OT Security

2023 sollte ein Wendepunkt für OT-Cybersicherheit sein

, Stuttgart/Wien, OTORIO | Autor: Herbert Wieler

2023 sollte ein Wendepunkt für OT-Cybersicherheit sein

OTORIO ruft zum Handeln auf

In einer Welt, die sich von der Pandemie erholt, schreiten die Vernetzung und Digitalisierung in einem noch nie dagewesenen Tempo voran. Mit der fortgeschrittenen Technologiedurchdringung und der Vernetzung von Industriegeräten sind Unternehmen zunehmend auf Betriebstechnologie (OT) angewiesen, um ihre Geschäfte am Laufen zu halten und wettbewerbsfähig zu sein. Darüber hinaus sind diese Fortschritte in vielen Fällen zu einer wichtigen Grundlage für neue Einnahmequellen geworden.

Die zunehmende Bedeutung und Leistungsfähigkeit von OT birgt aber auch Risiken in Sachen Cyber Security in sich. Daniel Bren, CEO und Mitbegründer von Otorio , beschreibt den Status Quo, kommende Herausforderungen und wie diese überwunden werden können:

Daniel Bren, CEO und Mitbegründer von Otorio

„Die nächsten fünf Jahre werden für industrielle Kontrollsysteme (ICS) und OT Security entscheidend sein. Aufgrund verschiedener Faktoren sind sich Experten einig, dass ein größerer ICS/OT-Cyberangriff unvermeidlich ist. Die Analysten von Forrester haben alarmierend vorausgesagt, dass 60 Prozent aller Unternehmen im Jahr 2023 einen größeren oder kleineren OT-Sicherheitsvorfall erleben werden. Die Frage ist nicht, ob, sondern wann ein größerer ICS/OT-Angriff stattfinden wird.

Eine weitere wichtige Sorge, die berücksichtigt werden muss, ist die Tatsache, dass die potenziellen Auswirkungen eines solchen Angriffs wahrscheinlich Menschen und Eigentum verletzen, Umweltschäden verursachen und zum Verlust wichtiger, kostspieliger Geräte führen.

Was sollte ich tun, um zu verhindern, dass mein Unternehmen zu einer Statistik wird?

Ein proaktiver Ansatz zur Verringerung der Risiken für cyber-physische Systeme trägt dazu bei, dass Unternehmen der industriellen Fertigung sowie kritische und intelligente Infrastrukturen einen stabilen Betrieb aufrechterhalten können. Eine Konzentration auf die Verringerung von Risiken und Schwachstellen für die ICS- und OT-Sicherheit ist weitaus effektiver als eine Reaktion, nachdem eine Anomalie entdeckt wurde oder eine Sicherheitsverletzung stattgefunden hat. Zu diesem Zeitpunkt ist der Schaden bereits angerichtet.

Es gibt drei Schritte, um den Betrieb des Unternehmens im Jahr 2023 widerstandsfähig zu halten. Zuallererst gilt es, das Bewusstsein für OT-Cybersicherheit bei den Inhabern der Geschäftseinheiten fördern. Zweitens geht es darum, einen risikobasierten Ansatz für die OT-Sicherheit umzusetzen. Und drittens gilt es, sicherzustellen, dass die cyber-physischen Systeme regelmäßig Risiken bewerten und Schwachstellen reduzieren, um Sicherheitsverletzungen zu verhindern, die zu Ransomware-Vorfällen führen.

Bewusstsein der Führungsetage

Während das Bewusstsein für OT-Cybersicherheit eine Schlüsselkomponente bleibt, wurde den Aufforderungen zum Handeln nicht genug Aufmerksamkeit geschenkt. Bei der ICS-Sicherheit geht es nicht nur um Technologie, sondern auch um die Kontinuität des Geschäftsbetriebs. Die erste Herausforderung für Unternehmen besteht also darin, den Inhabern der Geschäftseinheiten bewusst zu machen, dass sie nicht nur ein Budget für die OT-Sicherheit bereitstellen müssen, sondern auch eine aktive Rolle als Partner bei der Risikominderung mit ihren IT- und OT-Sicherheitsexperten übernehmen müssen.

Die Schlüsselfrage, die beantwortet werden muss, ist, wie Management und Sicherheitsexperten ihre Kollegen in den Geschäftsbereichen mit informativen, positiven Informationen über die Auswirkungen und die Bedeutung der OT-Sicherheit beraten sollten. Ein häufig praktizierter Ansatz ist eine „Angststrategie“, um das Bewusstsein zu schärfen. Es ist bereits erwiesen, dass die Angststrategie nur bis zu einem bestimmten Punkt führt. Dies gilt vor allem, wenn Unternehmen versuchen, die Bemühungen ihres Teams um Schadensbegrenzung zu unterstützen. Deshalb erfordert die Entwicklung eines nachhaltigen Bewusstseins bei den Geschäftsinhabern einen anderen Ansatz.

Risikobasierter Ansatz für OT-Sicherheit

Der übliche risikobasierte Ansatz für die OT-Cybersicherheit sollte zwei Elemente umfassen: die Identifizierung kritischer Risiken und die Festlegung einer hohen Priorität für diese Risiken. Daher erfordert ein risikobasierter Ansatz sowohl Fähigkeiten zur Risikobewertung als auch zum schnellen Reagieren. Fähigkeiten zur Risikobewertung umfassen mehrere einzigartige Kompetenzen, insbesondere für die OT-Sicherheit. Ein einfaches Beispiel ist die Bewertung der Sicherheitslage eines Unternehmens, doch dieses entscheidende Element allein ist nicht ausreichend.

Die eigentliche Herausforderung besteht darin, die technischen Erkenntnisse mit ihren Auswirkungen auf das Unternehmen zu korrelieren – sowohl finanziell als auch betrieblich. Wie können Unternehmen also nicht nur jedem OT-Sicherheitsbefund einen finanziellen Wert zuweisen, sondern auch den entsprechenden Risikominderungen, die sie durch die Implementierung verschiedener Abhilfemaßnahmen erreicht haben?

Aufgrund der Realität haben Regulierungsbehörden auf der ganzen Welt damit begonnen, die Steuerung von Cyberrisiken voranzutreiben. Dies erfordert von den Unternehmen, dass sie mit den Änderungen der Vorschriften Schritt halten. Unabhängig davon, ob sich neue Vorschriften auf das Unternehmen auswirken oder bestehende Vorschriften zu einer höheren Durchsetzungspriorität werden, können die Verantwortlichen es sich nicht leisten, sie als niedrige Priorität zu behandeln.

So hat die deutsche Regierung beispielsweise die KRITIS-Verordnung (IT-Sicherheitsgesetz 2.0) erlassen, die vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik, durchgesetzt wird. Das Gesetz erkennt Unternehmen oder Einrichtungen mit kritischen Infrastrukturen (KRITIS) als wichtig für das Land und seine Bürger an. Der Gesetzgeber hat erkannt, dass der Ausfall oder die Beeinträchtigung von KRITIS-Einrichtungen zu dauerhaften Engpässen in der Versorgungskette, erheblichen Beeinträchtigungen der öffentlichen Sicherheit und anderen dramatischen Folgen führen würde.

Nach dieser Definition gelten Unternehmen und Einrichtungen in vielen Sektoren als kritische Infrastrukturen. So fallen darunter Energie, Transport und Verkehr, Wasser, Finanzen und Versicherungen, Ernährung, Medien und Kultur, Staat und Verwaltung, Gesundheit, Informationstechnologie, Telekommunikation und sogar Abfallentsorgung. Die deutschen KRITIS-Vorschriften verlangen von den Unternehmen und Betreibern, dass sie Cyberrisiko-Governance-Prozesse anwenden, die mit einer regelmäßigen Bewertung beginnen.

Am wichtigsten ist es, dass Infrastrukturbetreiber verstehen, wie Compliance-Risiken aus den internen Prozessen des Unternehmens entstehen können. Dazu gehören auch neue Technologiesysteme, Software- und Hardwarelösungen von Drittanbietern sowie Drittanbieter-Serviceprovider. All diese Faktoren können sich auf Compliance-Risiken auswirken, selbst wenn es keine „externen“ Änderungen gibt.

Aufruf zum Handeln – auf Ransomware vorbereitet sein

Um ihre OT-Infrastruktur zu schützen und das Risiko eines Cyberangriffs zu mindern, müssen Unternehmen mehr tun als nur ihre Anlagen zu überwachen. Was also ist erforderlich, um sich auf diese potenziellen Bedrohungen vorzubereiten und ihre organisatorische OT-Sicherheit zu verbessern? Die Technologie spielt eine wichtige Rolle, aber sie reicht nicht aus.

Um den erwarteten Reifegrad zu erreichen, ist die Entwicklung der erforderlichen Prozesse und Fähigkeiten unerlässlich. Da die Gefahr unmittelbar bevorsteht und Fachleute für OT-Sicherheit schwer zu finden sind, kann die Wahl der richtigen Technologie und des richtigen Partners den Entwicklungsprozess und die Fähigkeiten, die IT- und Automatisierungsfachleute entwickeln müssen, beschleunigen.

Drei wichtige Schritte

  1. Führen Sie regelmäßige, kontextbezogene Risikobewertungen durch. Sie müssen verstehen, welche Anlagen in Ihrem Unternehmen gefährdet sind und welche potenziellen Schadensszenarien entstehen, wenn diese Anlagen gefährdet sind.

  2. Verbessern Sie die Zusammenarbeit von IT- und OT-Experten. Eine der größten Herausforderungen ist heute die notwendige Zusammenarbeit der IT-Sicherheit mit den Automatisierungsexperten vor Ort. Nur durch diese Zusammenarbeit lässt sich eine effektive und effiziente Risikominderung erreichen. Der Einsatz der richtigen nativen Technologie wird nicht nur den Betrieb automatisieren, sondern auch den Reifegrad und damit die Bereitschaft beschleunigen.

  3. Präskriptive Risikominderung. Aufgrund der einzigartigen Natur der Betriebsumgebung sind viele der traditionellen IT-bezogenen Praktiken (z. B. Patchen und Non-Safe-Scannen) nicht relevant. Durch die Nutzung der Möglichkeiten der bereichsübergreifenden Datenanalyse können Sie automatisch eine optimale Vorgehensweise festlegen. Durch die Berücksichtigung aller relevanten Faktoren und verfügbaren Sicherheitskontrollen wird diese Art der Analyse nicht nur Empfehlungen für die nächsten Schritte liefern, sondern auch den verschiedenen Praktikern sichere praktische Maßnahmen zur Risikominderung an die Hand geben.

Nach dieser verbesserten Risikobewertung kommt die Aufgabe, auf festgestellte Risiken zu reagieren. Wie bereits erwähnt, ist es für den Erfolg dieses Prozesses von entscheidender Bedeutung, „flink“ zu sein. Er erfordert auch viele spezifische Fähigkeiten für das Compliance-Programm. Erstens muss das Programm in der Lage sein, die Kontrollen zu implementieren. Das Unternehmen muss in der Lage sein, kompensierende Kontrollen zu validieren und durchzuführen.

Zur Überwachung des Fortschritts und zur Compliance-Berichterstattung benötigt das Programm evidenzbasierte Reporting-Dashboards und Berichte für den internen Fortschritt. Diese richten sich an Aufsichtsbehörden in der Führungsetage, Geschäftspartner und alle anderen, die wissen, dass ihr Compliance-Programm alle Strategien zur Einhaltung von regulatorischen und internen Vorschriften berücksichtigt. Auch hier ist die Festlegung von Prioritäten der Zweck eines risikobasierten Ansatzes. Viele Teams und Einzelpersonen werden sich zu Recht fragen: „Warum tun wir das?“ Klare und präzise Berichte über die Einhaltung von Vorschriften werden die Antworten liefern.

Nächste Schritte für das neue Jahr

Sicherheitsautomatisierung ist für den sicheren und effektiven Betrieb von Technologien unerlässlich. Cyber-physische Systeme sind anfällig und müssen geschützt werden. Die bloße Bewertung von Schwachstellen (Asset Vulnerability) oder die Kartierung von Assets (Vulnerability Mapping) ist jedoch unzureichend. Um die besten Entscheidungen über die Zuweisung von Ressourcen für die OT-Sicherheit treffen zu können, müssen die Verantwortlichen auch wissen, wie wirksam ihre Sicherheitskontrollen sind und wie angreifbar die verschiedenen Anlagen sind. Nur dann können sie intelligente Entscheidungen über die Ressourcenzuweisung treffen, um kritische Risiken zu verringern.“