CyberCompare

Höhere Sicherheit durch OT-Monitoring

Grundlagen

Unter OT (Operational Technology) wird Produktions-, Automatisierungs- und Betriebstechnik verstanden. Da der Großteil der Geschäftsprozesse von OT abhängt ist es wichtig diese zu schützen, um einen Fortbestand der Produktionsabläufe zu gewährleisten.

Eine große Herausforderung stellt die Konvergenz von IT und OT dar. Sie hat in den vergangenen Jahren immer stärker zugenommen und es ist davon auszugehen, dass sich dieser Trend fortsetzen wird. Dies spiegelt sich auch in der Verflechtung von IT- und OT-Security wider: So wird damit gerechnet, dass bis 2025 75% aller OT-Security-Lösungen (Gartner) interoperabel mit denen der IT-Security sein werden.

Administratoren werden dabei mit einer ganzen Reihe an Herausforderungen konfrontiert: Im Vordergrund steht die Gefahr von Angriffen. So haben 80% der Verantwortlichen für OT in Unternehmen in den vergangenen zwei Jahren einen Breach in ihrer Infrastruktur erlebt. Nur 10% berichten davon, noch nie einen Breach erlebt zu haben. Damit einher gehen die steigenden regulatorischen Anforderungen sowohl durch staatliche Stellen wie auch von anderen Stakeholdern, die Zertifizierungen erwarten (z.B. nach IEC 62443).

Hinzu kommen hohe Kosten im Falle eines Datenlecks. 2020 kostete ein durchschnittliches Datenleck in der Industrie 3,4 Millionen Euro (IBM). Erschwerend ist dabei die Dauer bis ein solches Leck entdeckt wird. 2020 haben Unternehmen in der Industrie für die Entdeckung durchschnittlich 220 Tage benötigt und weitere 82 Tage dauerte das Beheben des Problems. Für eine größere Sicherheit in der Produktion ist also eine frühere Entdeckung sinnvoll. Dafür ist die Detektion von Anomalien ausschlaggebend. Im Bereich OT werden daher viele OT-Monitoring-Lösungen angeboten. 

In unserer aktuellen Marktstudie haben wir uns daher die Anbieter von OT-Monitoring-Lösungen näher angesehen. Unser Ziel dabei war es, unter der Vielzahl an Anbietern vielversprechende Lösungen zu identifizieren.

Besonderheiten des OT-Monitoring

Das besondere bei OT-Monitoring im Gegensatz zu IT-Monitoring ist, dass spezielle Protokolle der Automatisierungstechnik (bspw. ModBUS) unterstützt werden. In der Praxis hat sich gezeigt, dass viele OT-Monitoring-Lösungen zusätzlich auch IP-Protokolle interpretieren können.

Das Purdue Referenz Modell unterteilt Unternehmensassets im Bereich IT/OT in fünf Abstraktionsebenen auf. OT deckt die Ebene 0-3,5 und IT die Ebene 3,5-5 ab.

Aufgrund hoher Investitionskosten im Bereich OT-Monitoring gehen die Meinungen auseinander, ob ein Monitoring in der DMZ (bspw. durch ein SIEM wie Splunk) nicht ausreicht. Andere argumentieren hingegen, dass eine detaillierte Detektion nur durch spezielles OT-Monitoring auf den unteren Ebenen möglich ist, was wiederum zusätzliche Hardware notwendig macht.

Neben der eigentlichen Funktion des OT-Monitoring bieten die Lösungen weitere Zusatzfunktionalitäten wie z.B. ein Asset Management, Backup-Lösungen, Threat-Intelligence u.v.m. In unserer Marktstudie geben wir Ihnen auch über den Umfang zusätzlicher Funktionen einen Überblick.

Unsere Best Practice für die Anbieterauswahl

Für die optimale Lösung gliedert sich unser Vorgehen in drei Schritte: Anbieteridentifizierung, Anbieterauswahl und Identifikation der optimalen Lösungen.  

Zunächst haben wir den gesamten Markt für OT-Monitoring erfasst und 7 Kriterien definiert, nach denen die Auswahl der besten Lösungen erfolgen sollte. Dazu haben wir wissenschaftliche Veröffentlichungen herangezogen, unser Netzwerk an Experten befragt und mit Anbietern gesprochen.

Anhand unserer Kriterien haben wir in unserer Anbieterauswahl zehn Anbieter selektiert, die wir im nächsten Schritt genauer unter die Lupe genommen haben. Bei der Suche nach der optimalen Lösung haben wir konkrete Angebote beleuchtet, die wir anhand unseres standardisierten Fragenkatalogs bei den Anbietern eingeholt haben.

Besonderen Fokus haben wir dabei auf die drei wichtigsten Kriterien gelegt: Wenn es darum geht die Infrastruktur zu überwachen, ist die sogenannte Sichtbarkeit besonders relevant. Uns war es wichtig, jene Anbieter zu identifizieren, deren Lösungen möglichst viele Geräte identifizieren und analysieren. Hierbei unterscheiden sich die Lösungen insbesondere darin, ob sie aktiv nach Geräten suchen oder lediglich den bestehenden Verkehr abhören. Ein aktives Detektieren war uns wichtig, damit auch “stille” Geräte, die unter Umständen heimlich eingebracht wurden, gefunden werden.

Da die OT eng in die Geschäftsprozessen integriert ist, ist zudem eine einfache und sichere Implementierung relevant, damit die Produktion sowohl während der Implementierung als auch im Betrieb ungestört fortgesetzt werden kann. Die untersuchten Lösungen gewährleisten dies.

Als drittes Schwerpunktkriterium haben wir zusätzliche Funktionalitäten betrachtet, da hier große Differenzierungen herausgearbeitet werden konnten. So sind Asset Management und Threat Intelligence verbreitete Funktionalitäten, während sich u.a. im Bereich Vulnerability Scanning Unterschiede ergaben.

Darüber hinaus haben wir untersucht, wie sich die Lösungen in bestehende Systeme integrieren lassen. Hier reichte das Spektrum von Schnittstellen für Standard-Lösungen (z.B. Splunk) bis hin zu speziell entwickelten APIs. Bei der Benutzerfreundlichkeit gab es hingegen geringere Unterschiede. Die meisten Lösungen bieten eine moderne und intuitive Benutzeroberfläche. Bei der Bepreisung hingegen kann für Kunden die Bemessungsgrundlage ein interessantes Kriterium sein, da manche Anbieter nach Anzahl der Mitarbeiter und andere nach der Anzahl der Geräte abrechnen. Abhängig von der Unternehmensstruktur können sich dadurch erhebliche Unterschiede ergeben.

Im letzten Schritt haben wir diese Kriterien genutzt, um eine Auswahl von drei Anbietern zu treffen, die aus unserer Sicht besonders attraktive Lösungen anbieten.

Zusammenfassung

Alle Unternehmen mit OT-Infrastruktur stehen erheblichen Herausforderungen gegenüber. Die den zuverlässigen Ablauf der Geschäftsprozesse zu gewährleisten, müssen sich Unternehmen mit OT-Security befassen. Ein wichtiger Baustein ist dabei OT-Monitoring. Der Markt an Anbietern ist umfangreich und das passende Angebot sollte für jedes Unternehmen individuell geprüft werden.

Für einen Zugang zu unserer umfangreichen Analyse, hinterlassen Sie uns gerne hier Ihre Kontaktdaten, wir stellen Ihnen gerne die umfangreiche Analyse unserer Ergebnisse individuell zur Verfügung. Alternativ oder zusätzlich können Sie initial Ihr Cyberrisikoprofil mit unserer Diagnostik testen.

Passend zum Thema möchten wir Sie noch auf unseren virtuellen Roundtable aufmerksam machen. Am 16. September von 16 – 17:30 Uhr werden Sie die Gelegenheit haben sich unter anderem mit Wolfgang Barthel und Dave Weinstein zum Thema OT-Monitoring auszutauschen. Zudem werden wir weitere Einblicke in unser Vorgehen bei der Marktstudie geben und erläutern, welche Erfahrungen wir mit den beleuchteten Anbietern gemacht haben. 

Hier zum Roundtable anmelden.

Quellen:

https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/

https://www.gartner.com/doc/reprints?id=1-254F1YLR&ct=210201&st