OT: Überprüfung von Operational Technology (OT)-Umgebungen

Ausgangslage

Um eine Betrachtung und Risikobewertung der OT-Infrastruktur durchzuführen, müssen zunächst die Architektur und die verwendeten Systeme bekannt sein und ein Sicherheitskonzept entwickelt werden. Der OT-Workshop eignet sich sowohl zur Erstellung eines Überblicks über die Systemlandschaft mit gleichzeitiger Analyse der Sicherheit als auch zur Bewertung eines bestehenden Konzepts bzw. geplanter Änderungen im Rahmen eines Projekts zur Verbesserung der Sicherheit. Auch zur Vorbereitung eines Penetrationstests und der praktischen Ausarbeitung geeigneter Testszenarien eignet sich der Workshop.

Da die Durchführung des OT-Workshops keinen Eingriff in die Anlagen erfordert, kann er unabhängig von Wartungsfenstern durchgeführt werden und es besteht kein Risiko für den Betrieb.

Zielsetzung

Der OT-Workshop der SySS deckt Schwachstellen und Verbesserungpotenzial der IT-Sicherheit in der OT-Umgebung auf. Er stellt damit den Einstieg in die Erarbeitung und Durchführung weiterfolgender Beratungsleistungen und technischer Analysen dar. Bereits die Durchführung des Workshops macht den ersten Schritt hin zur Awareness von Bedrohungsszenarien und Schutzmaßnahmen im OT-Netzwerk aus.

Das durchführende Consultant-Team verschafft sich in Zusammenarbeit mit dem Kunden einen Überblick über den aktuellen Stand der OT-Umgebung und leitet daraus eine individuell abgestimmte Liste momentaner Problemfelder sowie einen Katalog entsprechender Maßnahmen ab. Hierfür betrachtet die SySS die vorhandenen Systeme und Konzepte aus Angreifersicht, um mögliche Gefährdungen für den Betrieb und die Sicherheit der verarbeiteten Daten aufzudecken. Die SySS erläutert die mögliche Vorgehensweise bei Angriffen, um den Mitarbeitern des Kunden eine effektive Sichtweise auf Risiken in Bezug auf die OT-Sicherheit zu verschaffen.

Die behandelten Informationen werden im Anschluss an den Workshop im Rahmen eines Berichts aufbereitet und zur Verfügung gestellt. Hierfür enthält das Projekt ein Dokumentationsmodul (remote im Hause der SySS durchgeführt). 

Im Rahmen des Workshops erarbeitet die SySS gemeinsam mit dem Kunden sinnvolle Pentest-Projekte in der OT-Umgebung, die im Bericht mit Bezug auf die vorhandene Infrastruktur skizziert werden. Dies kann beispielsweise eine Prüfung der Übergänge zwischen IT und OT, ein Pentest der genutzten Engineering Workstations und OT-Clients oder auch eine Analyse des Prozessleitsystems sein.

Durchführung

Der Workshop nimmt im Regelfall zwei Tage vor Ort in Anspruch und enthält idealerweise eine Begehung der Anlagen. Anschließend wird die Dokumentation remote erstellt.

Nach einer Vorstellungsrunde und einem Überblick über die vorhandene Systemlandschaft wird eine Auswahl aus den folgenden Themen behandelt:

• Einschätzung des Schutzbedarfs und der Kritikalität der OT-Systeme
• Überblick über typische technische Bedrohungsszenarien
• Beurteilung der bestehenden Sicherheitsmaßnahmen
• Netzwerkstruktur mit besonderem Fokus auf Separierung und Netzwerkübergänge
• Produktionsleitsystem und dessen Schnittstellen
• Authentifizierung und Identitätsmanagement
• Fernzugriffsmodelle
• Updateprozesse
• Datenhaltung und Backupstrategie
• Physische Sicherheit
• Umgang mit Dienstleistern
• Drahtlose Netzwerke (z.B. Bluetooth, WLAN, LTE etc.)
• Mobile Geräte (z.B. Laptops, Handscanner etc.)
• Umgang mit Virtualisierung
• Logging und Monitoring
• SIEM und Incident Reponse-Prozesse
• Autarke Funktionsweise von Maschinen

Der Fokus des Workshops wird flexibel auf individuelle Wünsche abgestimmt. Hierzu wird im Kick-off-Gespräch die Agenda des Workshops besprochen und festgelegt. Die Tiefe der einzelnen Themen wird im Rahmen des Workshops je nach Bedarf angepasst. Während des Workshops besteht die Möglichkeit, weitere Fragestellungen einzubringen.

Es ist ratsam der SySS bestehende Dokumentation und Konzepte im Vorfeld zur Verfügung zu stellen. Im Rahmen des Workshops kann zusätzlich geprüft und diskutiert werden, welche Sicherheitsanalysen und Penetrationstests im konkreten Fall sinnvoll sind und zukünftig durchgeführt werden können. Es ist auch möglich, Teile des Workshops bereits für erste praktische Sicherheitsüberprüfungen zu nutzen.

Mitwirkung des Kunden

Vorbereitung: Vor Beginn des Workshops sollte eine Auswahl und Priorisierung der zu behandelnden Themen durchgeführt werden, um den Workshop ideal auf die individuellen Bedürfnisse abzustimmen. Da eine Begehung der Anlagen sinnvoll ist, sollte geklärt werden, welche Vorbereitungen nötig sind, damit die SySS-Consultants Zutritt zum Betriebsgelände erhalten können. Auch die notwendige persönliche Schutzausrüstung wird im Vorfeld besprochen.

Ansprechpartner: Der Workshop wird im direkten Gespräch mit jeweils passenden Ansprechpartnern für die einzelnen Themen durchgeführt. Es kann sich hierbei – je nach Struktur des Unternehmens -- selbstverständlich um unterschiedliche Personen handeln (dann wird im Kick-off-Gespräch idealerweise eine Gruppierung der Themen durchgeführt, sodass die Zeitblöcke effizient genutzt werden können).

Abhängigkeiten: Die Durchführung des Workshops erfordert keinen Stillstand der Anlagen. Technische Überprüfungen finden nur in enger Absprache statt. Die Verfügbarkeit der Produktionsanlagen hat stets höchste Priorität.

Ausgangslage

Die Prozessleittechnik verwendet typische IT-Komponenten wie beispielsweise eine Active Directory-Domäne zur Verwaltung von Benutzerkonten, Virtualisierungsserver, Fileserver, Windows-Clients oder auch Datenbankserver. Um von der Digitalisierung der Prozesse zu profitieren, findet ein Datenaustausch mit den Systemen der Unternehmens-IT statt. Weiterhin ist für den Betrieb der OT üblicherweise ein Fernzugriff aus dem IT-Netz oder durch Dienstleister nötig. Gelingt es einem Angreifer, in das OT-Netzwerk vorzudringen, droht eine hohe Gefahr für die OT-Komponenten.

Zielsetzung

Ziel des Penetrationstests im OT-Umfeld ist es, die eingesetzten Anlagen auf praktisch ausnutzbare Schwachstellen und Sicherheitsrisiken zu untersuchen. Je nach gewünschtem Szenario wird entweder ein Angreifer simuliert, der sich im OT-Netzwerk befindet, oder die Perspektive eines kompromittierten Rechners oder eines Innentäters eingenommen, indem der SySS auch niedrig privilegierte Zugangsdaten zur Verfügung gestellt werden. Hierbei wird untersucht, ob eine Ausbreitung auf weitere Systeme und Netzbereiche oder die Ausweitung der vorhandenen Rechte möglich ist. Auch Kommunikationsmöglichkeiten – beispielsweise mit dem Internet – werden geprüft.

Die Verfügbarkeit der Systeme hat dabei oberste Priorität.

Die Systeme der OT-Infrastruktur können anhand des Purdue-Referenzmodells in Ebenen mit zunehmender Abstraktion der physikalischen Prozesse eingeteilt werden. Ein Pentest kann in verschiedenen Ebenen durchgeführt werden. In Zone 3 bietet sich eine Überprüfung des Prozessleitsystems mit den eingesetzten Rechnerkomponenten, wie beispielsweise Engineering Workstations oder Clients im OT-Netzwerk an. In Zone 2 kann die Abschottung einzelner Steuerungen und die Sicherheit von Bedieneinheiten geprüft werden. In der OT-DMZ ist die Prüfung der Trennung zwischen OT und Unternehmens-IT sowie die Sicherheit der angebotenen Dienste sinnvoll. Auch Sprungserver und die eingesetzten Fernzugriffe sollten auf ihre Sicherheit überprüft werden.

Durchführung

Die Durchführung ist an die Module LAN/CLEAN und LAN/TRAINEE angelehnt, wobei auf die besonderen Anforderungen an die Verfügbarkeit im OT-Netzwerk Rücksicht genommen wird. Automatisierte Schwachstellenscans werden hier nur zielgerichtet und in enger Absprache durchgeführt. Auch Portscans können je nach eingesetzten Geräten nur mit niedrigerer Geschwindigkeit durchgeführt werden.

Falls eine Testumgebung zur Verfügung steht, sollte diese gegenüber der Produktivumgebung unbedingt bevorzugt werden. Hier können praktische Überprüfungen möglicher Schwachstellen mit wesentlich niedrigerem Risiko durchgeführt und die Testtiefe kann daher erhöht werden.

Die SySS erstellt eine ausführliche Dokumentation über die gefundenen Schwachstellen inklusive Empfehlungen zu deren Behebung. Weiterhin ist eine Zusammenfassung für Entscheider enthalten.

Mitwirkung des Kunden

Vorbereitung: Die SySS erhält im Vorfeld des Projekts idealerweise Netzwerkpläne sowie die Spezifikation der genutzten Maschinen und Geräte. Dies erlaubt zum einen eine effiziente Durchführung des Pentests in der verfügbaren Testzeit. Zum anderen minimiert es das Risiko eines unbeabsichtigten Ausfalls der Systeme. Da der Pentest üblicherweise vor Ort stattfindet, sollte geklärt werden, welche Vorbereitungen nötig sind, damit die SySS-Consultants Zutritt zum Betriebsgelände erhalten können. Auch die notwendige persönliche Schutzausrüstung wird im Vorfeld besprochen.

Ansprechpartner: Während der Durchführung des Tests muss unbedingt auf den reibungslosen Betrieb der Anlagen geachtet werden. Zudem muss ein Ansprechpartner zur Verfügung stehen, der bei möglicherweise auftretenden Problemen die richtigen Schritte zur Wiederaufnahme des Betriebs durchführen kann.

Abhängigkeiten: Eine Durchführung im produktiven Betrieb birgt das Risiko, dass der Betrieb durch den Pentest gestört wird. Falls Wartungsfenster oder Reparaturwochen vorhanden sind, sind diese ideal für die Durchführung eines Pentests. Ebenso kann – falls vorhanden – eine vergleichbare Testumgebung statt der produktiven Infrastruktur geprüft werden.

Ausgangslage

Industrielle Steuerungen sind oftmals sehr empfindlich für fehlerhafte oder schadhafte Daten. Eine Prüfung im Produktivbetrieb birgt daher ein hohes Risiko, die Verfügbarkeit der Komponenten zu beeinträchtigen. Dennoch sollten mögliche Schwachstellen in den eingesetzten OT-Geräten erkannt werden, um das Risiko für Cyberangriffe zu senken.

Die Verfügbarkeit von Updates ist für OT-Komponenten oft eingeschränkt. Selbst wenn Updates verfügbar sind, dauert es bis zu deren Installation aufgrund von Wartungsverträgen, Zertifizierungen oder Wartungsfenstern oft vergleichsweise lang. Ein Pentest der eingesetzten Komponenten kann bei der Einschätzung der realistischen Bedrohungslage helfen und somit die Priorisierung von Updates erleichtern.

Für eine Analyse in Frage kommen Geräte wie speicherprogrammierbare Steuerungen (SPS), Fernwirkgeräte (RTU), Fernwartungsgeräte (RAS) oder auch Human Machine Interfaces (HMI). Idealerweise ist das Gerät in einer Testumgebung vorhanden und kann postalisch an das SySS-Labor zur dortigen Analyse gesendet werden.

Zielsetzung

Der Pentest der OT-Komponente hat typischerweise die folgenden Aspekte als Zielsetzung:

• Identifikation aller angebotenen Schnittstellen und Dienste, inkl. deren Trennung voneinander
• Analyse von Authentifizierung und Autorisierung
• Überprüfung der Resilienz gegenüber unerwarteten Daten
• Prüfung der Datenübertragung, u. a. auf eingesetzte Verschlüsselung und mögliche Manipulationen
• Überprüfung des Updatemechanismus
• Prüfung, ob die Extraktion von sensiblen Daten oder Kompromittierung des Systems möglich ist

Sofern möglich wird auf die gewünschten Fragestellungen eingegangen, sodass auch weitere Testszenarien denkbar und möglich sind.

Durchführung

Die Durchführung ist an die Module des EMBEDDED-Bereichs angelehnt. Je nach konkretem Gerät und dessen verfügbaren Schnittstellen wird eine Analyse der Kommunikationsprotokolle, der Administration und des Fernzugriffs sowie des Updateprozesses durchgeführt. Dabei wird das Gerät im SySS-Labor in Tübingen untersucht. Je nach Testszenario und Fokus der Analyse werden die externen Schnittstellen, die netzwerkseitig angebotenen Dienste oder auch die intern verbauten Komponenten geprüft. Hierzu kann auch ein Öffnen des Geräts und Auslöten von Bauteilen durchgeführt werden.

Gefundene Schwachstellen und empfohlene Verbesserungsmaßnahmen werden in einem ausführlichen Bericht zum Projekt dargestellt. Dieser enthält ebenfalls eine Zusammenfassung für Entscheider.

Mitwirkung des Kunden

Vorbereitung: Die Analyse der OT-Komponenten erfolgt idealerweise im Labor der SySS. Die Teststellungen müssen daher im Vorfeld des Projekts an die SySS gesendet werden, beispielsweise per Postpaket. Der Rückversand erfolgt im Anschluss an das Projekt. Idealerweise wird die Dokumentation und – falls vorhanden – Spezifikation der Anschlüsse der SySS zur Verfügung gestellt.

Ansprechpartner: Während der Projektlaufzeit sollte ein Ansprechpartner remote für Fragen zum Einsatz des OT-Geräts in der spezifischen OT-Umgebung zur Verfügung stehen.

Abhängigkeiten: Da das OT-Gerät im Labor der SySS geprüft wird, kann kein produktiv genutztes Gerät zum Einsatz kommen. Zum einen steht dieses sonst für die Projektdauer nicht für den Betrieb zur Verfügung, zum anderen besteht im Rahmen des Tests das Risiko, dass es zu irreversiblen Veränderungen am Gerät kommt. Idealerweise wird ein Ersatzbauteil oder ein Testgerät verwendet, das bau- bzw. funktionsgleich zum produktiv genutzten Gerät ist.