ipopba - stock.adobe.com
Sieben Schritte für mehr OT-Sicherheit
Die Sicherung der komplexen industriellen Kontrollsysteme unterscheidet sich vom Schutz der IT-Infrastruktur. Was kann man tun, um industrielle Anlagen richtig zu schützen?
Nach jahrzehntelangen Angriffen auf IT-Netzwerke ist die strategische Bedeutung der IT-Cybersicherheit heute allgemein bekannt und fast jedes Unternehmen verfügt mittlerweile über ein gewisses IT-Security-Level. Im Gegensatz dazu hängt die Wahrnehmung der Bedrohung von industriellen Systemen deutlich nach. Zu Beginn des 21. Jahrhunderts, als Unternehmen Schicht für Schicht Sicherheitstechnologie zum Schutz ihrer IT-Systeme einsetzten, gab es wenig bis gar keine Maßnahmen zum Schutz industrieller Kontrollsysteme (ICS) vor Cyberbedrohungen.
Aus diesem Grund kann man hier durchaus von einem „verlorenen Jahrzehnt“ sprechen und davon ausgehen, dass die meisten Unternehmen trotz zunehmender Risikosignale 2010 nicht besser vor OT-Bedrohungen (Operational Technology, OT) geschützt waren als im Jahr 2000. Als Ergebnis dieser vertanen Zeit haben wir gezielte OT-Angriffe wie Stuxnet im Jahr 2010, Triton im Jahr 2017 und die russische Infiltration US-amerikanischer Energieanlagen im Jahr 2018 gesehen. Ebenso wurden wir Zeuge von massiven Schäden durch „konventionelle“ IT-Angriffe wie WannaCry oder NotPetya, die auf OT-Systeme übergegriffen haben (Spill-Over-Effekt). Durch all diese Beispiele ist es nahezu unmöglich geworden, das OT-Cyberrisiko zu ignorieren. Industrieunternehmen und Betreiber kritischer Infrastrukturen ergreifen mittlerweile mehr Maßnahmen, aber bei Weitem nicht schnell und umfassend genug.
Was kann man also tun, um industrielle Anlagen zu schützen? Die Sicherung dieser komplexen Umgebungen unterscheidet sich deutlich vom Schutz einer IT-Infrastruktur und erfordert Zeit, Investitionen und vor allem auch das Engagement der Geschäftsführung. Mit diesen sieben Schritten kann man sich jedoch auf den Weg in Richtung besserem Schutz bewegen und das Risiko deutlich senken.
Erkennen Sie die Realität an
Ihnen ist klar, dass Ihre OT-Umgebung für Ihren Betrieb unerlässlich ist, aber Sie müssen auch erkennen, dass diese Netzwerke für Angreifer von strategischer Bedeutung sind: Für Ihre Prozesse sind sie kritisch und ein Ausfall hat weitreichende Konsequenzen, was sie zu einem attraktiven Ziel macht. Auf dieser Grundlage muss eine ehrliche Bewertung vorgenommen werden, ob der aktuelle Sicherheitsstatus Ihrer ICS-Netzwerke in einem angemessenen Verhältnis zu ihrem Wert als Ziel steht. Seit Jahrzehnten werden die Sicherheitsstrategie und die Investitionen in den meisten Unternehmen durch den Schutz der in IT-Systemen gespeicherten Daten getrieben, und OT-Umgebungen wurden vergleichsweise vernachlässigt. IT-Sicherheitslösungen funktionieren jedoch nicht in OT-Netzwerken und diese Netzwerke sind für Ihr Sicherheitsteam wahrscheinlich unsichtbar und stärker exponiert, als Sie denken.
Stellen Sie die schwierigen Fragen
Der Veränderungsprozess in Ihrem Unternehmen beginnt damit, dass Sie einige unangenehme Fragen stellen. Und das kann durchaus zu einigen unbequemen Antworten führen. Wer trägt die Verantwortung für die Überwachung und den Schutz der ICS-Netzwerke? Arbeiten die richtigen Sicherheits- und operativen Teams zusammen? Haben sich diese Teams überhaupt getroffen, um eine ICS-Cyberstrategie zu entwickeln? Haben Sie eine Risikobewertung dieser Netzwerke durchgeführt, um Ihre Sicherheitslücken zu erkennen und zu priorisieren? Ist sich die Unternehmensführung der Gefährdung überhaupt bewusst?
Identifizieren Sie Ihre blinden Flecken
Nur weil Sie bislang keinen Schaden erkannt haben, heißt das nicht, dass Ihre Netzwerke bislang noch nicht angegriffen wurden. Gehen Sie nicht davon aus, dass es, weil alles „Normal“ läuft, keine Sicherheitsprobleme gibt. Jeder Angreifer (dies gilt für IT- und OT-Systeme gleichermaßen) versucht sich so unauffällig wie möglich zu verhalten und möglichst lange unentdeckt zu bleiben. Seien Sie vor allem sich selbst gegenüber ehrlich, gerade im Hinblick darauf, was Sie wirklich über Ihre OT-Umgebung wissen und vertrauen Sie nicht darauf, was Sie zu wissen glauben. Entdecken Sie, wo sich Ihre blinden Flecken befinden und quantifizieren Sie die Auswirkungen.
Arbeiten Sie an den Grundlagen
Verbessern Sie die Transparenz und das Verständnis der Risiken für die OT-Umgebung in Ihrem Unternehmen – auch wenn Sie sie nicht alle kurzfristig angehen können. Überprüfen Sie die Segmentierung Ihres Netzwerks. Gerade eine solide Segmentierung ist eines der wichtigsten Dinge, die Asset-Besitzer durchführen können, um ihre OT-Umgebung zu schützen. Hierbei ist jedoch nicht nur die Segmentierung zwischen IT- und OT-Netzwerken gemeint, sondern auch eine Segmentierung innerhalb der OT-Netzwerkumgebung. Erstere erschwert Angreifern den Zugang zum OT-Netzwerk und reduziert die Wahrscheinlichkeit von „Spill-Over“-Schäden durch einen Angriff auf das IT-Netzwerk erheblich. Letzteres kann es einem Angreifer erheblich erschweren, sich seitlich (lateral) im OT-Netzwerk zu bewegen, sobald er eingedrungen ist.
„Warten Sie nicht auf die vollständige oder perfekte Lösung, sondern beginnen Sie mit diesen einfachen Maßnahmen, die eine solide Basis für eine umfassendere Sicherheitsstrategie bilden.“
Galina Antova, Claroty
Sorgen Sie für Transparenz im OT-Netzwerk
Eines der grundlegendsten Probleme, dass viele Unternehmen daran hindert, ihre OT-Umgebungen effektiv zu schützen, ist ein Mangel an Transparenz über die Struktur ihrer ICS-Netzwerke. Unsere Erfahrungen zeigen, dass durch den Einsatz von entsprechenden Lösungen in nahezu jeder Umgebung Endpunkte gefunden werden, von denen niemand im Sicherheitsteam wusste, die entgegen der eigenen Annahme mit einem bestimmten Netzwerk verbunden sind oder die auf unerwartete Weise kommunizieren. Man kann nur das schützen, was man sieht und kennt. Deshalb ist eine breite und tiefe Transparenz wesentlich für einen effektiven Schutz. Diese Transparenz muss sich über alle Ebenen des OT-Netzwerkes erstrecken – bis hin zu seriellen/Feldbus-Verbindungen – und sollte in eine OT-spezifische Bedrohungserkennung integriert werden.
Schaffen Sie Verantwortlichkeiten
Durch die zunehmende Konvergenz ist es wichtiger denn je, das Cyberrisiko ganzheitlich zu managen. Dies bedeutet, die gleichen Überwachungs-, Verwaltungs- und Reporting-Ansätze auf OT- und IT-Umgebungen anzuwenden. Wesentlich ist es, eine Person zu benennen, die für die Sicherheit von OT-Systemen verantwortlich ist. Hierbei ist ein gewisser OT-Background sehr hilfreich, vor allem aber muss diese Person in der Lage sein, Dinge voranzutreiben. Cybersicherheit ist immer ein Weg, nie ein Ziel, das sich irgendwann erreichen lässt, weshalb es hier auf Führungsqualitäten ankommt, eben die richtige Richtung vorzugeben. Ob diese Person nun an den CISO oder den Betriebsleiter berichtet, ist letztlich egal. Wichtig ist, dass sie über eine entsprechende Expertise und Kompetenz sowie Durchsetzungsvermögen verfügt.
Steigern Sie das Bewusstsein für die Risiken bei jedem Mitarbeiter
Gerade Führungskräfte müssen über die Risiken und die Auswirkungen eines Cybervorfalls informiert werden, zumal sie auch die rechtliche Verantwortung für das Risikomanagement des Unternehmens tragen. Doch während das industrielle Cyberrisiko täglich zunimmt, weisen viele Führungskräfte hier noch Wissensdefizite auf. Sie benötigen also Einblick in die Bedrohungen und müssen verstehen, welche Auswirkungen Angriffe auf den Betrieb haben, um die nötigen Veränderungen voranzutreiben.
Resignieren Sie nicht, wenn Sie erst am Anfang einer OT-Sicherheitsstrategie stehen. Bei der Beurteilung des industriellen Cyberrisikos und der Priorisierung Ihrer Abwehrmaßnahmen kann es schwierig sein, überhaupt festzustellen, wo man anfangen soll. Warten Sie nicht auf die vollständige oder perfekte Lösung, sondern beginnen Sie mit diesen einfachen Maßnahmen, die eine solide Basis für eine umfassendere Sicherheitsstrategie bilden. Das Wichtigste ist, dass Sie jetzt damit beginnen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.