OT: Überprüfung von Operational Technology (OT)-Umgebungen

Zusammenfassung

Operational Technology (OT) bezeichnet die Hard- und Software, die zur Steuerung und Kontrolle von Maschinen, Produktionssystemen und industriellen Prozessen zum Einsatz kommt. Die Sicherheit der OT ist essenziell für den Unternehmensbetrieb. Angriffe und Ausfälle können fatale Folgen haben, z. B. für die Fortführung der Produktion, die Logistik von Rohstoffen und Erzeugnissen, die Versorgung mit Energie, Wasser und Betriebsstoffen oder für die Funktionsfähigkeit der eingesetzten Maschinen. Je nach Branche besteht bei einem Vorfall auch Gefahr für Leib und Leben der Mitarbeiter oder der Bevölkerung.

Die besonderen Anforderungen an Verfügbarkeit, funktionale Sicherheit und Resilienz gegenüber Cyberangriffen stellen eine Herausforderung dar. Oftmals wird aufgrund einer sehr langen Lebensdauer der eingesetzten Geräte sowie einer heterogenen Architektur der OT-Landschaft, die die Zusammenarbeit mit verschiedenen Herstellern und Dienstleistern erfordert, die Ausarbeitung eines umfassenden Sicherheitskonzepts erschwert. Um den Betrieb nicht zu stören, sind Überprüfungen der produktiven Infrastruktur schwierig durchführbar.

Die SySS bietet mehrere Dienstleistungen im Bereich der OT an, die auf unterschiedliche Bedürfnisse und Anforderungen abgestimmt sind.

OT-Workshop

Ausgangslage

Um eine Betrachtung und Risikobewertung der OT-Infrastruktur durchzuführen, müssen zunächst die Architektur und die verwendeten Systeme bekannt sein und ein Sicherheitskonzept entwickelt werden. Der OT-Workshop eignet sich sowohl zur Erstellung eines Überblicks über die Systemlandschaft mit gleichzeitiger Analyse der Sicherheit als auch zur Bewertung eines bestehenden Konzepts bzw. geplanter Änderungen im Rahmen eines Projekts zur Verbesserung der Sicherheit. Auch zur Vorbereitung eines Penetrationstests und der praktischen Ausarbeitung geeigneter Testszenarien eignet sich der Workshop.

Da die Durchführung des OT-Workshops keinen Eingriff in die Anlagen erfordert, kann er unabhängig von Wartungsfenstern durchgeführt werden und es besteht kein Risiko für den Betrieb.

Zielsetzung

Der OT-Workshop der SySS deckt Schwachstellen und Verbesserungpotenzial der IT-Sicherheit in der OT-Umgebung auf. Er stellt damit den Einstieg in die Erarbeitung und Durchführung weiterfolgender Beratungsleistungen und technischer Analysen dar. Bereits die Durchführung des Workshops macht den ersten Schritt hin zur Awareness von Bedrohungsszenarien und Schutzmaßnahmen im OT-Netzwerk aus.

Das durchführende Consultant-Team verschafft sich in Zusammenarbeit mit dem Kunden einen Überblick über den aktuellen Stand der OT-Umgebung und leitet daraus eine individuell abgestimmte Liste momentaner Problemfelder sowie einen Katalog entsprechender Maßnahmen ab. Hierfür betrachtet die SySS die vorhandenen Systeme und Konzepte aus Angreifersicht, um mögliche Gefährdungen für den Betrieb und die Sicherheit der verarbeiteten Daten aufzudecken. Die SySS erläutert die mögliche Vorgehensweise bei Angriffen, um den Mitarbeitern des Kunden eine effektive Sichtweise auf Risiken in Bezug auf die OT-Sicherheit zu verschaffen.

Die behandelten Informationen werden im Anschluss an den Workshop im Rahmen eines Berichts aufbereitet und zur Verfügung gestellt. Hierfür enthält das Projekt ein Dokumentationsmodul (remote im Hause der SySS durchgeführt). 

Im Rahmen des Workshops erarbeitet die SySS gemeinsam mit dem Kunden sinnvolle Pentest-Projekte in der OT-Umgebung, die im Bericht mit Bezug auf die vorhandene Infrastruktur skizziert werden. Dies kann beispielsweise eine Prüfung der Übergänge zwischen IT und OT, ein Pentest der genutzten Engineering Workstations und OT-Clients oder auch eine Analyse des Prozessleitsystems sein.

Durchführung

Der Workshop nimmt im Regelfall zwei Tage vor Ort in Anspruch und enthält idealerweise eine Begehung der Anlagen. Anschließend wird die Dokumentation remote erstellt.

Nach einer Vorstellungsrunde und einem Überblick über die vorhandene Systemlandschaft wird eine Auswahl aus den folgenden Themen behandelt:

  • Einschätzung des Schutzbedarfs und der Kritikalität der OT-Systeme
  • Überblick über typische technische Bedrohungsszenarien
  • Beurteilung der bestehenden Sicherheitsmaßnahmen
  • Netzwerkstruktur mit besonderem Fokus auf Separierung und Netzwerkübergänge
  • Produktionsleitsystem und dessen Schnittstellen
  • Authentifizierung und Identitätsmanagement
  • Fernzugriffsmodelle
  • Updateprozesse
  • Datenhaltung und Backupstrategie
  • Physische Sicherheit
  • Umgang mit Dienstleistern
  • Drahtlose Netzwerke (z.B. Bluetooth, WLAN, LTE etc.)
  • Mobile Geräte (z.B. Laptops, Handscanner etc.)
  • Umgang mit Virtualisierung
  • Logging und Monitoring
  • SIEM und Incident Reponse-Prozesse
  • Autarke Funktionsweise von Maschinen

Der Fokus des Workshops wird flexibel auf individuelle Wünsche abgestimmt. Hierzu wird im Kick-off-Gespräch die Agenda des Workshops besprochen und festgelegt. Die Tiefe der einzelnen Themen wird im Rahmen des Workshops je nach Bedarf angepasst. Während des Workshops besteht die Möglichkeit, weitere Fragestellungen einzubringen.

Es ist ratsam der SySS bestehende Dokumentation und Konzepte im Vorfeld zur Verfügung zu stellen. Im Rahmen des Workshops kann zusätzlich geprüft und diskutiert werden, welche Sicherheitsanalysen und Penetrationstests im konkreten Fall sinnvoll sind und zukünftig durchgeführt werden können. Es ist auch möglich, Teile des Workshops bereits für erste praktische Sicherheitsüberprüfungen zu nutzen.

Mitwirkung des Kunden

Vorbereitung: Vor Beginn des Workshops sollte eine Auswahl und Priorisierung der zu behandelnden Themen durchgeführt werden, um den Workshop ideal auf die individuellen Bedürfnisse abzustimmen. Da eine Begehung der Anlagen sinnvoll ist, sollte geklärt werden, welche Vorbereitungen nötig sind, damit die SySS-Consultants Zutritt zum Betriebsgelände erhalten können. Auch die notwendige persönliche Schutzausrüstung wird im Vorfeld besprochen.

Ansprechpartner: Der Workshop wird im direkten Gespräch mit jeweils passenden Ansprechpartnern für die einzelnen Themen durchgeführt. Es kann sich hierbei – je nach Struktur des Unternehmens -- selbstverständlich um unterschiedliche Personen handeln (dann wird im Kick-off-Gespräch idealerweise eine Gruppierung der Themen durchgeführt, sodass die Zeitblöcke effizient genutzt werden können).

Abhängigkeiten: Die Durchführung des Workshops erfordert keinen Stillstand der Anlagen. Technische Überprüfungen finden nur in enger Absprache statt. Die Verfügbarkeit der Produktionsanlagen hat stets höchste Priorität.

Tipp von Sebastian Schreiber

Nutzen Sie unseren OT-Workshop, um die Security-Awareness Ihrer Mitarbeiter in der Automatisierungstechnik zu schärfen. Die Perspektive des Angreifers zu kennen, ist im Alltag Gold wert, um die Entstehung von Sicherheitsproblemen bereits im Keim zu ersticken.

OT-Penetrationstest

Ausgangslage

Industrielle Steuerungen sind oftmals sehr empfindlich für fehlerhafte oder schadhafte Daten. Eine Prüfung im Produktivbetrieb birgt daher ein hohes Risiko, die Verfügbarkeit der Komponenten zu beeinträchtigen. Dennoch sollten mögliche Schwachstellen in den eingesetzten OT-Geräten erkannt werden, um das Risiko für Cyberangriffe zu senken.

Die Verfügbarkeit von Updates ist für OT-Komponenten oft eingeschränkt. Selbst wenn Updates verfügbar sind, dauert es bis zu deren Installation aufgrund von Wartungsverträgen, Zertifizierungen oder Wartungsfenstern oft vergleichsweise lang. Ein Pentest der eingesetzten Komponenten kann bei der Einschätzung der realistischen Bedrohungslage helfen und somit die Priorisierung von Updates erleichtern.

Für eine Analyse in Frage kommen Geräte wie speicherprogrammierbare Steuerungen (SPS), Fernwirkgeräte (RTU), Fernwartungsgeräte (RAS) oder auch Human Machine Interfaces (HMI). Idealerweise ist das Gerät in einer Testumgebung vorhanden und kann postalisch an das SySS-Labor zur dortigen Analyse gesendet werden.

Zielsetzung

Der Pentest der OT-Komponente hat typischerweise die folgenden Aspekte als Zielsetzung:

  • Identifikation aller angebotenen Schnittstellen und Dienste, inkl. deren Trennung voneinander
  • Analyse von Authentifizierung und Autorisierung
  • Überprüfung der Resilienz gegenüber unerwarteten Daten
  • Prüfung der Datenübertragung, u. a. auf eingesetzte Verschlüsselung und mögliche Manipulationen
  • Überprüfung des Updatemechanismus
  • Prüfung, ob die Extraktion von sensiblen Daten oder Kompromittierung des Systems möglich ist

Sofern möglich wird auf die gewünschten Fragestellungen eingegangen, sodass auch weitere Testszenarien denkbar und möglich sind.

Durchführung

Die Durchführung ist an die Module des EMBEDDED-Bereichs angelehnt. Je nach konkretem Gerät und dessen verfügbaren Schnittstellen wird eine Analyse der Kommunikationsprotokolle, der Administration und des Fernzugriffs sowie des Updateprozesses durchgeführt. Dabei wird das Gerät im SySS-Labor in Tübingen untersucht. Je nach Testszenario und Fokus der Analyse werden die externen Schnittstellen, die netzwerkseitig angebotenen Dienste oder auch die intern verbauten Komponenten geprüft. Hierzu kann auch ein Öffnen des Geräts und Auslöten von Bauteilen durchgeführt werden.

Gefundene Schwachstellen und empfohlene Verbesserungsmaßnahmen werden in einem ausführlichen Bericht zum Projekt dargestellt. Dieser enthält ebenfalls eine Zusammenfassung für Entscheider.

Mitwirkung des Kunden

Vorbereitung: Die Analyse der OT-Komponenten erfolgt idealerweise im Labor der SySS. Die Teststellungen müssen daher im Vorfeld des Projekts an die SySS gesendet werden, beispielsweise per Postpaket. Der Rückversand erfolgt im Anschluss an das Projekt. Idealerweise wird die Dokumentation und – falls vorhanden – Spezifikation der Anschlüsse der SySS zur Verfügung gestellt.

Ansprechpartner: Während der Projektlaufzeit sollte ein Ansprechpartner remote für Fragen zum Einsatz des OT-Geräts in der spezifischen OT-Umgebung zur Verfügung stehen.

Abhängigkeiten: Da das OT-Gerät im Labor der SySS geprüft wird, kann kein produktiv genutztes Gerät zum Einsatz kommen. Zum einen steht dieses sonst für die Projektdauer nicht für den Betrieb zur Verfügung, zum anderen besteht im Rahmen des Tests das Risiko, dass es zu irreversiblen Veränderungen am Gerät kommt. Idealerweise wird ein Ersatzbauteil oder ein Testgerät verwendet, das bau- bzw. funktionsgleich zum produktiv genutzten Gerät ist.

Tipp von Sebastian Schreiber

Ein idealer Zeitpunkt für einen Penetrationstest des OT-Netzwerks ist die Lieferung einer neuen Maschine bzw. eines neuen Prozessleitsystems. Im Rahmen eines Site Acceptance Tests (SAT) kann auch die Cybersicherheit geprüft und bestehende Mängel können noch vor Inbetriebnahme vom Hersteller ausgebessert werden.

Analyse von OT-Komponenten

Ausgangslage

Industrielle Steuerungen sind oftmals sehr empfindlich für fehlerhafte oder schadhafte Daten. Eine Prüfung im Produktivbetrieb birgt daher ein hohes Risiko, die Verfügbarkeit der Komponenten zu beeinträchtigen. Dennoch sollten mögliche Schwachstellen in den eingesetzten OT-Geräten erkannt werden, um das Risiko für Cyberangriffe zu senken.

Die Verfügbarkeit von Updates ist für OT-Komponenten oft eingeschränkt. Selbst wenn Updates verfügbar sind, dauert es bis zu deren Installation aufgrund von Wartungsverträgen, Zertifizierungen oder Wartungsfenstern oft vergleichsweise lang. Ein Pentest der eingesetzten Komponenten kann bei der Einschätzung der realistischen Bedrohungslage helfen und somit die Priorisierung von Updates erleichtern.

Für eine Analyse in Frage kommen Geräte wie speicherprogrammierbare Steuerungen (SPS), Fernwirkgeräte (RTU), Fernwartungsgeräte (RAS) oder auch Human Machine Interfaces (HMI). Idealerweise ist das Gerät in einer Testumgebung vorhanden und kann postalisch an das SySS-Labor zur dortigen Analyse gesendet werden.

Zielsetzung

Der Pentest der OT-Komponente hat typischerweise die folgenden Aspekte als Zielsetzung:

  • Identifikation aller angebotenen Schnittstellen und Dienste, inkl. deren Trennung voneinander
  • Analyse von Authentifizierung und Autorisierung
  • Überprüfung der Resilienz gegenüber unerwarteten Daten
  • Prüfung der Datenübertragung, u. a. auf eingesetzte Verschlüsselung und mögliche Manipulationen
  • Überprüfung des Updatemechanismus
  • Prüfung, ob die Extraktion von sensiblen Daten oder Kompromittierung des Systems möglich ist

Sofern möglich wird auf die gewünschten Fragestellungen eingegangen, sodass auch weitere Testszenarien denkbar und möglich sind.

Durchführung

Die Durchführung ist an die Module des EMBEDDED-Bereichs angelehnt. Je nach konkretem Gerät und dessen verfügbaren Schnittstellen wird eine Analyse der Kommunikationsprotokolle, der Administration und des Fernzugriffs sowie des Updateprozesses durchgeführt. Dabei wird das Gerät im SySS-Labor in Tübingen untersucht. Je nach Testszenario und Fokus der Analyse werden die externen Schnittstellen, die netzwerkseitig angebotenen Dienste oder auch die intern verbauten Komponenten geprüft. Hierzu kann auch ein Öffnen des Geräts und Auslöten von Bauteilen durchgeführt werden.

Gefundene Schwachstellen und empfohlene Verbesserungsmaßnahmen werden in einem ausführlichen Bericht zum Projekt dargestellt. Dieser enthält ebenfalls eine Zusammenfassung für Entscheider.

Mitwirkung des Kunden

Vorbereitung: Die Analyse der OT-Komponenten erfolgt idealerweise im Labor der SySS. Die Teststellungen müssen daher im Vorfeld des Projekts an die SySS gesendet werden, beispielsweise per Postpaket. Der Rückversand erfolgt im Anschluss an das Projekt. Idealerweise wird die Dokumentation und – falls vorhanden – Spezifikation der Anschlüsse der SySS zur Verfügung gestellt.

Ansprechpartner: Während der Projektlaufzeit sollte ein Ansprechpartner remote für Fragen zum Einsatz des OT-Geräts in der spezifischen OT-Umgebung zur Verfügung stehen.

Abhängigkeiten: Da das OT-Gerät im Labor der SySS geprüft wird, kann kein produktiv genutztes Gerät zum Einsatz kommen. Zum einen steht dieses sonst für die Projektdauer nicht für den Betrieb zur Verfügung, zum anderen besteht im Rahmen des Tests das Risiko, dass es zu irreversiblen Veränderungen am Gerät kommt. Idealerweise wird ein Ersatzbauteil oder ein Testgerät verwendet, das bau- bzw. funktionsgleich zum produktiv genutzten Gerät ist.

Tipp von Sebastian Schreiber

Vertrauen Sie in Bezug auf die Sicherheit von OT-Komponenten nicht den Angaben des Herstellers. Ein Gerät in der Hand zu halten (und es ggf. auch aufzuschrauben) ist der beste Weg, um tatsächlich vorhandene Sicherheitsmängel und Angriffsmöglichkeiten aufzudecken.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer