Keywords
OT Security, Patch-Management, Incident Management, Cybersicherheit, kritische Infrastruktur, Schwachstellenanalyse, Best Practices, Lieferantenmanagement, IEC 62443, Zero Trust
Zusammenfassung
Erfahren Sie gemeinsam mit Klaus Mochalski und Niklas Mörth, CISO bei Westermo, wie sich das Patch-Management im Bereich OT vom IT-Bereich unterscheidet. Entdecken Sie die Herausforderungen im Bereich Sicherheit, die Bedeutung von System-Baselines und wie alternative Maßnahmen wie Zero Trust Ihre kritische Infrastruktur schützen.
Kernargumente
Während das Patch-Management in der IT weitgehend gelöst ist, stellt es in der Betriebstechnik (OT) aufgrund von Faktoren wie der menschlichen Gesundheit, der Sicherheit und strengen Anforderungen an die Systemverfügbarkeit nach wie vor eine erhebliche Hürde dar. Im Gegensatz zu IT-Systemen, die problemlos auf ein Backup-System umgeschaltet werden können, erfordern OT-Systeme oft einen Neustart, was zu Betriebsausfällen führt.
Die Bereitstellung eines Patches in einer OT-Umgebung kann die Sicherheitszertifizierung eines Systems sofort ungültig machen. Dies führt zu einer schwierigen Situation, in der Betreiber zwischen der Aufrechterhaltung ihrer Zertifizierung und der Anwendung eines Patches zur Gewährleistung der Sicherheit wählen müssen.
Anstatt blind einer CVS-Bewertung zu folgen oder zu versuchen, einen wöchentlichen Patch-Rhythmus im IT-Stil beizubehalten, müssen OT-Betreiber ihre eigenen funktionalen Auswirkungsanalysen durchführen.
Um Schwachstellen genau zu bewerten, benötigen Unternehmen eine präzise Baseline und ein Asset Inventory. Betreiber müssen genau wissen, welche Systeme im Einsatz sind, und die Kritikalität jeder Anlage für den Gesamtprozess verstehen (z. B. erkennen, dass ein Controller weitaus wichtiger ist als ein Netzwerkdrucker).
Da das Patchen oft nicht durchführbar ist, müssen OT-Betreiber alternative Sicherheitsmaßnahmen implementieren. Air-Gapped-Solutions gelten nach wie vor als äußerst wirksam bei der Eliminierung von Angriffsvektoren aus der Ferne. Weitere Strategien umfassen Zero-Trust-Architekturen, Netzwerkisolierung und die Konfiguration von Firewalls für strenge Whitelisting-Regeln anstelle von Deep Packet Inspection.
Bei der Modernisierung von Netzwerken sollten Anlagenbetreiber nach Anbietern Ausschau halten, deren Produkte den in der Norm IEC 62443 festgelegten Anforderungen entsprechen und die interne Sicherheitsstandards wie ISO 27000 einhalten. Ein transparenter, etablierter Prozess zum Schwachstellenmanagement und eine positive, kooperative Reaktion auf die verantwortungsvolle Offenlegung von Schwachstellen sind wichtige Indikatoren für einen zuverlässigen Anbieter.
Die für das Patch-Management geschaffenen Grundlagen – wie die Festlegung von Baselines und der Aufbau einer „Toolbox“ mit Abhilfemaßnahmen – unterstützen das Incident Management direkt. Wenn eine unbekannte Schwachstelle einen Vorfall verursacht, können die etablierten Gegenmaßnahmen schnell eingesetzt werden. Daher sollten Schwachstellenmanagement- und Incident-Response-Teams idealerweise eng zusammenarbeiten oder zusammengelegt werden.
Für Unternehmen, die noch nicht mit dem Patchen begonnen haben, besteht der allererste Schritt darin, Wissen zu sammeln und eine Bestandsaufnahme der vorhandenen Ressourcen zu erstellen. Ohne zu wissen, was sich im Netzwerk befindet, ist es unmöglich, dieses effektiv zu sichern. Unternehmen, denen die internen Ressourcen dafür fehlen, sollten sich Hilfe holen.
Gut gesagt
Klaus Mochalski: „Das Patch-Management ist eine Aufgabe, die wir schon vor vielen Jahren gelöst haben. Manche würden sagen, schon vor Jahrzehnten, aber in der OT scheint dies aus irgendeinem Grund im täglichen Betrieb immer noch eine Herausforderung darzustellen.“
Niklas Mörth: „[...] Die Gesundheit und Sicherheit der Menschen steht immer an erster Stelle. Ich meine, wenn man im Transportwesen tätig ist und einen Zug fährt, muss man wirklich sicherstellen, dass die Türen geschlossen sind und so weiter und dass die Bremsen funktionieren. Der Hauptfokus liegt also nicht nur darauf, das System am Laufen zu halten.“
Niklas Mörth: „[...] Wenn man eine neue Funktionalität einführt, sind alle Überprüfungen, die man aus Sicherheitsgründen durchgeführt hat, ungültig. Man muss diesen Prozess also quasi neu starten, was extrem mühsam und kostspielig ist. Das verhindert auch viele Patches [...]“
Klaus Mochalski: „Also die Zertifizierung: Bei vielen zertifizierten Sicherheitslösungen hat man vielleicht kein aktuelles zertifiziertes Update, aber vielleicht ein Update, das das Sicherheitsproblem tatsächlich löst. Es ist also ein Entweder-oder-Problem. Bleibst du zertifiziert oder bleibst du sicher?“
Niklas Mörth: „[...] In einer OT-Umgebung ist es wirklich sehr wichtig, eine wirklich gute Baseline dafür zu haben, wie dein System aussieht, und deine Assets tatsächlich zu bewerten, und dann, wenn die Schwachstelle auftritt, zu schauen, was hier die tatsächlichen funktionalen Auswirkungen sind [...]“
Klaus Mochalski: „Wenn man also seine Systeme sehr gut kennt und auf einer bestimmten Komponente eine Sicherheitslücke entdeckt, könnte man diese auch auf andere Weise isolieren, beispielsweise durch Konfigurationsmaßnahmen. Im Extremfall kann man also den Stecker ziehen, [...] und das kann man nur tun, wenn man versteht, was das Ziehen eines bestimmten Steckers bedeutet [...]“
Niklas Mörth: „Man könnte anfangen, mit Firewalls zu arbeiten, die weniger wie eine IT-typische Deep-Inspection-Paketfilter-Firewall funktionieren, sondern eher nach dem Prinzip der Whitelisting-Methode, weil man weiß, was tatsächlich in diesem Netzwerk fließen wird. Alles andere sollte man einfach blockieren. Es sollte gar nicht erst dort sein.“
Klaus Mochalski: „[...] Wir haben eine Reihe unbekannter Schwachstellen entdeckt und diese sofort gemäß dem Responsible-Disclosure-Verfahren an verschiedene Hersteller gemeldet. Es war sehr interessant, wie unterschiedlich die Reaktionen waren. Einige waren sehr erfreut und haben uns hinterher sogar eine Art Medaille verliehen. Andere haben zunächst gar nicht reagiert und sind dann wütend geworden [...]“
Niklas Mörth: „Der Vorfall könnte durch eine unbekannte Schwachstelle verursacht worden sein, von der man vorher nichts wusste, aber man kann sie wahrscheinlich einschätzen und feststellen: Okay, sie ähnelt dieser hier, und dann kann man die Maßnahmen anwenden, die man für diese Art von Schwachstellen im Incident Management festgelegt hat [...]“
Klaus Mochalski: „[…] Zu verstehen, was man hat, ist viel mehr, ich würde sagen, eine befriedigende Aufgabe, denn dadurch gewinnt man auch Einblicke in die betrieblichen Abläufe, und das wiederum hilft einem dabei, die Sicherheit der Systeme zu erhöhen.“
Kapitel
02:05 Herausforderungen beim Patch-Management in der OT
07:30 Best Practices für das Patchen in der OT
10:39 Überlegungen zur Anbieterauswahl für OT-Systeme
19:58 Die Rolle des Patch-Managements bei der Reaktion auf Vorfälle
23:46 Erste Schritte mit dem Patch-Management
