Während die Vernetzung von Information (IT) und Operational Technology (OT) zunimmt, steigt das Risiko von Cyber-Angriffen: Die Frage lautet heute nicht, ob man angegriffen wird, sondern vielmehr wann. Um effektiv reagieren zu können, ist es daher umso wichtiger, die Risiken von OT Systemen kontinuierlich zu bewerten.
Zahlreiche IoT-Geräte, Container, Cloud-Dienste und die zunehmende Vernetzung von Information (IT) und Operational Technology (OT) prägen die digitale Transformation: Lange war die OT strikt vom IT-Netzwerk und der Außenwelt mittels Air Gap getrennt – durch neue externe Faktoren, wie etwa Abhängigkeiten in der Lieferkette oder sich stetig ändernde Kundenanforderungen, nimmt der Bedarf an Digitalisierung und Vernetzung im Bereich der OT jedoch stetig zu.
Das steigert das Risiko: Wenn Kriminelle es z. B. mittels kompromittierter E-Mails oder Ransomware-Attacken schaffen, ins Firmennetzwerk vorzudringen, können sie IT-Systeme verschlüsseln und dadurch auch die Datenkommunikation zu Maschinen oder Anlagen stören. Im schlimmsten Fall können sie die Produktion zum Stillstand bringen.
Zunehmende Vernetzung gleich größerer Angriffsvektor
Aber was soll geschützt werden und wogegen soll es geschützt werden? Welche Gefahren gibt es und wie kann ich sie zuverlässig bewerten? Um das zu beantworten, sollte die Risikobewertung immer spezifisch und kontinuierlich für ein Unternehmen, eine Produktionsumgebung, ein System, eine Anlage oder Maschine durchgeführt werden.
Dazu gehört es auch, ein Verständnis für potenzielle Angriffsvektoren wie etwa einen unkontrollierten Wartungs-Fernzugriff zu bekommen. Dazu gilt: Je höher die Risikoeinstufung eines Assets ist, desto intensiver sollte jeder Zugriff darauf überprüft werden. In der Praxis ist das nur leichter gesagt, als getan.
Herausforderungen beim Risikomanagement:
Lange Laufzeiten: Maschinen und Anlagen sind oft eine erhebliche monetäre Investition, weshalb sie auf lange Laufzeiten ausgelegt sind. Um sie über den gesamten Lebenszyklus sicher zu betreiben, müssen Update- und Patchprozesse im OT-Bereich anders funktionieren und besser abgestimmt sein. Denn auf Pattern basierende Security-Lösungen (wie z. B. Antiviren-Software) sind im OT- Bereich nicht zweckdienlich, da wegen fehlenden Internetverbindungen keine regelmäßigen Pattern-Updates gewärleistet werden können.
Geringe Sichtbarkeit: In den meist sehr heterogenen Produktionsnetzwerken finden sich sowohl Geräte aus der IT, wie PCs, Drucker oder Server, als auch aus der OT, wie Steuerungen, Sensoren und Aktoren. Diese Heterogenität und die über Jahre gewachsene Infrastruktur reduzieren die Übersicht und Transparenz der Netzwerke erheblich. Zusätzlich fehlt meist ein vollständiges Asset Inventar und da viele OT-Geräte keine aus der IT bekannten Asset Management Funktionalitäten unterstützen, kann es nur mit erheblichem Mehraufwand erstellt werden. Damit mangelt es auch an einer vollständigen Übersicht über vorhandene Systemschwachstellen, die wiederrum die Grundlage für den risikobasierten Ansatz eines Cyber Security Managements sind.
Begrenztes OT-Sicherheitsfachwissen: Die größte Herausforderung für das kontinuierliche OT Security Management ist das Fehlen von Ressourcen und Fachwissen. Nur wenige Unternehmen haben einen dedizierten Ansprechpartner für die OT-Security, der eine direkte Schnittstelle zwischen den Anforderungen eines vollumfänglichen Cyber Security Management Systems und den Herausforderungen der Produktions- oder OT-Verantwortlichen bildet. Auch kann er durch stetige Weiterbildung und eine umfassende Marktübersicht der wichtiges Wissen zur Entwicklung der richtigen OT-Security-Strategie beisteuern.
4 Best-Practices für risikobasierte OT Security:
- Sicherheitsgrundlagen festlegen
Um sämtliche Risiken zu ermitteln und allen Beteiligten ein umfassendes Verständnis der Ausgangssituation zu geben, sollten Sie eine grundlegende Risikobewertung durchführen. Für alles folgenden Sicherheitsmaßnahmen bildet diese den Startpunkt. - Risiken ganzheitlich definieren
Ein ganzheitlicher Ansatz, der die gesamte Strategie über einen kontinuierlichen Prozess hinaus zwischen IT Operation und Security Teams harmonisiert, generiert die Informationen, die das Risiko für Unternehmen effizient minimieren. Konzentrieren Sie sich daher auf eine Strategie, die das Asset Management, Vulnerability Management und Patch Management unter folgender Risiko-Prämisse angeht: Mit vollständiger Inventarisierung und Sichtbarmachung der Angriffsflächen aller Asset-Typen. - Sicherheitsstandards zur Orientierung nutzen
Wenn Sie eine geltende Sicherheitsnorm zur Risikobewertung nutzen, müssen Sie das Rad nicht neu erfinden. So verfolgt die internationale Normenreihe IEC 62443 die Cyber Security von „Industrial Automation and Control Systems“ (IACS). Das National Institute of Standards and Technology bietet mit NIST 800-82 Anleitungen zur Sicherung von industriellen Kontrollsystemen (ICS). - Systematisches Risikomanagementverfahren einführen
Unternehmen sollten einen systematischen Prozess verfolgen, um ein dauerhaftes operatives Risikomanagementverfahren für die OT-Sicherheit zu etablieren. Als strategische Aktivität sollte dieser Prozess sowohl kurz- wie auch langfristige Überlegungen und Bausteine beinhalten. Etwa durch kontinuierliches Monitoring und der Bewertung aller Schwachstellen, einschließlich der Bewertung der Kritikalität aller Anlagen.
Integration ins SOC: Risikobewertung leicht gemacht?
Um Cyberrisiken zu minimieren, müssen die IT-Abteilung und OT-Kollegen zukünftig noch enger zusammenarbeiten. Da heute aber mehr Schwachstellen denn je entdeckt werden, stehen IT Operations und Security Teams mehr denn je vor dem Dilemma, ihre begrenzten Ressourcen sinnvoll einzusetzen.
Wird das Risikomanagement hingegen in ein SOC (Security Operations Center) integriert, fließen die Schwachstellen-Ergebnisse direkt als Informations-Quelle mit in die Risikobewertung und die darauf folgenden Prozesse ein. Mit dieser Basis kann die zentrale Cyber-Security-Leitstelle hochkritische Schwachstellen melden, visualisieren, einen detaillierten Report bereitstellen und die besten Response-Möglichkeiten vorschlagen.
Managed Services für modernes Risikomanagement
Wird der Betrieb des SOC dann nicht nur für alle sicherheitsrelevanten Services der IT, sondern als spezialisiertes IT/OT-SOC auch für die der Operational Technology an einen Managed Security Service Provider (MSSP) ausgelagert, schlägt man gleich mehrere Fliegen mit einer Klappe:
Während ein ganzheitliches Risikomanagement mit modernsten Tools, Prozessen und durch Experten mit entsprechendem Know-how durchgeführt wird, werden die eigenen Fachkräfte und Unternehmensressourcen effektiv entlastet.
Sie möchten mehr über die kontinuierliche Risikobewertung Ihrer OT-Systeme erfahren? Zögern Sie nicht, mich jederzeit zu kontaktieren.