Weil es um die Safety und Security von uns allen geht
Kritische Infrastrukturen und Industrieanlagen sind besonders in der heutigen Zeit wichtiger denn je und konkreten Bedrohungen ausgesetzt. Unternehmen sind gefordert, die Cybersicherheit auch in OT-Umgebungen sicherzustellen – zum Schutz von uns allen.
Schwerwiegende Ransomware-Vorfälle gegen kritische Infrastrukturen sowohl in der Cloud als auch On-Prem häufen sich weltweit. Angriffstaktiken sowie -techniken entwickeln sich stetig weiter und nehmen gezielt OT-Systeme (Operational Technology) in den Fokus. Während ein erhöhtes Cybersecurity-Bewusstsein in der IT zunehmend Standard wird, erhalten OT-Umgebungen noch immer wenig Beachtung – mit möglicherweise fatalen Folgen. Denn OT ist auch Teil kritischer Infrastrukturen in Bereichen wie Gesundheit, Transport, Energie oder Verwaltungen. Schäden sind dabei oft irreversibel. Besonders in den vergangenen Monaten wurden zahlreiche solche Cyberangriffe verübt, unter anderem aufgrund von bereits seit Langem bekannten Schwachstellen und bei grossen Herstellern: Log4j, Microsoft Exchange, Linux, Atlassian, Cisco-Produkten, Google Chrome, Citrix, Microsoft, Apache, VPN, Remote Access usw.
Obschon die OT-Welt andere Sicherheitsansätze als die IT erfordert, so rücken diese näher zusammen. Neue Technologien aus der IT korrelieren mit Entwicklungen und Modernisierungen in der OT. Die Vision ist eine Nutzung von Synergiepotenzialen. Während die IT klassischerweise ihren Schwerpunkt auf Datensicherheit und Datenschutz legt, fokussiert OT auf die Verfügbarkeit sowie den Schutz (Safety) von Mitarbeitenden und Umwelt.
IT und OT sind integrative Bestandteile und sollten sowohl in die operative als auch betriebliche Risikobetrachtung miteinbezogen werden. Zu den Basics gehört zum einen die Sensibilisierung der Mitarbeitenden bezüglich spezifischer Risiken. Zum anderen aber auch der Aufbau von Know-how sowie Kompetenzen zu den OT-Komponenten und Protokollen. Des Weiteren ist ein mehrschichtiger Ansatz (Defence-in-Depth), der sämtliche Ebenen kombiniert, unerlässlich. Dazu gehört eine umfassende Sicherheitsarchitektur mit integrierten Security-Lösungen, die Analyse und Korrelation von Event-Daten, um auf verteilte Bedrohungen zu reagieren, Systeme wie IDS/NIDS oder In-Line-Detection, die Erkennung von Angriffen, XDR, Threat Management usw. Zur Errichtung, Umsetzung, Überprüfung und kontinuierlichen Verbesserung eines Informationssicherheits-Management-Systems (ISMS) hat sich IEC 62443 im OT-Umfeld etabliert. Nicht zuletzt dürfen auch Risiko- und ICS-/SCADA-Sicherheitsbewertungen sowie das Controlling nicht vergessen werden. Abgesehen von diesem ganzheitlichen Sicherheitskonzept sollte auch Zero Trust als strategischer Ansatz gepflegt werden. Das Prinzip: geringstmögliche Berechtigungen und minimale Zugriffe, um Risiken zu minimieren. Ein umfassender, vorausschauender Ansatz beinhaltet im Übrigen auch die Supply Chain, und nicht zu vergessen ein proaktives Schwachstellen-Management. Dabei sollte man sich aber nicht nur auf Schwachstellen konzentrieren, die einen bestimmten CVSS-Wert aufweisen, sondern auf solche, die aktiv von Cyberakteuren ausgenutzt werden. Hier ist rasches Handeln gefragt.
Auch wenn die Anforderungen heutzutage hoch sind: Nur so können die strategischen Ziele der Cyber-Sicherheit erreicht, Risiken minimiert, regulatorische Anforderungen erfüllt und die Safety sowie Security in komplexen IT-OT-Umgebungen garantiert werden.