22. März 2024 Jason Dely*

Operationelle Widerstandsfähigkeit von OT-Systemen verbessern

Die Bedrohung der kritischen Infrastrukturen stellt eine ernsthafte Gefahr dar. Laut dem Bericht Dragos 2023 Year in Review hat die Zahl der gemeldeten Vorfälle (70 Prozent bei 638 Fällen) und der Einsatz von Erpressungstaktiken (50 Prozent) gegen industrielle Systeme zugenommen. [...]

"Es gibt Organisationen, einschließlich kritischer Infrastrukturen, die noch nicht mit der Umsetzung von Cybersicherheit begonnen haben oder noch in den Kinderschuhen stecken." (c) Unsplash
"Es gibt Organisationen, einschließlich kritischer Infrastrukturen, die noch nicht mit der Umsetzung von Cybersicherheit begonnen haben oder noch in den Kinderschuhen stecken." (c) Unsplash

Phishing und die Ausnutzung von öffentlich zugänglichen Diensten sind gängige Methoden für das erste Einfallstor. Um 2013 verlagerte die Dragonfly-Gruppe den Schwerpunkt ihrer Spionagekampagne auf europäische und US-amerikanische Energieunternehmen. Die Gruppe Volt Typhoon hatte 2021 ein Spionagenetzwerk in Unternehmen der Energie-, Wasser-, Transport- und Kommunikationsbranche infiltriert und aufgebaut. Dieses riesige Spionagenetz wurde 2023 aufgedeckt und 2024 teilweise zerstört.

Bereits in den frühen 2000er Jahren versuchten Experten, kritische Infrastruktursektoren davon zu überzeugen, warum sie ihre Cybersicherheitslücken schließen müssen. Dies war und ist ein schwieriges Unterfangen, da viele dieser Organisationen mit dem Betrieb einer soliden und robusten Netzwerkinfrastruktur zu kämpfen haben – eine grundlegende Voraussetzung für Cybersicherheit. Angesichts von Ransomware und staatlich gesponserten Bedrohungen, fragen sich Unternehmen was sie alles nächstes tun müssen. Doch einige haben noch nicht einmal den ersten Schritt getan. Sie wissen nicht, wie sie Bedrohungen monitoren können, um sicherzustellen, dass die wichtigsten OT-Abläufe auch bei Cyberangriffen sicher bleiben.

Damit eine OT/ICS-Umgebung betrieblich belastbar ist, gilt es die grundlegenden Funktionsanforderungen kritischer Systeme zu verstehen. Dazu gehören die Integrität und Verfügbarkeit zur Aufrechterhaltung von Sicherheit und Kontrolle bei gleichzeitigem Gleichgewicht zwischen Menschen und Technologie sowie manuellen und automatisierten Systemen und Prozessen. Das Konzept der kritischen Systeme beginnt mit einem „Bottom-up“-Verständnis. Im Zusammenhang mit diesem Verständis geht es darum zu verstehen, was produziert oder geliefert sowie den unmittelbaren Systemen, die zur Durchführung dieser Aktivitäten benötigt werden. In Verbindung mit einer Analyse des Betriebsrisikos und der Prozessrisiken führt dies zu einem besseren Verständnis dessen, was als kritisch einzustufen ist, aber auch, wo die betriebliche Ausfallsicherheit berücksichtigt werden muss. Natürlich gibt es sehr unterschiedliche Perspektiven, wenn man verschiedene Organisationen betrachtet.

Viele Sektoren sind mit steigenden Betriebskosten konfrontiert und müssen gleichzeitig neue Methoden und Technologien einführen, um wettbewerbsfähig oder wirtschaftlich lebensfähig zu bleiben. Hierin liegt die Herausforderung. Diese Unternehmen müssen ständig ein Gleichgewicht zwischen der Bereitstellung von Finanzmitteln für neue Technologien oder Architekturphilosophien finden, um die Rentabilität des Unternehmens zu gewährleisten.

Hinzu treten mehrere neue, aber notwendige Ansätze zur Regulierungssteuerung, die entweder bereits vorgelegt wurden oder sich noch in der Anfangsphase befinden. Die Regulierung hat ihren Sinn, wenn sie dazu dient, Ziele und Vorgaben ohne Vorschriften festzulegen, doch werden Vorschriften starr, wenn sie auf agile Gegner treffen. Die Eigentümer und Betreiber regulierter Systeme müssen flexibel bleiben, wenn sie entscheiden, wo und wie sie Cybersicherheit einsetzen, um die betriebliche Widerstandsfähigkeit zu stärken, wenn sich die Bedrohungslandschaft ändert.

Betrachtet man die Branche heute, so lässt sich jede Organisation für kritische Infrastrukturen zumindest teilweise in eine dieser drei Perspektiven einordnen:

Einige Organisationen haben ihre IT-basierten Lösungen beibehalten, weil sie 1) eine robustere Netzwerkinfrastruktur benötigten und 2) nicht über das OT-Personal verfügten, das die Rolle der Cybersicherheit effektiv übernehmen konnte. Dies hat zu Konflikten, Unterbrechungen und einem Mangel an effektiven Reaktionsmöglichkeiten geführt. Diese Organisationen haben aufgrund der Größe und Komplexität ihrer Betriebsumgebungen Schwierigkeiten mit einem Bottom-up-Ansatz.

Organisationen, die sich entweder auf eine vermeintliche Sicherheitslücke verlassen oder ihre OT-Systeme mit externen Systemen überfrachtet haben. Ich sage gefühlt, weil für die meisten Unternehmen ein OT/ICS mit Luftlücken nicht mehr machbar ist. Diese Unternehmen haben entweder nicht nachgeschaut oder verstehen die Lösungen, die sie eingesetzt haben, nicht. Vielleicht ist es die Perspektive, die Definition eines Airgaps oder das Vertrauen in ihre Dienstleister. Bei Unternehmen heute gibt es aufgrund der Herausforderungen bei der Produktivitätssteigerung in der Regel eine gewisse betriebliche Beziehung zwischen IT, OT und sogar der Cloud. In der Fertigung gab es schon eine enge Beziehung zwischen IT und OT, lange bevor der Begriff Konvergenz aufkam.

Es gibt Organisationen, einschließlich kritischer Infrastrukturen, die noch nicht mit der Umsetzung von Cybersicherheit begonnen haben oder noch in den Kinderschuhen stecken. Oft sind sie mit unqualifiziertem Personal oder unzureichenden finanziellen Mitteln konfrontiert, um angemessene Cybersicherheitsmaßnahmen durchführen zu können. Für kleinere Versorgungsunternehmen stellt dies eine große Herausforderung dar, da sich ihre Kostenstruktur auf die Notwendigkeit konzentriert, den normalen, grundlegenden Betrieb außerhalb eines Cyber-Ereignisses aufrechtzuerhalten. Die Einführung zusätzlicher Sicherheitstools und -lösungen wird wahrscheinlich dazu führen, dass diese überhaupt nicht genutzt werden oder nicht ausreichend verwaltet werden, was sie angreifbar macht.

Absicherung von OT-Systemen

Unternehmen müssen sich darauf konzentrieren, Cybervorfälle zu verhindern. Sie müssen aber auch wissen, wie sie auf Vorfälle reagieren und – was ebenso wichtig ist – den Betrieb während eines Vorfalls aufrechterhalten können. Es muss eine enge Beziehung und Zusammenarbeit zwischen Sicherheitsoperationen und operativer Widerstandsfähigkeit bestehen. Die Regulierung schafft zwar eine Kultur und stellt Mittel bereit, kann aber zu einer Divergenz zwischen den Sicherheitszielen und der Einhaltung der Vorschriften führen, wodurch die Wirksamkeit der Finanzierung der Cybersicherheit eingeschränkt wird.

Es gibt viele Herausforderungen bei der Durchführung von IT-Schwachstellenmanagement-Programmen innerhalb von OT, beispielsweise:

  • Eine automatisierte Einführung, die zu ungeplanten Ausfällen und Instabilitäten führt.
  • Verwendung von IT-Methoden, die nicht mit dem ICS-Betrieb übereinstimmen.
  • Die Finanzierung und der ROI übersteigen die Aufrechterhaltung der operationellen Widerstandsfähigkeit als Maßstab.
  • Die Durchführung eines IT-Schwachstellenmanagementprogramms lenkt von der Durchführung notwendiger Cybersicherheitsaufgaben ab.

Schließlich müssen Implementierungslücken und operative Prioritäten ausgleichen, dass ICS nur über begrenzte Sicherheitsfunktionen und eine begrenzte Anpassungsfähigkeit an aktuelle Sicherheitsoperationen verfügen. Einsatzorientierte Prioritäten können dem gesamten Team aus Sicherheits- und Betriebsmitarbeitern operative Effektivität und flexible Sicherheitsfunktionen bringen. Einen Blick auf diese Entwicklung wirft auch der Expertenkreis, der sich zum ICS Summit in München Mitte Mai trifft.

Fazit

Unabhängig vom aktuellen Stand der Cybersicherheit einer Organisation müssen alle Mitarbeiter ihren operativen Auftrag und die vorhandenen Bedrohungen klar verstehen. Die Aufgabe eines jeden ICS-Verteidigers besteht darin, den Betrieb vor, während und nach einem Cybervorfall aufrechtzuerhalten. ICS-Teams, die sich mit dem Schutz kritischer Infrastrukturen befassen, drohen in einen Tunnelblick auf ihre alltäglichen Aktivitäten zu verharren. In vielen Fällen nehmen sich die Teams nicht die Zeit, sich in die Lage der anderen Teams hineinzuversetzen. Das ist bedauerlich, denn diese Praxis hilft, um Möglichkeiten zur Verbesserung der Effektivität und zur Härtung der Abwehrmaßnahmen zu ermitteln. Ein IT-Sicherheitsanalyst oder -architekt muss zum Beispiel kein ICS-Spezialist sein, um diese Systeme zu verteidigen. Da sie zum selben Verteidigungsteam gehören, kann der Analyst problemlos mit dem OT-Ingenieur ins Gespräch kommen. Maximale Effektivität wird erreicht, wenn jede Gruppe die Herausforderungen, Grenzen und Entscheidungsprozesse der anderen versteht.

Kritische Infrastruktursysteme sind ein komplexes Gefüge aus Menschen und digitalen und physischen Systemen. Alles an diesem Orchester ist ausgeklügelt; es ist auf eine primäre Funktion und einen Zweck ausgerichtet. Um Integrität und Zuverlässigkeit zu gewährleisten, verfügt die Branche über standardisierte Methoden und Technologien, die in allen Bereichen und von allen Mitarbeitern wiederverwendet und angepasst werden können. Das wissen jedoch auch die Angreifer, die dieses Wissen in ihre Fähigkeiten einfließen lassen. Unternehmen glauben manchmal, dass sie alle Angriffe abwehren und alle Schwachstellen schließen können, doch die Realität ist das Living-of-the-Land-Prinzip, also der Missbrauch bestehender Instrumente und Dienste, die normalerweise für betriebliche Zwecke eingesetzt werden.

*Jason Dely ist Certified Instructor beim SANS Institute.


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Christoph Mutz, Senior Product Marketing Manager, AME, Western Digital (c) AME Western Digital
Interview

Speicherlösungen für Autos von morgen

19. September 2024 Klaus Lorbeer

Autos sind fahrende Computer. Sie werden immer intelligenter und generieren dabei jede Menge Daten. Damit gewinnen auch hochwertige Speicherlösungen im Fahrzeug an Bedeutung. Christoph Mutz von Western Digital verrät im Interview, welche Speicherherausforderungen auf Autohersteller und -zulieferer zukommen. […]

Andreas Schoder ist Leiter Cloud & Managend Services bei next layer, Alexandros Osyos ist Senior Produkt Manager bei next layer. (c) next layer
Interview

Fokus auf österreichische Kunden

19. September 2024 Klaus Lorbeer

Der österreichische Backup-Experte next layer bietet umfassendes Cloud-Backup in seinen Wiener Rechenzentren. Im Interview mit ITWelt.at erläutern Andreas Schoder, Leiter Cloud & Managed Services, und Alexandros Osyos, Senior Produkt Manager, worauf Unternehmen beim Backup achten müssen und welche Produkte und Dienstleistungen next layer bietet. […]

Miro Mitrovic ist Area Vice President für die DACH-Region bei Proofpoint.(c) Proofpoint
Kommentar

Die Achillesferse der Cybersicherheit

19. September 2024 Miro Mitrovic*

Eine immer größere Abhängigkeit von Cloud-Technologien, eine massenhaft mobil arbeitende Belegschaft und große Mengen von Cyberangreifern mit KI-Technologien haben im abgelaufenen Jahr einen wahrhaften Sturm aufziehen lassen, dem sich CISOS ausgesetzt sehen. Eine große Schwachstelle ist dabei der Mensch, meint Miro Mitrovic, Area Vice President DACH bei Proofpoint. […]

Brian Wrozek, Principal Analyst bei Forrester (c) Forrester
Interview

Cybersicherheit in der Ära von KI und Cloud

19. September 2024 Christof Baumgartner

Die Bedrohungslandschaft im Bereich der Cybersicherheit hat sich zu einer unbeständigen Mischung von Bedrohungen entwickelt, die durch zunehmende Unsicherheit und steigende Komplexität bedingt ist. Zu diesem Schluss kommt der Report »Top Cyber-security Threats In 2024« von Forrester. ITWelt.at hat dazu mit Studienautor Brian Wrozek ein Interview geführt. […]

Alexander Graf ist Geschäftsführer der Antares-NetlogiX Netzwerkberatung GmbH. (c) Antares-NetlogiX Netzwerkberatung GmbH
Interview

Absicherung kritischer Infrastrukturen

19. September 2024 Wolfgang Franz

NIS2 steht vor der Tür – höchste Zeit, entsprechende Maßnahmen auch im Bereich der Operational Technology (OT) zu ergreifen. »Wenn man OT SIEM richtig nutzt, sichert es kritische Infrastrukturen verlässlich ab«, sagt Alexander Graf, Experte für OT-Security (COSP) und Geschäftsführer der Antares-NetlogiX Netzwerkberatung GmbH, im ITWelt.at-Interview. […]

In Österreich gibt es die freie Wahl des Endgeräts. Oder doch nicht? (c) Pexels
News

RTR erklärt Wahlfreiheit zum Nischenthema

19. September 2024 Christof Baumgartner

Bei der Frage, ob Endkunden oder die Provider darüber entscheiden sollten, welches Endgerät sie an ihrem Breitbandanschluss nutzen können, stellt sich die RTR klar auf eine Seite. Laut RTR existiert bereits Wahlfreiheit. Dennoch will die Regulierungsbehörde aktiv werden, wenn sich noch mehr Kunden über das Fehlen der Wahlfreiheit bei ihr beschweren. Logik geht anders. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*