.jpg)
OT-Systeme werden angreifbarer. Offene Funkbereiche, remote arbeitende Wartungstechniker und die Schwachstelle wie zum Beispiel Log4j machen den Verantwortlichen zu schaffen. Patrick Latus von mod IT Services kennt die Probleme der OT ganz genau und versucht zu motivieren doch einmal genau hinzuschauen.
IoT4industry&business: Sind sich Maschinenhersteller bzw. produzierende Betriebe der Gefahr von Hackerangriffen über OT-Systeme bewusst?
Patrick Latus: Definitiv. Aufgrund der vielen Medienberichte, aber vor allem auch dadurch, dass verstärkt OT-Systeme durch Ransomware-Attacken betroffen sind, rückt das Thema noch mehr in den Fokus. Da ist in Moment richtig Druck dahinter.
Viele Produktionssysteme, die Mitte der 90er Jahre immer weiter digitalisiert wurden, liefen gekapselt im Inselbetrieb. Ende der 90er wurden viele Leistungsdaten aus genau diesen gekapselten Systemen, die keinerlei Verbindung zum Internet hatten, an die IT angeschlossen um Leistungswerte abzurufen, Optimierungen vorzunehmen oder einfach für Remoteanbindung zu Diagnosezwecken oder ähnliches. Dadurch sind immer mehr Schnittstellen entstanden und durch das stetige Hinterherwandern was etwa die Patchzyklen angeht, sind die Systeme inzwischen deutlich erreichbarer und anfälliger als früher. Das macht die ganze Sache so gefährlich.
Die meisten OT-Verantwortlichen kommen aus der Maintenance. Das heißt, sie machen Wartungsarbeiten, tauschen Monitore, Turbinenteile und so weiter. Das sind im Grunde keine IT-affinen Leute. Und die IT hat die OT immer als eigenen Bereich betrachtet und keinen Computer angegriffen, der eine Turbine regelt. Das sind zwei völlig unterschiedliche Welten. Nun müssen diese Welten zusammenrücken.
IoT: Warum waren so viele Unternehmen branchenübergreifend von der Schwachstelle bei Log4j betroffen?
Patrick Latus: Java hat den Vorteil, dass es plattformunabhängig ist. Und Log4j ist einzelnes Modul für eine Ereignisprotokollierung und daher sowohl auf Windows-Rechnern als auch auf Linux-Systemen im Einsatz. Diese Plattformunabhängigkeit ist also Vorteil wie auch Nachteil. Viele Firmen mussten bei Bekanntwerden des Problems überhaupt einmal überprüfen, ob sie diese Komponente selbst im Einsatz haben. Es hat gedauert einen Überblick darüber zu bekommen, wo diese Bibliothek überall eingesetzt wird. Das hat ganz speziell die OT betroffen, in der die Leitsystem-Hersteller schauen mussten, ob sie die Patches überhaupt einspielen können ohne dass wichtige Funktionen anschließend betroffen sind.
IoT: Die Schwachstelle bei Log4j besteht seit seiner Entwicklung Anfang August 2013. Ist es reines Glück, dass sich die Hacker so lange Zeit gelassen haben, sie zu nützen?
Patrick Latus: Das ist eine spannende Frage. Das Log4j Modul haben viele Leute „gelesen“, aber es ist fast unmöglich, alle Nebenwirkungen mit den vielen anderen Modulen und Komponenten zu überprüfen. Bis zur Veröffentlichung im Dezember 2021 war es der breiten Öffentlichkeit gar nicht bekannt, dass diese Schwachstelle existiert. Inwieweit sie bis dahin schon böse ausgenutzt wurde, kann im Nachhinein keiner mehr sagen. Nach Bekanntwerden haben viele Firmen und auch der Entwickler selbst nachgearbeitet und neue Versionen freigegeben.
IoT: Ein Vorteil von Open Source ist die Offenheit und die Einsichtnahme in die Codes. Das Viel-Augen-Prinzip hat hier aber nicht geholfen. Warum nicht?
Patrick Latus: Bei Open Source generell und auch bei Log4j konnte und kann man sehr viele Module selber programmieren. Dabei ist es natürlich schwierig den Überblick über alle Bausteine zu behalten. Bei Open Source Lösungen gibt es kein externes Audit oder ähnliches, das genau diese Schwachstellen beleuchten kann. Das Audit wird von anderen Entwicklern gemacht, aber keiner davon setzt sich freiwillig hin und betrachtet das komplette Konstrukt. Und das ist halt die Krux an der Geschichte. Fluch und Segen zugleich.
IoT: Predictive Maintenance ist ein klassisches OT-Thema. Um von den neuen technischen Vorteilen zu profitieren, müssen sich Maschinenbetreiber teilweise öffnen und damit machen sie sich angreifbar. Wie sehen Sie das?
Patrick Latus: Predictive Maintenance ist ein sehr, sehr spannendes Thema. Früher war das die Aufgabe eines ganz klassischen Wartungstechnikers. Der konnte allein aus seiner Berufserfahrung am Klang einer Anlage hören, ob sie rund läuft oder nicht. Solche Leute gibt es immer weniger. Die IT versucht jetzt diese Erfahrung über Sensoren abzubilden und in KPIs widerzuspiegeln. Wenn nun die IT-Leute kommen und sagen: wir machen hier jetzt alles mit Sensoren voll, dann wird es für die OT-Leute zunehmend schwieriger. Ihnen werden damit Bereiche abgenommen, um die sie sich vorher gekümmert haben. Aber es ist definitiv der richtige Schritt solche Systeme einzusetzen.
IoT: Ist es möglich, die Arbeits- und Denkweise der IT 1:1 auf die OT umzulegen? Oder sind die beiden so grundverschieden, dass es schon reicht nur gut zusammenzuarbeiten?
Patrick Latus: Ein ganz simples Beispiel zeigt die unterschiedliche Denkweise: wenn Sie zu einem IT-Administrator gehen, kann er Ihnen ganz genau sagen, wie viele Server er mit welchen Funktionen im Einsatz hat. Das geht in der OT nicht. Hier werden für jeden Bereich eigene Systeme von anderen Herstellern mit ganz bestimmten Nischenlösungen eingesetzt. Der Anlagenbetreiber verbindet sie dann zu einem großen Netzwerk zusammen.
Die IT versucht jetzt die OT dazu zu bewegen durch eine Asset-Inventarisierung überhaupt einen Überblick zu bekommen. Da gibt es dann so Schlagworte wie Hardware-Life-Cycle. Für die OT war es aber ganz normal, dass es Computer gibt, die 10 bis 15 Jahre am Stück laufen. Das ist nun für die IT eine Riesenherausforderung. Aber ohne einen Überblick über alle Assets kann keine Risikobetrachtung erfolgen und Gegenmaßnahmen ergriffen werden.
IoT: Wo sehen Sie die kritischen Schnittstellen der OT nach draußen?
Patrick Latus: Kritisch wird es im Moment auf vielen Feldgeräteebenen, die mittlerweile mit Funkstandards arbeiten. Die reichen teilweise weiter als unbedingt nötig. Viele Anlagen sind mit einem Zaun geschützt, aber es ist weiterhin möglich den Funkbereich anzuzapfen. Das heißt: Angriffe von außen werden definitiv zunehmen. Ebenso Angriffe über VPN und Home-Office-Lösungen. Es arbeiten auch viele OT-Techniker und Systemintegratoren remote.
Aber natürlich gibt es viele Möglichkeiten OT-Systeme physikalisch zu schützen. Das fängt schon ganz simpel beim Abschließen der Räume an, denn der geschlossene Schrank ist nur eine einzige Hürde. Um OT-Systeme zu schützen, muss man allerdings mehrere aufbauen. Dazu gehört die physikalische ebenso wie die virtuelle Sicherheit. Die IT scannt regelmäßig die eigenen Netze auf Schwachstellen, um ein aktuelles Lagebild zu bekommen. Für die OT gibt es inzwischen ebenfalls spezielle Tools. Doch die alleine helfen nicht. Man muss auch wissen, wie man mit den Geräten umgeht und dass man sie nicht einfach „stumpf“ abscannen kann. Denn wenn das OT-System unter Last zusammenbricht, dann kostet der Stillstand einer Produktion schnell zehn- bis hunderttausende Euro am Tag. Daher trauen sich noch nicht viele an die OT-Systeme heran.
IoT: Gibt es schnelle Maßnahmen die Unternehmen ergreifen können um ihre OT-Systeme zu schützen?
Patrick Latus: Definitiv. Und die bieten wir mit mod IT Services auch an. Das fängt oft mit politischer Unterstützung vor Ort an, um die IT-/OT-Parteien zusammenzubringen. Nicht selten stellen wir uns mit unserem IT-Know-how auf die Seite der OT-Leute. Dabei helfen wir der OT die Richtlinien der IT umzusetzen und damit auch der IT die anspruchsvollen OT Netze zu schützen. Wir unterstützen das OT Personal bei einer Risiko-Betrachtung, machen etwa Penetrationtests oder Schwachstellenscans. Dabei schauen wir uns auch den Standort der Schränke und Dokumentationen an oder wie im Notfall gehandelt werden kann. In der IT sind Notfallpläne Standard, in der OT gibt es das in der Form noch nicht. Von Gesetzes wegen gibt es schon seit ein paar Jahren die Forderung dunkle Netzwerkflecken aufzudecken. Ab nächstem Jahr kommt weiterer gesetzlicher Druck durch verschiedene ISO- oder IEC-Richtlinien, die ganz speziell die Industrie betreffen werden. Viele befürchten allerdings, dass ihre OT-Bereiche bei einer Überprüfung als „verwahrlost“ gelten. Das sie dafür verantwortlich gemacht werden. Aber diese Systeme sind einfach historisch gewachsen. Was ich daher vielen OT-Betreibern von Anfang an sage: es ist wichtig sich auf jeden Fall zu trauen, die Dinge in die Hand zu nehmen, die Sache aktiv anzupacken und sich in kleinen Schritten zu verbessern.
