Entwicklung eines Konzepts für Penetrationstests in der OT, Florian Kessels

Florian Kessels

Kurzfassung

Durch die Annäherung der Bereiche IT und OT sind industrielle Steuerungssysteme immer mehr Sicherheitsrisiken ausgesetzt. Sicherheitsmaßnahmen und -überprüfungen sind jedoch schwierig umzusetzen, da diese Systeme meist sehr hohe Verfügbarkeitsanforderungen haben und der Betrieb nicht problemlos eingestellt werden kann. Besonders Penetrationstests sind aufgrund ihrer meist invasiven Methoden, welche Systemabstürze verursachen können, für Betreiber von ICS selten eine Option. Erfahrungen aus der IT zeigen jedoch, dass der Penetrationstest eines der effektivsten Verfahren zur Sicherheitsüberprüfung ist. Diese Bachelorarbeit untersucht, wie gefährlich Penetrationstests für OT-Geräte wirklich sind und stellt ein Konzept für OT-Penetrationstests vor. Das Konzept soll einen Penetrationstest in der OT unter Berücksichtigung der Risiken durchführbar machen und Tester bei der Planung unterstützen.

Schlagwörter: Penetrationstest, OT, IT-Sicherheit, ICS, OT-Sicherheit

Abstract

As IT and OT converge, industrial control systems are increasingly exposed to security risks. However, security measures and checks are difficult to implement as these systems usually have very high availability requirements and operation cannot be stopped without problems. Penetration tests in particular are rarely an option for ICS operators due to their mostly invasive methods, which can cause system crashes. However, experience in IT shows that penetration testing is one of the most effective methods of security testing. This bachelor thesis examines how dangerous penetration tests really are for OT devices and presents a concept for OT penetration tests. The concept is intended to make penetration testing of OT viable without neglecting the risks and to support testers in planning.

Keywords: Penetration Testing, OT, IT-Security, ICS, OT-Security