Direkt zum Inhalt

OT ist nicht gleich IT

OT ist nicht gleich IT

OT (Operative Technologien) bezeichnet das Zusammenspiel von Hard- und Software, mit dem die Prozesse, Ereignisse und Leistungen von meistens industriellen Geräten, Maschinen und Anlagen überwacht, kontrolliert und gesteuert werden. Eine weitere gängige Bezeichnung für diese Art von Computing ist auch IOT (Internet of Things). Meistens aber nicht zwingend besteht der Computing-Teil der OT aus Kleinst-oder Industriecomputer die sich gegenüber "normalen" Client/Server Systemen im Wesentlichen darin unterscheiden, dass die Computing-Power massiv darunter liegt. Dies vor allem, weil die Anforderungen zur Informationsverarbeitung bei einer OT Device viel spezialisierter und darum auch geringer sind. Durch die minderen Anforderungen an Computer-Power kann in OT Geräten der Fokus auf weniger Stromverbrauch und Resistenz gegenüber jeglichen Umwelteinflüssen gelegt werden. 

Aber nicht nur auf Hardware Ebene sind die Anforderungen bei einem OT Device andere als bei normalen Computer. Während bei PC's das Betriebssystem meistens schon ein paar GB Festplattenspeicher verbraucht, sind die Betriebssysteme auf OT Geräten wesentlich schlanker, weil auch hier wieder viel spezialisierter gearbeitet wird. Zudem verzichtet die Anwendungssoftware auf OT Geräten meistens vollständig auf ein User Interface weil in den allermeisten Fällen nur Machine-to-Machine Kommunikation stattfindet. Dementsprechend müssen die grafischen Bibliotheken weder kompiliert noch integriert werden. Dasselbe gilt für weitere Teile eines klassischen Betriebssystems, wie beispielsweise den IP Stack. 

Dafür sind OT Devices im Gegensatz zu herkömmlichen Computern oft in sich geschlossene Systeme. Hardware und Software inkl. Betriebssystem und Anwendungssoftware kommen aus einer Hand. Das Betriebssystem wird meistens auf Linux Basis realisiert.  Allerdings greift der Hersteller eines OT Device oft tief in das Betriebssystem ein und ändert bestehende Funktionen ab oder ergänzt sie mit eigenem proprietärem Code. Die Anwendungssoftware wird in der Regel auch vom Hersteller selbst geschrieben und ist „Closed Source“. Der Source Code ist in den allerwenigsten Fällen einfach erhältlich und dementsprechend intransparent in seiner Funktion wie auch in Bezug auf Verletzbarkeiten (Bugs). Die OT Systeme sind nicht den gleichen Update-Zyklen ausgesetzt wie normale Computersysteme und wegen der geringeren Verbreitung werden Fehler in der Regel nicht so schnell entdeckt und bekannt gemacht wie in herkömmlichen IT Systemen.

Aus IT Security-Sicht stellen uns OT Geräte daher vor andere Herausforderungen, als dies bei der klassischen IT der Fall ist: 

  • In dem meisten Fällen kann keine Sicherheitssoftware direkt auf die OT Devices installiert werden.
    • Die Betriebssysteme sind zu spezialisiert und selten vollständig dokumentiert.
    • Es bestehen oft Garantieklauseln, in denen definiert wird, dass die Garantie auf dem Gerät verfällt, sollte etwas an der bestehenden Software (inkl. Betriebssystem) verändert werden.
       
  • Verletzbarkeiten auf OT Geräten bestehen unter Umständen über Jahre. 
    • Wenn OT Geräte laufen, dann laufen sie meistens Jahre oder sogar Jahrzehnte und da keine direkte Benutzerinteraktion stattfindet, werden OT Geräte auch oft einfach vergessen.
    • Da die Geräte nur mit Patches vom Hersteller ausgerüstet werden können, ist man von zeitnahen Updates des Herstellers abhängig. Dies ist aber leider selten der Fall.
       
  • Verletzbarkeiten können nur mit passivem Scanning festgestellt werden.
    • Durch die Spezialisierung auf OT Geräten besteht die Gefahr, dass wenn die Geräte mit herkömmlichen Verletzbarkeitsscanner überprüft werden, die OT Devices crashen und somit Produktionsprozesse zum Erliegen kommen.
       
  • Der Hersteller braucht zwecks Wartung Vollzugriff auf "seine" OT Geräte.
    • Oft sind OT Netzwerke zu wenig segmentiert und befinden sich meistens in gleichen Netzwerken. Somit kann ein Hersteller von OT Geräten theoretisch auch auf OT Geräte des Mitbewerbers zugreifen, was definitiv ein Sicherheitsrisiko darstellt.
       

In der letzten Zeit haben sich Hersteller von Sicherheitsprodukten in der IT vermehrt dem Thema OT gewidmet und mittlerweile sind gute Lösungen erhältlich. 

  • Um Verletzbarkeiten in OT Geräten festzustellen haben sich passive OT Scanner etabliert. Diese Technologie arbeitet auf Netzwerkebene in dem der Datenverkehr gespiegelt und analysiert wird. Dies ist eine bekannte nicht invasive Methode, die aus den klassischen IDS Zeiten kommt und hilft, Visibilität in das Verhalten der OT Geräte zu bringen. Wenn man weiß, was die Geräte machen, kann man entsprechend intervenieren oder isolieren.
     
  • Via passenden Firewalls mit Kenntnissen der jeweiligen OT Protokollen (z.B. SCADA) können nach dem «Zwiebelschalen-Prinzip» Zonen auf Netzwerkebene designet werden, die helfen, die Kommunikation der Geräte wieder unter Kontrolle zu bringen. Oft wird auch gleich eine Segmentierung der OT Geräte realisiert, indem man einzelne VLANs exklusiv für OT Kommunikation umsetzt.
     
  • Spezialisierte Scanner für OT Geräte können Betriebssysteme wie auch Anwendungssoftware offline auf Verletzbarkeiten und Fehlkonfigurationen analysieren. Hierbei wird das OT Image in den Scanner geladen, der dann die nötige Analyse mehr oder weniger automatisch vornimmt.
     
  • Durch zeit-gesteuerte Zugangskontrollen kann definiert werden, welcher Hersteller für Wartungsarbeiten wann auf welche OT Geräte zugreifen darf. Erweiterte Zugangskontrollen sind sogar in der Lage, solche Wartungssessions 1:1 mitzuschneiden und bieten somit eine gute Kontrolle für den Betreiber der OT Geräte. 

Die hierbei generierten Sicherheitsdaten können in ein bestehendes SIEM integriert werden. Eine holistische Sicht der IT und der OT ist definitiv ein erstrebenswertes Ziel, denn im Endeffekt ist ein kompromittiertes OT Device eine Gefahr für das komplette Firmennetzwerk. 

T-Systems Alpine kann im Bereich OT Sicherheit auf eine langjährige Erfahrung und viele erfolgreiche Projekte zurückblicken. Wir können Ihnen in jedem Bereich der OT Sicherheit behilflich sein. Sollten wir Ihr Interesse an unserer OT Kompetenz geweckt haben, freuen sich unsere SpezialistInnen auf Ihre Kontaktaufnahme.

 

Weitere Infos finden Sie unter www.t-systems.com/at/de/security