Analyse von OT Security Frameworks

Bachelor Studiengang IT Security

Florian Schier, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Operational Technology nimmt eine zentrale Rolle bei der Automatisierung und Überwachung von industriellen Steuerungsanlagen ein. Diese Systeme finden häufig Anwendung in produzierenden Organisationen, welche oft zu kritischer Infrastruktur gezählt werden können. Kritische Infrastruktur hat einen hohen Anspruch an Safety, Verfügbarkeit und Sicherheit. 

OT Systeme waren ursprünglich physisch vom IT Netzwerk getrennt und in geschlossenen Systemen betrieben. Somit war der IT Sicherheit ein niedriger Stellenwert bei der Auswahl und Entwicklung von Protokollen zugeteilt. Durch die historische Entwicklung und durch den Einsatz von Protokollen, der Zusammenlegung sowie der Nutzung von Ressourcen der IT, sind OT Systeme ebenfalls Gefährdungen ausgesetzt. Organisationen können nicht genau evaluieren, welche Komponenten in ihren OT Netzen Anwendung finden. Somit fehlt das Wissen, über die Sicherheitsrisiken die vorhanden sind und Organisationen können keine Maßnahmen priorisieren und implementieren, um die Anforderungen an Sicherheit zu erfüllen. Wenn Systeme zusätzlich an das Internet angeschlossen sind um zum Beispiel Systeme Remote zu warten oder Parameter zu überwachen, eröffnet das AngreiferInnen einen großen Angriffsvektor, weil diese Systeme leicht über bekannte Plattformen, wie Shodan gefunden werden können.

Ziel

Das Ziel dieser Arbeit ist es, Kriterien zu entwickeln und einen Überblick zu erhalten, welche Publikationen sich mit dem Thema OT Sicherheit beschäftigen und die vordefinierten Anforderungen erfüllen. Daraus ist ersichtlich, welche Maßnahmen fehlen um ein Unternehmen adäquat abzusichern.

Ergebnis

Im Zuge dieser Arbeit entstand eine Security Landscape mit zwölf Themenblöcken, welche im Vorhinein einer sorgfältigen Recherche und Analyse von Best Practise Ansätzen unterzogen wurde. Anhand denen wurden 50 Kriterien entwickelt, die es ermöglichen die Maturität der Publikationen und Normen zu evaluieren. Insgesamt wurden 9 verschiedene Normen und Publikationen herangezogen, welche anhand der speziell ausgewählten Kriterien untersucht wurden. Außerdem wurde das Verbesserungspotential ermittelt mit dem ersichtlich ist, welche allgemeinen Punkte der verschiedenen Kriterien von den Normen nicht beachtet werden. Die Analyse ermöglicht es Publikationen und Normen auszuwählen, die anwendbar sind, um ein Unternehmen ausreichend abzusichern. Zusätzlich werden Themenblöcke aufgezeigt, die innerhalb der Normen nicht ausreichend behandelt wurden. Als Fazit wurde eine Empfehlung abgegeben um ein Unternehmen adäquat abzusichern.