HANDBUCH INTERNET OF THINGS
Kapitel 4.10 / Security-Management im IoT-Zeitalter
 SicherheitvonOT-SystemenundIoT-Geräten
Hersteller: Unternehmen:
V OT-Systeme und IoT-Geräte benötigen einen umfassenden Security-Lifecycle- Ansatz
V Geräte, Maschinen und Systeme müs- sen nach dem „Security by Design“- Ansatz entwickelt werden
V Sicherheitsprozess de nieren, um die Security über den gesamten Pro- duktlebenszyklus gewährleisten zu können
V Verantwortlichkeiten und Rollen für Sicherheitsprozesse de nieren
V Ein Security-Assessment von Produk- tionsnetzen durchführen
V Eine Priorisierung bei den ermittelten Schwachstellen vornehmen
Sind Verantwortlichkeiten und Rollen ge- klärt, sollten Unternehmen – meist unter- stützt durch externe Sicherheitsexperten und -analysten wie NTT Security – ein Security- Assessment ihrer Produktionsnetze durch- führen. Basis dafür bilden Interviews mit den Betreibern und Verantwortlichen der OT-Umgebungen und ein Asset-Discovery, das mithilfe von  reat-Detection-Sensoren eine Bestandsaufnahme der vorhandenen OT- und IoT-Systeme sowie der internen und externen Kommunikationsbeziehun- gen liefert. Erfahrungen aus der Praxis zei- gen, dass dabei immer Geräte und Verbin- dungen zum Vorschein kommen, von denen zuvor keiner Kenntnis hatte. Gerade diese sind hochriskant: Wenn niemand im Unter- nehmen von deren Existenz wusste, können Angreifer über dieses Einfallstor unentdeckt Wirtscha sspionage betreiben. Ein wichtiges Ziel der Bestandsaufnahme ist, bei den er- mittelten Schwachstellen eine Priorisierung vorzunehmen. Was ist von höchster Kritika- lität? Diese Sicherheitslücken müssen sofort
geschlossen werden, andere können schritt- weise beseitigt werden.
Weitere  emen der OT-Security-Analyse sind ein OT-Security-Vulnerability-Assess- ment, OT-Security-Risk-Assessment, OT- Governance und eine strukturierte Planung der weiteren Schritte zur Erhöhung der OT- Security. Gerade die Priorisierung der umzu- setzenden Maßnahmen stellt viele Unterneh- men vor große Herausforderungen. Fester Bestandteil der Analyse ist eine genaue Do- kumentation der Assets und von deren Kom- munikationsbeziehungen. Vorbild dafür ist die Kon gurationsdatenbank (CMDB) der IT-Systeme.
Bei der Ermittlung der externen Kommuni- kationskanäle interessiert zunächst, welche überhaupt vorhanden sind: Einwahlverbin- dungen, aber auch Standleitungen und Ma- schinen mit LTE-Karten für die Remote- Wartung. Solche Verbindungen sollten ge- nau unter die Lupe genommen werden: Im
203
Technologien