Wenn die Integration von Informations- und Betriebstechnologie steigt, erhöht sich auch das Risiko von Cyberattacken: Die Frage lautet nicht mehr, ob man angegriffen wird, sondern vielmehr wann. Was ist ein IT/OT SOC und wie kann die zentrale Leitstelle das Beste beider Cyber-Security-Welten vereinen.
IT/OT-Integration: Unterschiedliche Risiken, identischer Schutz?
Die Möglichkeit, industrielle Einrichtungen durch Cyberangriffe zu beeinträchtigen, resultiert oft aus mangelnder Beachtung der OT-Security (Operational Technology) oder daraus, dass die Betriebstechnologie in Cyber-Security-Konzepten gar nicht bedacht wird.
So verfügt laut eines Reports des Cybers-Security-Anbieters Trend Micro zwar mittlerweile die Hälfte der befragten Unternehmen über ein SOC (Security Operations Center), das ein gewisses Maß an OT-Transparenz aufweist. Doch auch bei den Unternehmen, die über ein umfassenderes SOC verfügen, speist nur etwa die Hälfte (53 %) die Daten ihrer OT-Umgebung für Erkennungszwecke ein. Dieses Defizit wird durch weitere Ergebnisse bestätigt:
- Endpoint Detection and Response (EDR) wird nur bei weniger als einem Drittel (30 %) der befragten Unternehmen sowohl auf Engineering-Systemen als auch Produktionsanlagen eingesetzt.
- Network Security Monitoring (NSM) kommt auf der Ebene der physischen Prozesse und der grundlegenden Kontrolle in OT-Umgebungen noch seltener (unter 10 Prozent) zum Einsatz.
- Dabei ist die Erkennung von Cybervorfällen (63 %) die wichtigste Fähigkeit, die Befragte über IT- und OT-Silos hinweg integrieren wollen.
Gefahren und Herausforderungen auf einen Blick
So führt die steigende IT/OT-Integration zu einer vergrößerten Angriffsfläche, die die Gefahren und Herausforderungen nur größer und komplexer macht:
- Ein durch Cyberangriffe verursachter Maschinen- oder Anlagenausfall kann zu enormen Schäden und Kosten führen.
- Insbesondere in Branchen wie der Fertigung, dem Energiesektor oder der Verkehrssteuerung können Sicherheitslücken gravierende Auswirkungen haben.
- Im schlimmsten Fall können Menschen durch Störungen oder Attacken auf Sicherheitssteuerungen bedroht sein.
- Dazu kommt die Problematik der Fragmentierung: IT-Anwendungen sind oft unternehmensweit einheitlich (zum Beispiel durch die Nutzung von SAP), während dies bei OT-Systemen nicht der Fall ist.
- Viele OT-Umgebungen sind noch nicht komplett digital und stützen sich auf ältere Systeme, die besondere Sicherheitsmaßnahmen benötigen.
- Zu den weiteren Hürden gehören die langen Lebenszyklen und die begrenzten Optionen zum Aktualisieren oder Isolieren spezifischer OT-Systeme.
Wie kann ein IT/OT SOC beide Welten absichern?
Ein IT/OT SOC dient als zentrale Leitstelle, die sich der Überwachung und Sicherheit sowohl von IT- als auch von OT-Umgebungen widmet. Damit stellt das spezialisierte SOC sicher, dass nicht nur alle datenverarbeitenden Technologien, inklusive zugehöriger Hardware und Kommunikationsmittel, sondern auch Sensoren, Maschinen und andere vernetzte Geräte in Unternehmen und Produktionsanlagen rund um die Uhr überwacht werden.
Dabei werden Sicherheitsmuster und -anomalien analysiert und notwendige Schutzmaßnahmen umgesetzt. Als zentralen Nutzen bietet das SOC damit eine proaktive Suche nach Schwachstellen in IT und OT und stellt eine ständige und schnelle Reaktionsbereitschaft bei Angriffen sicher. Zu diesem Zweck und damit das möglichst gut funktioniert, braucht es ein reibungsloses Zusammenspiel aus Menschen, Prozessen und Tools.
Menschen, Prozesse und Tools im 24/7-Cyber-Security-Einsatz
People: Das Rückgrat des SOCs sind Security-Experten:innnen mit unterschiedlichen Spezialgebieten in IT/OT-Security, darunter Management, Technik, Analystinen und Analysten, Pentesting und ethische Hacker.
Prozesse: Sie werden auf Basis von Security Playbooks definiert und zielen darauf ab, unbekannte Angriffsmethoden zu identifizieren, zu analysieren und darauf zu reagieren. Dabei werden Threat Intelligence Feeds und Malware-Sicherheitsplattformen genutzt, die rund um die Uhr Informationen bereitstellen.
Tools: Die technische Basis bildet ein SIEM (Security Information and Event Management), das verschiedene Log-Dateien analysiert, um Vorfälle zu identifizieren. Darüber hinaus kommen Tools wie das Vulnerability Assessment, OT-Visiblitiy und Anomaly Detection, User Behavior Analytics, Endpoint Detection and Response (EDR) oder das Network Security Monitoring (NSM) zum Einsatz.
Ganzheitlicher Cyber-Security-Ansatz über alle Ebenen
Sie merken: Die zunehmende Integration von IT und OT erfordert einen ganzheitlichen Cyber-Security-Ansatz über alle Ebenen hinweg. Dabei steht außer Frage, dass solch ein Unterfangen spezialisierte Kompetenzen und interne Ressourcen erfordert, die angesichts des aktuellen Mangels an Cyber-Security-Fachleuten oft fehlen.
Auch der Report von Trend Micro unterstreicht, dass die Erweiterung der Security Operations in IT- und OT-Bereiche mit erheblichen personellen und verfahrenstechnischen Schwierigkeiten einhergeht: Von den fünf größten von den Befragten genannten Hürden beziehen sich vier direkt auf Personalprobleme.
- 54 %: Schulung von IT-Mitarbeitern in OT-Security
- 39 %: Kommunikationssilos zwischen relevanten Abteilungen
- 38 %: Einstellung und Mitarbeiterbindung von Cybersecurity-Experten
- 38 %: Schulung von OT-Mitarbeitern in IT
- 38 %: Unzureichende Risikotransparenz zwischen IT- und OT-Bereichen
IT/OT SOC als Managed Service für geballte Kompetenz?
Hier kann ein Managed Security Service Provider (MSSP) unterstützen, indem er den Betrieb des IT/OT SOC übernimmt und kontinuierlich gewährleistet. Dabei werden spezifische Dienstleistungen angeboten, die nahtlos in interne Abläufe integriert sind – rund um die Uhr, mit individuell festgelegten Leistungen, im günstigsten Fall mit einer erhöhten Kosteneffizienz und der Expertise, die für die steigende Integration von IT und OT nötig ist.
Apropos Expertise: In eigener Sache möchten wir noch auf den ECSM (European Cyber Security Month) hinweisen, der im Oktober stattfindet und den auch wir mit unserem Experten-Know-how begleiten.
Seien Sie gespannt auf den nächsten Beitrag, der im Rahmen des ECSM am 17. Oktober zum Thema CISO hier auf diesem Blog erscheint.