OT- und IT-Cybersecurity
Die fünf größten Herausforderungen bestehender OT-Cybersicherheitslösungen
Warum bestehende Sicherheitsparadigmen zu kurz greifen
2021 war das Jahr, in dem Cyberangriffe auf industrielle Ziele und kritische Infrastrukturen zum Mainstream wurden. Vom Angriff auf die Colonial Pipeline bis zum jüngsten Transnet-Hack war es das Jahr, in dem die Öffentlichkeit – ganz zu schweigen von den Führungsetagen – den Unterschied zwischen IT- und OT-Netzwerken lernte. Und jeder hat gelernt, dass Schwachstellen in der OT-Cyber Security-Konsequenzen haben können, die den persönlichen Alltag betreffen.
Das Jahr 2022 wird nach Meinung von OTORIO für Hersteller und Versorgungsunternehmen mit kritischer Infrastruktur eine mindestens ebenso große Herausforderung darstellen. Angesichts dieser Aussichten ist es wichtiger denn je, die Unterschiede zwischen OT- und IT-Cyber Security zu verstehen – und zu begreifen, warum die bestehenden OT-Cybersicherheitsparadigmen immer noch unzureichend sind.
IT-Cybersicherheit ist auf die Sicherung von Bits und Bytes spezialisiert, die für die Verwaltung eines jeden Unternehmens von entscheidender Bedeutung sind. Die OT-Cybersicherheit hingegen konzentriert sich auf die Sicherung von Daten und physischen Systemen. Im Jahr 2021 haben die Verantwortlichen für OT-Netzwerke gelernt, wie wichtig es ist, einen Cyberabwehransatz zu wählen, der speziell auf die Anforderungen der OT-Umgebung zugeschnitten ist. Dies ist ein Ansatz, der von Grund auf für die OT-Herausforderungen entwickelt wurde.
In einer kürzlich veröffentlichten Studie zur OT-Cybersicherheit 2022 hat OTORIO 200 CISOs aus führenden Industrieunternehmen gefragt, ob sie das Gefühl haben, dass sie den besten Nutzen aus ihren bestehenden Cybersicherheitslösungen ziehen. Viele der Befragten stimmten zu, dass dies nicht der Fall ist. Warum halten die bestehenden OT-Sicherheitsparadigmen nicht, was sie versprechen?
Die fünf wichtigsten Gründe für das Scheitern bestehender OT-Cybersicherheitsparadigmen
Laut Umfrageteilnehmern sind die fünf wichtigsten Gründe, warum ihre bestehenden OT-Cybersicherheitslösungen nicht den gewünschten Nutzen bringen, folgende: „fehlende Fähigkeiten für die Bedienung“ (57 Prozent), „Abhilfemaßnahmen sind nicht durchführbar“ (49 Prozent), „führt zu großer Alarmmüdigkeit“ (44 Prozent), „zu kompliziert in der Anwendung“ (33 Prozent) und „nur für die Erkennung nach einem Eindringen ins Netzwerk wirksam“ (27 Prozent). Doch was bedeuten diese Antworten in der Praxis?
1: Fehlende Fähigkeiten für die Bedienung
Laut der Studie von OTORIO ist in 31 Prozent der Unternehmen der Leiter der Abteilung Fertigung/Engineering für die OT-Cybersicherheit zuständig – und nicht ein Cybersicherheitsspezialist. Die OT-Cybersicherheitslösungen der ersten Generation wurden jedoch für die IT-Umgebung (d. h. für Unternehmen) entwickelt und für OT nachgerüstet. Als solche erfordern sie spezielle Fähigkeiten, die zwar im IT-SOC (Security Operations Center) vorhanden sind, aber im OT-Bereich so gut wie gar nicht. Das Ergebnis: OT-Cybersicherheits-Tools werden häufig falsch implementiert oder betrieben und bieten daher einen suboptimalen Schutz.
2: Abhilfemaßnahmen sind nicht durchführbar
Viele Lösungen erkennen zwar potenzielle Bedrohungen, bieten aber nur theoretische oder vage Anleitungen, wie diese Bedrohungen abgemildert werden können. Andere stellen detaillierte Playbooks zur Verfügung, die jedoch für die OT nicht relevant sind. Ein Beispiel ist das Patchen. Das Sicherheitspatching in der OT unterscheidet sich stark von dem in der IT. Das liegt daran, dass das Patchen von OT-Komponenten ein komplettes Abschalten der Produktion erfordert, so dass Anbieter, die OT-Netzwerke betreiben, ihre Komponenten nur selten oder gar nicht patchen. Jeder Plan zur Schadensbegrenzung in der OT, der Patches vorsieht, ist fast immer nicht durchführbar.
Darüber hinaus arbeiten Fachleute für industrielle oder kritische Infrastrukturen oft ohne ein vollwertiges Team von Sicherheitsingenieuren oder -analysten vor Ort. Sie müssen daher sehr detaillierte, klare und speziell auf die jeweilige Umgebung zugeschnittene Abhilfemaßnahmen ergreifen, um eine schnelle und effektive Umsetzung zu ermöglichen.
3: Sorgt für große Alarmmüdigkeit
Die heutigen OT-Lösungen beruhen hauptsächlich auf der Erkennung potenzieller Sicherheitsverletzungen und alarmieren dann die Sicherheitsverantwortlichen. Doch selbst die besten Erkennungstools geben absichtlich viele Warnungen aus, da sie es vorziehen, auf Nummer sicher zu gehen. Erschwerend kommt hinzu, dass sich die meisten OT-Sicherheitsparadigmen auf mehrere unterschiedliche Lösungen stützen – jede mit ihrer eigenen Warnschwelle. Es ist nicht ungewöhnlich, dass eine Reihe verschiedener Lösungen Alarme von verschiedenen Teilen des Netzwerks senden, die sich auf ein einziges Ereignis beziehen. Die daraus resultierende Alarmmüdigkeit kann dazu führen, dass Angreifer relativ lange unentdeckt bleiben. Sie hindert die Sicherheitsteams daran, sich nur auf tatsächliche kritische Risiken zu konzentrieren, anstatt auf falsch-positive Meldungen.
4: Zu kompliziert zu bedienen
Wie bereits erwähnt, sind viele OT-Cybersicherheitslösungen eigentlich nachgerüstete IT-Lösungen. Sie sind nicht wirklich mit OT-spezifischen Prozessen oder Verfahren synchronisiert und erfordern von ihren Betreibern ein tiefes Verständnis sowohl der OT als auch der IT, um sie „sinnvoll“ zu nutzen. Im OT-Sektor herrscht leider ein Mangel an Fachkräften, der viele alte OT-Lösungen unbrauchbar macht.
5: Effektiv nur für die Erkennung nach einem Eindringen ins Netzwerk
Die meisten bestehenden OT-Sicherheitslösungen beruhen auf einer reaktiven Erkennung nach einem Eindringen ins Netzwerk. Obwohl die Erkennung und Eindämmung von Angriffen im Nachhinein ein wichtiger Bestandteil im gesamten Cybersecurity-Mix ist, ist die Reaktion nach einem Angriff in der Regel kostspieliger und weniger effektiv als die Angriffsprävention.
In OT-Umgebungen gibt es – anders als in der Unternehmens-IT – keine Toleranz für Ausfallzeiten. Es kann Tage oder sogar Wochen dauern, bis ein Produktionsbereich nach einer Abschaltung wieder online ist, was zu großen finanziellen Verlusten führt. Die Kosten sind nicht nur monetär, denn erfolgreiche Sicherheitsverletzungen können die Gesundheit – und manchmal sogar das Leben – ernsthaft gefährden. Und nicht zuletzt können sie dem Ruf des Betreibers schaden, was in der Regel lange Zeit nachwirkt.
Die Lösung: OT-Cybersicherheit vereinfachen
Für den Einsatz in OT-nativen Ökosystemen der realen Welt wurden mittlerweile spezifische Plattformen entwickelt. Mit einer benutzerfreundlichen Oberfläche, die sowohl von IT-Fachkräften als auch von Betriebsleitern leicht zu bedienen ist, bieten diese Dashboards, die selbst Laien helfen genau zu verstehen, warum und woher die Alarme kommen. Um die Geschwindigkeit und Effizienz zu verbessern, bieten moderne Lösungen einfache, leicht verständliche Abhilfemaßnahmen, die auf jede einzelne Betriebsabteilung zugeschnitten sind. Eine solche Plattform hilft auch, die Alarmmüdigkeit zu überwinden. Eine moderne Lösung konsolidiert und orchestriert Tausende von verdächtigen Ereignissen im gesamten IT-OT-IoT-Netzwerk zu einer Handvoll aussagekräftiger, priorisierter Erkenntnisse mit vereinfachten und proaktiven Playbooks zur Entschärfung. Die wichtigste Erkenntnis aus diesem Teil der OT-Cybersicherheitsstudie 2022 ist eindeutig: OT erfordert spezifische, intuitive Lösungen, die den Besonderheiten der Umgebung gerecht werden und auf menschliche Benutzer zugeschnitten sind.