Absicherung kritischer Infrastrukturen

NIS2 steht vor der Tür – höchste Zeit, entsprechende Maßnahmen auch im Bereich der Operational Technology (OT) zu ergreifen. »Wenn man OT SIEM richtig nutzt, sichert es kritische Infrastrukturen verlässlich ab«, sagt Alexander Graf, Experte für OT-Security (COSP) und Geschäftsführer der Antares-NetlogiX Netzwerkberatung GmbH, im ITWelt.at-Interview. [...]

Die Antares-NetlogiX Netzwerkberatung GmbH befasst sich schon seit über 20 Jahren mit der Sicherheit in sogenannten KRITIS-Umgebungen bei Energieversorgern, Stadt- und Wasserwerken oder ITK-, Logistik- und Finanzdienstleistern. Geschäftsführer und OT-Security-Experte Alexander Graf erklärt, wie betroffene Unternehmen im Zuge der NIS2-Richtlinie optimal auf alle Eventualitäten vorbereitet sind.

Die NIS2 soll kritische Infrastrukturen vor IT-Vorfällen und Cyberangriffen schützen. Wie hoch ist aus Ihrer Sicht der Aufwand?

Alexander Graf Für sogenannte KRITIS-Umgebungen ist es nicht neu, dass ihre IT uneingeschränkt und resilient betrieben werden muss. Allerdings sind mit NIS2 die Anforderungen gestiegen und auch Unternehmen als kritisch eingestuft worden, die sich bisher noch nicht mit einem solch hohen Schutzniveau auseinandergesetzt haben. Sie fangen oft ganz von vorne an. Das macht die Umsetzung der OT-Sicherheit aufwändiger.

Mit welchem Ansatz unterstützen Sie die Umsetzung?

Bei Antares-NetlogiX legen wir verstärkt den Fokus auf die Operational Technology – kurz OT – also auf die Software und Hardware, die dem reibungslosen Betrieb kritischer Infrastrukturen und Industrieumgebungen dienen. Die klassische IT haben wir ja technologisch im Griff, die OT ist aber zunehmend im Angriffsfokus. Hier erfordert es spezielle Maßnahmen, die in der Realität auch funktionieren müssen. Wir stellen unter anderem die IT- und OT-Security bereit und betreiben sie – ob in Kraftwerken, Infrastrukturprojekten oder bald auch in Leitstellen, wo der forensische Aspekt ebenfalls wichtig ist. Wir kooperieren außerdem seit langem mit führenden Automatisierungsunternehmen aus diesem Umfeld.

Welche Lösungen setzen Sie dabei ein und was ist der entscheidende Vorteil?

Das Security Information and Event Management, kurz SIEM, hat sich in einer Vielzahl von Projekten als besonders wirkungs- und sinnvoll erwiesen. Wenn es richtig genutzt wird und die Besonderheiten der OT-Umgebung berücksichtigt, sichert dieses OT SIEM die vorhandene Technik optimal ab. Unsere Lösung »made in Austria« befindet sich bewusst isoliert in der OT-Umgebung und nicht hinter der Firewall in der IT-Welt. Hier haben wir interessante Referenzprojekte.

Was lässt sich ein OT SIEM am besten kurz beschreiben?

Ein OT SIEM sammelt, speichert und wertet verschiedene Informationen rund um die Produktionsumgebung beziehungsweise deren Steuerungssysteme aus. So lassen sich Risiken frühzeitig erkennen und bei einem Vorfall schnell wichtige Maßnahmen ergreifen. Bei OT betrifft das Hardware und Software, die zur Überwachung und Steuerung industrieller Prozesse und Produktionsanlagen genutzt wird.

Worauf sollte man bei einem OT SIEM achten?

Ein gutes OT SIEM muss im Grunde dasselbe können wie ein klassisches SIEM: Es muss spezielle Hardware und Protokolle wie SYSLOG und SNMP einbinden können, zuverlässig arbeiten und beim zentralen Log Management eine hohe forensische Qualität aufweisen. Außerdem ist es ratsam, vor- und nachgelagerte IT-Security-Disziplinen wie Firewall-Betrieb, Incident-Response- und Business-Continuity-Management zu integrieren. Schließlich will man Vorfälle möglichst früh eindämmen und im Anschluss alle Daten zur Hand haben, um der Verpflichtung der Berichterstattung nachzukommen. Wichtig ist, dass das OT SIEM nicht aus der Cloud betrieben wird, um sich nicht durch Updates aus dem Internet angreifbar zu machen.

Wie gehen Sie bei Ihren Kunden vor?

Wir legen den Grundstein mit der Log-Management-Lösung »LogApp« unserer Partnerfirma iQSol und hinterlegen darin ein individuell abgestimmtes Regelwerk. Dann lassen sich Alarmierungslösungen wie der ebenfalls von iQSol stammende »Alert Messaging Server« oder Firewalls wie die unseres Partners Fortinet integrieren. Es kommt häufig vor, dass auch die iQSol-Anwendung ­»PowerApp« gewünscht ist, um im Notfall in der Lage zu sein, wichtige Systeme und Prozesse geordnet herunter- und wieder hochzufahren und sensible Daten live in ein zweites Rechenzentrum zu migrieren. Einige Unternehmen greifen zusätzlich auf die Betreuung durch unser 24×7 Security Operation Center (SOC) zurück.

Sie tragen den Titel des »Certified OT Security Practioners« (COSP). Welche Vorteile hat die Zertifizierung für Ihre Kunden?

Die Zertifizierung weist nach, dass man ein mehrtägiges Training und eine Prüfung erfolgreich durchlaufen hat, dass man sich mit Operational Technologies, deren Standards und Technologien auskennt und Sicherheit in kritischen Umgebungen herstellen und wahren kann. Diesen Nachweis muss man nach einigen Jahren erneut erbringen. Für unsere Kunden ist das eine Bestätigung dafür, den richtigen OT-Partner zur Seite zu haben. wf