Rundumsicht oder blinde Flecken? : Ganzheitliche Ansätze gegen tote Winkel und übersehene Schnittstellen

Als omnipräsenter Backbone ist SAP vielerorts für einen reibungslosen Geschäftsablauf notwendig – das Gleiche gilt für die Betriebstechnik (Operational Technology, OT). Es liegt also im ureigensten Interesse von Unternehmen, auch ihre SAP- und OT-Systemlandschaft bestmöglich zu schützen. Doch in der Praxis tun sich hier nicht selten Lücken auf – mit teils drastischen Konsequenzen: Im Mai 2021 wurde Colonial Pipelines als kritische Infrastruktur in den USA angegriffen – als Folge der Ransomware-Attacke war die Benzinversorgung in einigen Bundesstaaten eingeschränkt. Etwa zeitgleich war ein weiterer Angriff in Florida bekanntgeworden, bei dem Angreifer über eine Schwachstelle im Remote-Desktop-Protocol (RDP) auf einem Windows-Gerät in die Systeme einer Kläranlage eingedrungen waren, um diese zu manipulieren.

Gerade im Versorgungsbereich nehmen Attacken schnell eine neue Dimension an, wenn Daten nicht „nur“ exfiltriert und/oder verschlüsselt werden, sondern Angreifer die Kontrolle über kritische Systeme übernehmen können – oder von weniger gut gesicherten OT-Komponenten in Kernprozesse überspringen können. Ein zeitgemäßer Schutz muss daher alle Ebenen von IT/OT erfassen, ohne blinde Flecken zuzulassen:

• Enterprise-IT: In Zeiten des Internet of Things (IoT) mit intelligenten Geräten wie Konferenzbildschirmen, Aufzügen und Kaffeemaschinen ist eine Unmenge von Daten, Systemen und Geräten effektiv abzusichern.
• Greenfield-IT: Hier können Unternehmen, die neue IT-Systeme launchen, die erforderlichen Security-Funktionen in der Regel direkt integrieren – das muss aber auch tatsächlich passieren und konsequent ausgewertet werden.
• Brownfield-IT: „Altlasten“ der IT müssen zumindest pragmatisch gesichert werden – in einer Fabrik mit alten Maschinen sind dazu etwa Netzwerkanalysen meist das einzig probate Mittel.

Verschiedene Blickwinkel

Natürlich sind sich Unternehmen der permanenten Gefahren durchaus bewusst. Deshalb beschäftigen sie sich mit Cyber-Security und setzen dafür häufig verschiedene Experten auf unterschiedlichen organisatorischen Ebenen ein:

• Compliance-Manager sorgen dafür, dass Unternehmen sicherheitsrelevante Vorgaben einhalten (z. B. nach BSI IT-Grundschutz oder internationalen Standards wie ISO/IEC 27001).
• Security-Experten sind dafür verantwortlich, lokale sowie cloudbasierte IT-Lösungen wirkungsvoll abzusichern.
• Forscher, Analysten, Threat-Hunter sowie Hacker/Nerds kennen die neuesten Angriffstechniken und denken darum in Sachen Security „einen Schritt weiter“ – hierzu ist oft externes Wissen gefragt, interne Ressourcen brauchen entsprechende Freiräume, um auf dem Laufenden zu bleiben.

Doch selbst ein solcher Dreifach-Ansatz greift vielfach zu kurz: Denn es reicht nicht aus, wenn sich Expertengruppen losgelöst von anderen Prozessen und Teams im Unternehmen auf einer eher theoretischen Ebene mit dem Thema Cybersecurity befassen! Letztlich geht es ja darum, wie sich das eigene Geschäft effektiv absichern lässt. Um dieses Ziel zu erreichen, müssen Unternehmen alle schutz- würdigen Prozesse und Systeme – und damit auch die SAP- und OT-Sicherheit – als Geschäftsprozess verstehen, der alle relevanten Personengruppen im Unternehmen einbezieht. Nur so lassen sich aus einer theoretischen oder strategischen Sichtweise geeignete praktische Maßnahmen ableiten – etwa die passende Security-Technik oder effektive organisatorische Maßnahmen.

Sicherheit als Geschäftsprozess verstehen

Wird Cyber-Security als kritischer Geschäftsprozess verstanden, dann ist dieser Ablauf mit Bedacht zu modellieren, mit Metriken zu steuern, mit Tools zu überwachen und kontinuierlich zu optimieren. Ebenso braucht es ein definiertes Risikomanagement, bei dem der Praxisbezug im Vordergrund steht. Hängt etwa der Geschäftserfolg eines Maschinenbauunternehmens maßgeblich davon ab, dass seine Gabelstapler immer funktionstüchtig sind, muss es nicht zuletzt darauf achten, dass immer genügend Schmierstoff vorhanden ist, alle Wartungstermine einhalten und ausreichend Ersatzfahrzeuge bereitstellen. Genauso sollten Unternehmen in puncto IT-Security stets auf alle Eventualitäten vorbereitet sein.

Dialog zwischen Management, IT und Produktion ist Pflicht

Um beispielsweise auch OT- und SAP-Sicherheit langfristig zu gewährleisten, gilt es, Abteilungsgrenzen zu überwinden und im Sinne einer prozessorientierten Denkweise und Organisation zu agieren. Allem voran müssen Management, IT und Produktion zu einem interdisziplinären Austausch finden! Denn manchmal fehlt der Führungsriege die genaue Vorstellung davon, wie wichtig bestimmte Prozesse oder Systeme für einen reibungslosen Geschäftsbetrieb sind. Die IT-Abteilung kann dabei helfen, dieses Verständnis zu vermitteln. Besonders wichtig ist auch die Perspektive der „Blue-Collar-Worker“, der Mitarbeiter:innen in der Produktion: Denn sie wissen ganz genau, wie sich ein möglicher Stillstand von Maschine A auf Fertigungslinie B auswirkt.

Moderne Maßnahmen

Neben allem strategischen Verständnis und fachbereichsübergreifenden Dialog braucht es jedoch auch leistungsstarke Security-Lösungen. In den vergangenen Jahren hat sich die Technik wesentlich weiterentwickelt – von der Netzwerkanalyse über die systemübergreifende Detection bis hin zur Plattform-Sicherheit:

• Netzwerkanalyse: Noch vor einiger Zeit war es üblich, das Netzwerk zu analysieren und Log-Dateien mit einem Security-Information-and-Event-Management-System (SIEM) zu korrelieren, um Hinweise auf mögliche Bedrohungen zu erhalten – was eine reine Detection-Maßnahme darstellt. Zwar lässt sich aus den Korrelationsergebnissen eine zielgerichtete Response ableiten, aber nicht direkt umsetzen. Da die Datenübertragung heute meist verschlüsselt erfolgt, können alleinige Netzwerkanalysen nicht mehr als „State of the Art“ gelten.
• Systemübergreifende Detection: Um sensorische Daten aus unterschiedlichen Quellen zu verarbeiten, haben sich mit „Endpoint Detection and Response“ (EDR) sowie „Extended Detection and Response“ (XDR) zwei neue Methoden etabliert. Mit einem EDR-Tool lassen sich relevante Ereignisse aufzeichnen – etwa eine Nutzeranmeldung, das Öffnen einer Datei sowie aufgebaute Netzwerkverbindungen auf Endgeräten wie PCs, Notebooks, Tablets oder Smartphones. XDR ermöglicht darüber hinaus, Daten über verschiedene Angriffsvektoren hinweg – beispielsweise E-Mails, Identitäten, Geräte, Server, Cloud-Workloads und Netzwerke – automatisch zu erfassen und zu verknüpfen.
• Plattform-Sicherheit: Wenn immer mehr Daten und Systeme in der Cloud liegen, ist es nur logisch, wirkungsvolle Security-Maßnahmen ebenfalls direkt dort umzusetzen. Dabei haben sich die Plattform-Lösungen der etablierten Hyperscaler bewährt. Besonders Microsoft bietet eine vollumfängliche Security-Produktpalette mit einer Vielzahl an vorgefertigten Komponenten, die sich einfach in Betrieb nehmen und für individuelle Unternehmenszwecke bedarfsgerecht konfigurieren lassen: vom Schutz der Anwender (PCs, Identitäten und E-Mails) über die Absicherung verschiedener Betriebsszenarien (eigene Server, On-Premises im Rechenzentrum sowie Azure-, Google oder AWS-Cloud) bis hin zu speziellen Anwendungsfällen wie OT- und SAP-Sicherheit. Solche Plattformen lassen sich zudem sehr viel effizienter integrieren als Einzellösungen.

Plattform-Sicherheit versus ausufernde Infiltration

Bedenkt man, wie komplex so manche SAP-Landschaft ist und wie abhängig Produktions- und Versorgungsunternehmen von ihrer Betriebstechnik sind, ist gerade die Plattform-Sicherheit ein gleichermaßen wesentlicher und wirkungsvoller Ansatz. Heutzutage sind „Lateral Movements“ („Seitwärtsbewegungen“) eine wichtige Schlüsseltaktik von Advanced Persistent Threats (APTs): Angreifer dringen zum Beispiel über eine Phishing-Attacke in eine kritische IT-Infrastruktur ein und verschaffen sich mithilfe der abgegriffenen Daten immer mehr Berechtigungen, indem sie ein System nach dem anderen kompromittieren oder infizieren. So könnten Cyberkriminelle letztlich etwa auch über ein Modem in der Produktionshalle Zugriff auf die Enterprise-IT erhalten und Festplatten verschlüsseln – und ein Unternehmen in seinen gewinnbringenden Kernprozessen treffen.

Zentrale Verknüpfung, Überwachung und Reaktion

Unternehmen haben also keine andere Wahl, als ihre Sensorik systemübergreifend zu verknüpfen und Alerts rund um die Uhr zu überwachen. Alternativ können sie Managed-Detection-and-Response-Services eines spezialisierten Cyber-Security-Defense-Centers (CSDC) in Anspruch nehmen.

Bei SAP-Systemen kann dazu beispielsweise das Microsoft Threat Monitoring for SAP im Mittelpunkt stehen: Über einen Sensor lassen sich Daten aus komplexen SAP-Landschaften konsolidieren, sodass sie im cloudnativen SIEM-System Microsoft Sentinel für die weitere Verarbeitung bereitstehen. Nachdem ein Sensor mit verschiedenen SAP-Log-Quellen verbunden ist, erfasst er alle Daten, die über eine API zwecks Korrelation und Auswertung in Sentinel fließen – erkennt das Tool eine Bedrohung, generiert es entsprechende Alerts.

Das Tool der Wahl sollte heutzutage in der Lage sein, über standardisierte Regeln die Grundlage für (teil-)automatisierte Prozesse zur Security-Orchestration, -Automation and -Response (SOAR) bereitzustellen: Geht ein Alarm ein, erfolgt dann idealerweise eine KI-basierte Analyse der erfassten Ereignisdaten, sodass sich je nach Art des Angriffs vorab definierte Response-Maßnahmen in Gang setzen.

Fazit

Cyberkriminalität ist ein lukratives Business, dessen Folgen für betroffene Firmen weit über wirtschaftliche Aspekte hinausgehen können: Gerade im Bereich kritischer Infrastrukturen (KRITIS) können sich Angriffe zur ernsthaften Bedrohung für die Gesellschaft entwickeln – und auf diese reale Bedrohung müssen Unternehmen besser vorbereitet sein, als das heute noch oft der Fall ist.

Dafür muss sich zum einen die Unternehmenskultur ändern: Es darf keine Gräben zwischen den Abteilungen geben – es braucht vielmehr eine interdisziplinäre Zusammenarbeit. Zum anderen sind gerade KRITIS-Betreiber und -Zulieferer gefordert, den praktischen Geschäftsbezug ihrer IT sowie OT zu verinnerlichen und notwendige Schutzziele nicht nur abzuleiten, sondern auch umzusetzen. Denn auch für versorgungsrelevante Systeme und Infrastrukturen gilt: Es ist möglich, sie gut zu schützen. Doch dafür ist es aber notwendig, Cyber-Security als Geschäftsprozess zu verstehen und konsequent umzusetzen.

Andreas Nolte ist Head of Cyber Security bei Arvato Systems (www.arvato-systems.de).