Die Unterschiede zwischen Informationstechnologie (IT) und Betriebstechnologie (OT) spiegeln sich auch bei den Security-Lösungen wider. Das beginnt bei den Schutzzielen, zu denen im OT-Bereich maßgeblich die Ausfallsicherheit gehört, schließt aber auch die Betriebssysteme und Anwendungen ein, die sich unterscheiden und jeweils geschützt werden müssen. Zudem müssen die verschiedenen Kommunikationsprotokolle, über die Daten ausgetauscht werden, von der jeweiligen Security-Lösung unterstützt werden. Nicht zuletzt aber führen die verschiedenen Prozesse bei IT und OT auch zu anderen Security-Ansätzen.
Beispiel: Anti-Malware-Schutz
Schadsoftware gehört auch bei OT zu den Top-Bedrohungen
Wenn es um Schadprogramme geht, denken viele Unternehmen zuerst an die Computer-Viren, die sich vornehmlich auf Windows-PCs einnisten und dort Schaden anrichten. Allerdings ist Windows-Malware nur deshalb so prominent bei Cyberattacken vertreten, weil Windows-Systeme eine so hohe Verbreitung haben.
So gibt es auch Schadprogramme, die Rechner auf Apple-Basis oder Linux-Betriebssystem infizieren können. Zudem nimmt die Zahl der Malware-Attacken auf mobile Endgeräte mit Android-Betriebssystem stetig zu. Neben Smartphones und Tablets sind es viele IoT-Geräte (Internet of Things), die ein Android-Betriebssystem nutzen.
Auch für OT-Systeme gibt es inzwischen spezialisierte Schadprogramme. Dabei muss eine Schutzlösung gegen OT-Malware nicht nur das dort genutzte Betriebssystem unterstützen. Auch das Verfahren, wie Malware bei OT-Systemen entdeckt und beseitigt werden kann, unterscheidet sich von dem IT-Bereich.
Besondere Sicherheitsverfahren für OT
Im IT-Bereich ist es üblich, einen AV-Schutz (Anti-Viren-Schutz) auf dem zu schützenden Gerät zu installieren und dort über Updates aktuell zu halten. Dabei gelten die Aktualisierungen sowohl der AV-Schutzlösung als auch der dort integrierten Malware-Datenbank, die die sogenannten Signaturen, also spezielle Kennzeichen bereits bekannter Schadprogramme, enthält.
Im OT-Bereich ist es jedoch meistens so, dass man die Schutzlösung weder installieren noch regelmäßig auf der zu schützenden Maschine aktualisieren kann. Selbst wenn eine solche Installation möglich wäre, würde man sie doch vermeiden wollen, da mit einer Installation immer ein Risiko für Unterbrechungen im Betrieb einher gehen kann.
Deshalb sind besondere Konzepte gefragt, wie ein Schutz vor Malware in der OT, bei dem man die Sicherheitslösung nicht installieren muss.
Security-Stick anstelle von Installation
Eine Möglichkeit, eine Installation zu vermeiden, ist die Nutzung eines Security-Sticks, auf dem sich eine aktuelle Sicherheitslösung befindet. Der Stick wird an eine Schnittstelle der zu schützenden Maschine angeschlossen, die Softwarelösung auf dem Stick scannt nach möglicher Malware und meldet verdächtige Entdeckungen. Das kann im einfachen Fall über eine Leuchtanzeige auf dem Stick geschehen.
Über einen Security-Rechner hält man den Stick aktuell, indem man die aktuellen Signaturen und Module zur Erkennung auf den Sicherheitsstick lädt. Ebenso kann der Stick die Scan-Resultate auf den Security-Rechner übertragen, auf dem diese ausgewertet werden.
Whitelisting anstelle von Anti-Viren-Software
Um die Ausführung bösartiger Programme auf OT-Systemen zu verhindern, muss man keine Schutzsoftware auf der Maschine installieren. Es reicht eine Einstellung, die nur zugelassene Anwendungen aktiv werden lässt und damit Schadprogramme blockiert, um so die OT-Geräte zu schützen.
Anstatt Applikationen und Funktionen zu verbieten, um so bösartige Applikationen zu stoppen, kann man mittels Whitelisting die erlaubten und notwendigen Applikationen freigeben. Die meisten Malware-Attacken könnten dadurch vermieden werden.
Während im Whitelisting alle erlaubten Anwendungen freigegeben werden, ist der Ansatz bei Blacklisting, alle unerwünschten Applikationen zu verbieten. Da jedoch nicht vorab bekannt ist, welche Anwendung bösartig ist und verboten werden muss, kann Blacklisting im Gegensatz zu Whitelisting gegen Schadprogramme nicht helfen.
Weiterführende Links
National Cyber Security Centre (NCSC) über OT-Malware
https://www.ncsc.gov.uk/blog-post/what-is-ot-malware
OT-/IoT-Sicherheitsbericht von Nozomi Networks zur Entwicklung bei OT-Malware und OT-Sicherheit
https://www.nozominetworks.com/downloads/DE/Nozomi-Networks-OT-IoT-Security-Report-ES-2022-2H-DE.pdf