OT & IoT Security

Unsichtbare Bedrohungen im eigenen Netzwerk erkennen und abwehren

Ihr Experte für Fragen

Dr. Oliver Hanka

Dr. Oliver Hanka
Director bei PwC Deutschland
Tel.: +49 160 510-5836
E-Mail

Warum der Schutz von OT- und IoT-Systemen immer wichtiger wird

OT (Operational Technology) und IoT (Internet of Things) sind oftmals noch blinde Flecke, die als Einfallstore für gezielte Cyberangriffe dienen können oder Schwachstellen für Schadsoftware darstellen. Das liegt vor allem daran, dass Unternehmen in Hinblick auf Cybersicherheit ihren Fokus bislang auf den Schutz der Informationstechnologie legen und weniger die Sicherheit von Steuerungssystemen oder Produkten priorisieren.

Das ist jedoch dringend notwendig, denn die zunehmende Vielfalt beim Einsatz von vernetzten Geräten vergrößert das Potenzial für Cyberangriffe. Insbesondere wenn Safety-kritische Systeme angegriffen werden, reichen die klassischen IT-Security-Maßnahmen nicht aus. In unserer CEO Survey geben 80 Prozent der CEOs in Deutschland an, dass sie ihre Investitionen in Cybersicherheit in den nächsten drei Jahren erhöhen wollen − OT und IoT Security sind dabei wichtige Wachstumsfelder.

Herausforderungen im OT/IoT-Security-Umfeld

Doch warum sind OT und IoT Security so wichtig für Unternehmen?

IoT Security schützt Produkte, wie z.B. Steuergeräte, vor Hackerangriffen. Solche Geräte setzen sich aus einem Prozessor sowie einer Kommunikationsschnittstelle zusammen und agieren mit der Umwelt. Um diese Produkte entlang des gesamten Lebenszyklus zu schützen, muss auch die Produktionsanlage abgesichert sein. Darunter verstehen wir OT Security. Die gleichen Komponenten (PLC) werden auch in der kritischen Infrastruktur (bspw. Energieversorgung und im Mobilitäts-Bereich) eingesetzt. Deshalb haben OT und IoT Security auch eine besondere Relevanz. Denn bei einem Hackerangriff in diesem Umfeld geht es nicht nur um bspw. geschäftskritische Daten. Stattdessen kann ein Angriff auf Maschinen, Anlagen etc. schwerwiegende Folgen für die Sicherheit von Mensch und Umwelt haben.

In den Bereichen der Operational Security sowie der Sicherheit von IoT-Plattformen und Geräten wachsen die Sicherheitsanforderungen stetig an. Gleichzeitig sind Unternehmen mit verschiedenen Herausforderungen konfrontiert.

Das bestätigen auch unsere Kunden:

„Unsere Produkte sind verkauft und nicht mehr unter unserer Kontrolle.“

„Ich muss Safety-Funktionen so absichern, dass diese nicht manipuliert werden können.“

„Es gibt immer mehr regulatorische Anforderungen an meine Produkte und Anlagen, wie ISO 21434 oder IEC 62443.“

„Meine Produktionsanlagen sind 20-30 Jahre im Einsatz. Dabei muss ich sie heute schon vor zukünftigen Bedrohungen schützen.“

„Die Digitalisierung ermöglicht uns neue Produktlinien und Einnahmequelle. Diese muss ich gegen eine geänderte Bedrohungslage absichern.“

Finden Sie sich in diesen Aussagen wieder? Sind Ihre Produkte oder Steuereinheiten elektronisch vernetzt und kommunizieren diese mit einem Backend? Werden diese in Bereichen wie zum Beispiel Bahn, Marine, Automotive, Energieversorgung, Gebäudeautomatisierung und Produktion eingesetzt?

PwC IoT Cyber Security Triad

Aus diesen Herausforderungen haben wir die spezifischen Anforderungen für drei Anwendungsbereiche − IoT-Produkte, OT sowie IoT-Plattformen − identifiziert und einen ganzheitlichen Ansatz für die Integration von Sicherheit entwickelt.

IoT/Product

Unter IoT/ Product Security fassen wir für uns die Integration von Security-Aktivitäten entlang des gesamten Produktlebenszyklus zusammen. Das impliziert sowohl eine sichere Entwicklung von IoT- und OT-Produkten sowie die Härtung von Legacy-Geräten als auch den Betrieb und Wartung von verkauften Produkten bis hin zu ihrer Außerdienststellung. Produkte sind hierbei beispielsweise Fahrzeuge, Schiffe, Eisenbahnen, Flugzeuge, Drohnen, Windräder sowie Industriemaschinen oder aber auch Komponenten der Gebäudeautomatisierung wie zum Beispiel Lüftungsanlagen und Aufzüge. Wir kümmern uns um die Absicherung von einzelnen Komponenten/Steuerungen bis hin zu kompletten Systemen. Dabei orientieren wir uns an den für den jeweiligen Bereich relevante Normen, zum Beispiel IEC 62443 aus dem Industriebereich oder ISO 21434 für Automotive.

OT

Mithilfe von OT-Security-Leistungen sichern wir Produktionsanlagen ab. Das umfasst bei uns die Absicherung der Industriesteuerungen (PLCs) sowie darüber liegender Schichten − von der technischen Ebene bis in die Prozessebene. Dabei schaffen wir Synergien zwischen IEC 62443 (OT) und ISO 27001 (IT).

IoT Platform

Die meisten IoT/OT-Komponenten sind heutzutage keine Stand-Alone Systeme, sondern untereinander vernetzt und mit einem Backend verbunden. Das Backend kann hierbei ein kleines zentrales Steuerungssystem bis hin zu einer kompletten Cloud-Infrastruktur sein. Beispiele hierfür sind Connected Car, Gleisbett-Steuerung im Bahnbereich oder ERP-Systeme im OT-Umfeld. Wir sichern die Übertragung der Daten und den Zugriff auf diese ab. Ein wichtiges Thema ist zudem die Mandantentrennung in der Backend-Infrastruktur. Auch hier orientieren wir uns an Standards wie ISO 27001, NIST und BSI.

Cyber Security Management System
(CSMS)

Unser ganzheitlicher Ansatz zur Sicherung von IoT-Produkten, IoT-Plattformen und OT-Systemen

Cyber Security Management System

Unsere Services im Überblick

Security-by-Design

Während der Entwicklung von (IoT-)Produkten, OT oder IoT-Plattformen unterstützen wir Sie bei der Integration von Security-Aktivitäten von der ersten Idee einer Architektur bis zur Außerdienststellung des Systems oder Produktes. Wir führen iterative Bedrohungs- und Risikoanalysen durch und definieren Security-Anforderungen/Maßnahmen für Ihr Produkt. Dabei erfahren Sie, welche Standards für Sie passen, wie z. B. ISO 21434 und IEC 62443. Bei Bedarf zeigen wir Ihnen auch die Wirksamkeit und Kompatibilität der vorgeschlagenen Maßnahmen, in dem wir einen Prototyp aufbauen, zum Beispiel um einen sicheren Bootvorgang (Secure Boot) zu implementieren.

Penetration Testing

Um das Sicherheitsniveau für Produkt/IoT, OT oder IoT-Plattformen zu bestimmen, führen wir Penetrationstests auf Hard- und Software-Ebene durch. Zunächst fokussieren wir uns auf die Hardware und bieten z. B. folgende Aktivitäten an: Wir führen detaillierte Analysen der Platine durch, identifizieren und nutzen Debug-Schnittstellen aus und können Daten aus dem Speicher auslesen. Diese gesammelten Informationen werden für die Softwaretests genutzt, genau wie für die Analyse der Firmware (Reverse Engineering). Um eine ganzheitliche Security-Betrachtung von Ihrem System zu erreichen, bieten wir auch Penetrationstests für die angebundene Backend/Cloud Infrastruktur an.

Härtung von Backend/Cloud Infrastruktur

Gemäß unserem ganzheitlichen Ansatz sichern wir Ihre verwendeten Technologien in der öffentlichen, hybriden und privaten Cloud ab. Dazu nutzen wir unsere Security-Kenntnisse zu sämtlichen Regularien und Vorgehen, wie Härtung der Betriebssysteme, kryptographische Verifizierung von Images oder Security-Tests in der CI/CD Pipeline. Wir bauen für Sie eine sichere Infrastruktur auf und helfen Ihnen beim Betrieb.

Folgende Themen fokussieren wir: Sichere Authentifizierung, Bereitstellung (Deployment), Datenaustausch, Speicherung, Management der programmierbaren Schnittstellen (API) und Service Segmentierung für die Mandantentrennung. Insgesamt ist ein gesichertes Backend die Voraussetzung für die weiteren Aktivitäten, wie zum Beispiel ein sicheres Over-The-Air Update Verfahren (OTA).

Unterstützende Security-Aktivitäten

Wir unterstützen Sie beim Aufbau und der Integration eines Cyber Security Management Systems (CSMS) und können dies mit Ihrem Information Security Management System (ISMS) verbinden. Das CSMS umfasst die Value Chain Ihrer Organisation und den Lebenszyklus Ihrer Produkte. Dazu erstellen wir übergeordnet die organisatorische Sicherheitsleitlinie, die ergänzenden Regeln und Policies. Ermöglicht wird das CSMS durch die unterstützenden Security-Prozesse, wie zum Beispiel für das Supplier Management und die Wartung. Wir unterstützen Sie auch bei der Umsetzung der Prozesse, im dem wir auch die Aussteuerung der Zulieferer und die Definition von Service Level Agreements übernehmen.

Nicht zu vergessen sind die kontinuierlichen Security-Aktivitäten, die für ein umfassendes Sicherheitsniveau sorgen. Abhängig von Produkt/ IoT, OT oder IoT Plattform werden die technischen Maßnahmen definiert, um die Erkennung, Bewertung und Behandlung der aktuellen Gefährdungen sicherzustellen.

Cyber Security & Privacy News

In unserem vierteljährlich erscheinenden Newsletter stellen wir Ihnen aktuelle Entwicklungen aus den Bereichen Cybersicherheit und Datenschutz vor. Unser Ziel ist es Ihnen Ideen zu geben, wie Sie daraus Strategien entwickeln können und diese im Einklang mit Ihren Unternehmenszielen nachhaltig umsetzen können.

Zum Newsletter

Case Studies

IoT Product Security Case

Die Situation

Ein Hersteller von Automatisierungsanlagen für Marine und Bahn hat sich zum Ziel gesetzt, die eigenen Produkte sicher zu entwickeln sowie Security-Maßnahmen in diese zu integrieren. Dabei handelte es sich um eine strategische Entscheidung des Kunden, um sich einen Wettbewerbsvorteil am Markt zu sichern.

Ansatz und Projektergebnis

Wir haben in einem Pilotprojekt mit einer Security-Analyse für ein Produkt unter Nutzung unserer eigenen Methode durchgeführt, die auf den Best Practises aus den Standards ISO 21434, IEC 62443 und CYRail basiert. Durch die frühzeitige Einbeziehung aller relevanter Stakeholder in der Organisation wurde direkt zu Beginn das gegenseitige Verständnis aufgebaut. Anschließend haben wir zusammen mit dem Kunden die Bewertungsgrundlage (Metrik) der Security-Analyse angepasst, damit ein organisationsweites Risikoniveau genutzt wird. Mit dieser Metrik haben wir in den nächsten Jahren viele Security Analysen für diverse Produkte während der Entwicklung durchgeführt und unser Kunde konnte so das Security Know-how in diesem Bereich aufbauen. Unser langfristiges Ziel ist es den Kunden zu befähigen, dass er diese Analysen allein durchführen kann.

Um die Machbarkeit und die Wirksamkeit der Security Maßnahmen nachzuweisen (Proof of Concept), haben wir mehrere Prototypen beim Kunden entwickelt. So haben wir zum Beispiel für ein Device mit Datenanbindung ans Backend den Bootvorgang mit einem Trusted Platform Module (TPM) abgesichert (Secure Boot).

Für die Produkte, die schon im Betrieb oder kurz vor Fertigstellung waren, führten wir Penetrationstests durch. Diese umfassten detaillierte Protokollanalysen oder auch z. B. einen Test, bei dem der Mikrocontroller und die Applikation in einem Gateway untersucht wurden (Bare-metal Test). Des Weiteren wurden die Schnittstellen und die Authentifizierungsmechanismen zum Backend untersucht.

Zudem unterstützten wir unseren Kunden bei der Bewertung und Auswahl der verwendeten Komponenten und begleiteten die Entwicklungsaktivitäten der Zulieferer.

Neben diesen Tätigkeiten berieten wir den Kunden dabei, Security in seine Prozesslandschaft zu integrieren (wie z. B. Incident Response, Updatemechanismen und die Überarbeitung von Wartungs-Abläufen). Bei diesen Fragestellungen wurde das Thema Public-Key-Infrastructure (PKI) diskutiert und die entsprechenden Anwendungsfälle für die Produkte abgeleitet. Für diese Problemstellung haben wir ein Workshop zusammen mit den weiteren Spezialisten aus unserem PwC Netzwerk durchgeführt, um die Anforderungen an eine PKI zu spezifizieren und sich für die Auswahl einer Lösung zu entscheiden.

OT Security Case

Die Situation

Für einen der führenden Hersteller aus der Elektroindustrie, sollten wir zur Überprüfung des Sicherheitsniveaus einen Penetrationstest durchführen.

Ansatz und Projektergebnis

Der erste Schritt bestand hierbei aus einem Red-Teaming-Teil, bei dem es uns durch Social Engineering gelang, unbemerkt in das Werk des Kunden einzudringen und einen manipulierten Router (Rogue Device) im OT-Netzwerk zu platzieren. Der nächste Schritt war, das eigentliche Ziel anzugehen: eine der mittlerweile veralteten Produktionsanlagen. Da wir mit unserem Rogue Device die Firewalls am Rand des OT-Netzwerks bereits umgehen konnten, gab es keine zusätzliche Security- und Detektionsmaßnahmen, die unsere Spezialisten hätten umgehen müssen. Zum Beispiel konnten wir durch das Ausprobieren verschiedener Benutzernamen mit allgemeinen Standardpasswörtern Zugang zu einem nicht gewarteten Linux System auf der Workstation erhalten.

Unser Vorgehen, die Ergebnisse, die möglichen Konsequenzen (wie z. B. Ausbreitung auf andere Anlagen, Kompromittierung des Backends) und Handlungsempfehlungen wurden in einem ausführlichen Bericht zusammengefasst und beim Kunden vor Ort vorgestellt.

Der Bericht wurde genutzt, um bei der Management-Ebene die Awareness für Security zu erhöhen und die Bereitschaft für die nächsten Schritte zu schaffen. Damit konnten wir die kundenspezifische Auswahl von anerkannten Best Practices und Standards (insb. aus der Reihe der IEC 62443) implementieren und das Sicherheitsniveau erhöhen.

Gemäß dem Security-by-Design-Ansatz haben wir zusammen mit dem Kunden in mehreren Interviews und einer gemeinsamen Analyse herausgearbeitet, welche Anlagen und Informationen (Assets) wirklich kritisch sind und daher einen erhöhten Schutzbedarf haben. Diese Ergebnisse wurden in das unternehmensweite Risikomanagement eingebracht. Daraus folgte der Aufbau eines CSMS und z. B. die Einführung von Zonen und Kommunikationskanälen (Conduits). Damit konnten wir gemeinsam den einzelnen Bereichen die nötigen Sicherheitslevel zuordnen und auch ältere Anlagen durch zusätzliche, äußere Maßnahmen effektiv härten.

Während das Backend im IT-Netzwerk durch den Kunden selbst abgesichert werden konnte, war das bei den Produktionsanlagen nicht vollständig möglich. Der Kunde hatte keine volle Kontrolle über die Anlagen, dazu war die Kooperation mit dem entsprechenden Hersteller bzw. Wartungsdienstleister erforderlich. Die Einbindung der Zulieferer und des Einkaufs, stellte damit nicht nur die sichere Wartung der bestehenden Anlagen sicher, auch die zukünftigen Anlagen werden nun basierend auf den relevanten Sicherheitsanforderungen beschafft.

IoT Platfom Security Case

Die Situation

Ein Energiedienstleister plante für seine IoT Gerätelandschaft eine einheitliche Plattform in der alle Daten, Informationen und Applikationen zentral zur Verfügung stehen. Darüber hinaus sollte das Monitoring und die Steuerung der Komponenten über diese Plattform erfolgen. Ferner sollten zukünftige Services und neue Geschäftsmodelle auf dieser Plattform realisiert werden. Bei der Entwicklung dieser Plattform und den dazu gehörigen Devices war es das Ziel, Security von Anfang an zu integrieren. Dabei haben wir unseren Kunden mit unseren Security Services für Produkt und IoT Plattform Security unterstützt.

Ansatz und Projektergebnis

Zunächst wurden durch uns die notwendigen Security-Anforderungen an eine solche Plattform definiert. Insbesondere Anforderungen aus B3S (KRITIS), BSI IT-Grundschutz, C5 und ISO 27001 fanden Berücksichtigung. Darüber hinaus haben wir aus weiteren Standards wie NIST, CIS und Best Practice genutzt, um eine umfängliche Security Spezifikation zu erarbeiten.

Der nächste Schritt galt der Definition und Implementierung eines Security Stacks für die Devices. Beginnend auf der Device-Ebene wurden bereits in der Entwicklung (Security-by-Design) der unterschiedlichen Produkte die relevanten Security Aspekte wie beispielsweise Grundhärtung und Verschlüsselung der Firmware oder der Einsatz von HSM und sicheren kryptographischen Verfahren berücksichtigt. Mithilfe einer eigenen Analysemethode und anschließenden Tests wurden die Produkte bereits vor der Produktivsetzung auf Schwachstellen und mögliche Risiken hin überprüft.

Danach betrachteten wir die Datenübertragung von den im Einsatz befindlichen Devices in die Cloud Plattform, welche teilweise über öffentliche Netze erfolgte. Zur Absicherung der Verbindung adressierten wir folgende Themen: Schlüsselmanagement, Schwachstellen Tests und Architektur Reviews. Dabei konnten wir bereits vor der Nutzung auf mögliche Risiken hinweisen.

Parallel wurden auch die Risiken für die realisierte on-premise Cloud Plattform auf jeder Ebene identifiziert und bewertet, um den passenden Security Stack zu definieren. Dabei haben wir Härtungsmaßnahmen für folgende Themen definiert: Hostbetriebssysteme, Netzwerksegmentierung und Service Segmentierung. Darüber hinaus erstellten wir Konfigurationsvorgaben für die Hypervisoren und die Orchestrierungsschichten wie beispielsweise Umgang mit Plattformgeheimnissen (Schlüssel und Passwörtern) und durchgängige Signierung und Validierung von Anwendungsvorlagen (Images).

Zudem galt es, Absicherungsvorgaben der Anwendungskomponenten zu definieren, wodurch entsprechende Maßnahmen- und Umsetzungspakete abgeleitet wurden. Parallel wurden und werden immer noch regelmäßige Schwachstellen- und Penetrationstests zur Verifikation des geforderten Sicherheitsniveaus durchgeführt. Um diese Security-Aktivitäten langfristig in die Organisation zu integrieren, wurde ein übergeordnetes CSMS definiert und ausgerollt. Zusätzlich wurde das Thema Incident Detection & Response beim Kunden adressiert, welches von den Spezialisten aus unserem Netzwerk begleitet wurde. So konnten wir mit dem Kunden ein vollumfängliches Sicherheitsniveau für seine IoT-Plattform erreichen.

„Bislang ist die Absicherung von IoT- und OT-Systemen noch nicht auf demselben Niveau, wie es bei der klassischen IT der Fall ist. Dieses zu erreichen, beziehungsweise sogar noch zu übertreffen, muss jedoch das Ziel sein, um den sicheren Betrieb kritischer, uns umgebender IoT und OT Devices zu gewährleisten.“

Dr. Oliver Hanka,Director bei PwC Deutschland

Weitere Services im Bereich Emerging Technologies and Digitization

Follow us

Contact us

Dr. Oliver  Hanka

Dr. Oliver Hanka

Director, PwC Germany

Tel.: +49 160 510-5836

Hide