Die sogenannte Operational Technology, kurz OT, stellt das informationstechnische Rückgrat der modernen Industrie dar. Roboter, Sensoren, Maschinen und Förderbänder sind heutzutage im Zuge der Industrie 4.0 nahezu vollständig digitalisiert und vernetzt. Wo in der klassischen IT die Sicherheit meist mitgedacht wird, so steht diese Entwicklung in der OT noch am Anfang. Neben der sicheren Entwicklung muss auch das Testen auf Schwachstellen dieser Systeme ein wesentlicher Baustein im sicheren Betrieb darstellen.
Ein Pentest sollte dafür immer entlang eines Leitfadens, bzw. Guides, durchgeführt werden. Dieser definiert für die Praxis eine gemeinsame Sprache und stellt sicher, dass ein Tester keine Prüfpunkte auslässt und sich an Standards hält, um ein gewisses Sicherheitsniveau für ein System zu attestieren. Diese Leitfäden bzw. Guides gibt es für andere Bereiche schon längst und sind gut etabliert. Für den Bereich Websicherheit gibt es beispielsweise den WSTG und für mobile Anwendungen den MASTG.
Es gab kein vergleichbares Werk für die OT-Sicherheit, weshalb wir, als AWARE7, den Open Operational Technology Testing Guide (OOTTG) ins Leben gerufen haben. Dieser ist als Gitbook einsehbar.
Der Open Operational Technology Testing Guide
Operational Technology ist ein sehr weit gefasster Begriff für eine äußerst heterogene Systemlandschaft. Ein Security Testing Guide muss Schwachstellen und Sicherheitslücken in kleinen Sensoren bis zu großen Industrieanlagen abdecken. Der OOTTG definiert dafür vier verschiedene Kataloge: Firmware, Physikalisch, Netzwerk und Bus. In den Katalogen sind mehrere Testfälle definiert, welche typische Schwachstellen und Angriffspunkte definieren. Weiterhin wird erläutert, wie ein OT-Pentest geplant und durchgeführt wird. Dafür dienen die Kapitel Modellierung und Phasen eines Penetrationstest.
Planen mit dem OOTTG
Die Planung und Organisation eines Pentests ist essenziell für die erfolgreiche Durchführung. Im Kapitel Modellierung gibt es dafür Punkte, mit denen ein OT-Pentest beschrieben werden kann. Dies gibt für Kunden, Tester und Management den verbindlichen Rahmen für das Projekt vor. Konkret werden die Informationsbasis, die Aggressivität, der Zugang und die Testkanäle, die dem Tester zur Verfügung stehen, erläutert.
Im Abschnitt Phasen einen Penetrationstests wird darauf eingegangen, welche Phasen bei einem Penetrationstest durchlaufen werden. Jede Phase bildet die Grundlage für die nächste, weshalb das Testen entlang dieses Pfades empfohlen wird.
Testen mit dem OOTTG
Die Kataloge kategorisieren den Zugriff und den Bereich, für den ein Operational Technology System angreifbar ist. Je nach Zugriff unterscheiden sich die Angriffe und Sicherheitslücken, die gefunden werden. Der Katalog Firmware deckt beispielsweise alle Tests gegen Schwachstellen ab, die mit der Firmware von OT-Geräten einhergehen. Dazu zählen unter anderem unverschlüsselte oder veraltete Firmware-Software oder auch eine fehlende Verifikation beim Update-Prozess.
Für unterschiedliche Kataloge kommen auch unterschiedliche Tools zum Einsatz. Dafür wurden stets Tool-Listen angehangen, welche die Werkzeuge auflisten, die für die Test-Module benötigt werden. Für weitere Informationen und Materialien zu den Tools, Angriffsvektoren und Schwachstellen sind im Anhang Links aufgeführt, die als weitere Unterstützung dienen.
Aufruf zur Kollaboration
Wenn Sie in Ihrer täglichen Arbeit mit dem Bereich OT-Security zu tun haben und zum Projekt beitragen wollen, dann können Sie sich gerne mit Ihren Vorschlägen einbringen. Wir freuen uns über Ideen für neue Kataloge oder Test Module. Pull Requests auf unser OOTTG-Repository sind willkommen.