte und Hintergrund

IEC 62443

Die internationale Normenreihe für IT-Sicherheit in der Automatisierungstechnik und industriellen Steuerungstechnik. Sie definiiert Sicherheitsanforderungen, Sicherheitslevel und provides einen Rahmen für die Sicherheitskonzeption, -implementierung und -wartung von OT-Systemen.

Netzwerksegmentierung (Purdue-Modell)

Ein Referenzmodell zur Hierarchisierung von Industrieanlagen in Sicherheitszonen. Das Purdue-Enterprise-Reference-Architecture (PERA) unterteilt die Anlage in Ebenen von der Unternehmens-IT bis zur Feldebene, mit strengen Trennwänden zwischen den Zonen, um die Ausbreitung von Angriffen zu begrenzen.

Firewalls in der Fabrik

Speziell für OT-Umgebungen konzipierte Sicherheitsgeräte oder Software, die den Netzwerkverkehr zwischen verschiedenen Zonen (z.B. IT/OT) filtern. Im Gegensatz zu herkömmlichen Firewalls berücksichtigen OT-Firewalls protokollspezifische Merkmale und Echtzeitanforderungen der industriellen Kommunikation.

ICS-CERT

Industrial Control Systems Cyber Emergency Response Teams sind spezialisierte Einheiten, die auf die Abwehr von Cyberangriffen auf kritische Infrastruktur spezialisiert sind. Sie warnen vor Bedrohungen, koordinieren Incident Response und bieten Sicherheitsberatung für Betreiber von OT-Systemen.

Architektur-Diagramm

flowchart TB
    subgraph "IT-Netzwerk"
        A[Internet]
        B[DMZ mit Webserver]
        C[IT-Server]
    end
    
    subgraph "OT-Netzwerk"
        D[Engineering Workstation]
        E[SCADA-System]
        F[PLCs/RTUs]
        G[Sensoren/Aktoren]
    end
    
    A --> B
    B --> C
    C -->|Sicherter Tunnel| D
    D --> E
    E --> F
    F --> G
    
    classDef zone fill:#f9f,stroke:#333,stroke-width:2px;
    classDef firewall fill:#bbf,stroke:#333,stroke-width:2px;
    
    class A,B,C,D,E,F,G zone;
    class D,E firewall;

Praktische Schritte

1. Erstellen Sie ein Netzwerksegmentierungsplan basierend auf dem Purdue-Modell, der alle kritischen Assets identifiziert und in Sicherheitszonen einteilt. Dies bildet die Grundlage für alle weiteren Sicherheitsmaßnahmen.
2. Implementieren Sie physische oder logische Trennwände zwischen den Zonen mit OT-spezifischen Firewalls, die nur den notwendigen Verkehr erlauben. Konfigurieren Sie die Firewalls mit strengen Regeln, die nur die erforderlichen Protokolle und Ports freigeben.

3. iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.10.0/24 -p tcp --dport 502 -j ACCEPT
   iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -p tcp --sport 502 -j ACCEPT
   iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.10.0/24 -j DROP

   Konfigurieren Sie Firewall-Regeln, die nur die notwendige Modbus-Kommunikation zwischen IT- und OT-Zonen erlauben und alle anderen Verbindungen blockieren.
4. Installieren und konfigurieren Sie ein System zur Überwachung des Netzwerkverkehrs (Network Detection and Response) in der OT-Umgebung, um Anomalien zu erkennen. Nutzen Sie Tools wie Zeek (früher Bro) oder spezielle OT-Security-Plattformen.
5. Implementieren Sie ein Patch-Management für OT-Systeme, das die Besonderheiten der industriellen Umgebung berücksichtigt. Testen Sie Patches in einer Staging-Umgebung, bevor Sie sie in der Produktion einspielen.
6. Erstellen Sie ein Incident Response-Plan speziell für OT-Sicherheitsvorfälle, der die schnelle Wiederherstellung der Produktion priorisiert. Definieren Sie klare Eskalationspfade und Kommunikationswege.

7. sudo systemctl enable --now auditd
   auditctl -w /etc/ot-firewall.conf -p wa -k firewall-config
   auditctl -w /var/log/ot-traffic.log -p wa -k traffic-logs

   Richten Sie eine Überwachung der Firewall-Konfiguration und des Netzwerkverkeils ein, um unbefugte Änderungen oder verdächtige Aktivitäten zu erkennen.

Häufige Fallstricke

Weiterführende Ressourcen

• IEC 62443-3-3: Security for industrial automation and control systems - Part 3-3: System security requirements and security levels
• CISA ICS Security Summary: Understanding and Implementing Defense-in-Depth Strategies
• ISA/IEC 62443 Standards Series - ISA
• US-CERT: Understanding Industrial Control Systems (ICS) Cybersecurity
• Purdue Enterprise Reference Architecture (PERA)

Wissens-Check

Vier Fragen zur Selbstkontrolle. Klicken Sie jede Frage an, um die richtige Antwort und Erklärung zu sehen.

Was ist der Hauptzweck der Netzwerksegmentierung nach dem Purdue-Modell in OT-Umgebungen?

• A) Die maximale Netzwerkgeschwindigkeit zu erhöhen
• B) Die Ausbreitung von Angriffen zwischen verschiedenen Sicherheitszonen zu begrenzen
• C) Die Anzahl der benötigten Netzwerkkomponenten zu reduzieren
• D) Die Implementierung von Cloud-Diensten zu vereinfachen

Richtige Antwort: B. Die Netzwerksegmentierung nach Purdue dient primär der Sicherheit, indem sie Angriffe auf einzelne Zonen beschränkt. Die anderen Optionen behandeln zwar Netzwerkthemen, aber nicht den Sicherheitsaspekt der Segmentierung.

Was unterscheidet OT-Firewalls von herkömmlichen IT-Firewalls?

• A) OT-Firewalls haben keine Filterregeln
• B) OT-Firewalls berücksichtigen protokollspezifische Merkmale und Echtzeitanforderungen
• C) OT-Firewalls sind immer teurer als IT-Firewalls
• D) OT-Firewalls können nur mit bestimmten Hardware-Komponenten eingesetzt werden

Richtige Antwort: B. OT-Firewalls sind speziell auf die Anforderungen der industriellen Kommunikation zugeschnitten, was protokollspezifische Besonderheiten und Echtzeitanforderungen umfasst. Die anderen Aussagen sind falsch, da OT-Firewalls Filterregeln haben, nicht immer teurer sind und softwarebasiert eingesetzt werden können.

Welche der folgenden Aussagen zur IEC 62443-Norm ist korrekt?

• A) Sie gilt ausschließlich für IT-Netzwerke
• B) Sie definiert Sicherheitsanforderungen und -level für OT-Systeme
• C) Sie wurde ausschließlich von deutschen Entwicklern erstellt
• D) Sie betrifft nur die Hardware-Sicherheit in der Industrie

Richtige Antwort: B. Die IEC 62443-Norm definiert Sicherheitsanforderungen und -level speziell für OT-Systeme. Die anderen Aussagen sind falsch, da die Norm für OT gilt, international entwickelt wurde und sowohl Hardware- als auch Software-Sicherheit abdeckt.

Was ist die Hauptaufgabe von ICS-CERTs?

• A) Die Entwicklung neuer industrieller Protokolle
• B) Die Absicherung von IT-Netzwerken in Unternehmen
• C) Die Abwehr von Cyberangriffen auf kritische Infrastruktur
• D) Die Schulung von IT-Personal in Netzwerkgrundlagen

Richtige Antwort: C. ICS-CERTs sind spezialisierte Einheiten, die auf die Abwehr von Cyberangriffen auf kritische Infrastruktur und OT-Systeme spezialisiert sind. Die anderen Optionen beschreiben Aufgaben, die nicht zum Kernbereich von ICS-CERTs gehören.