Um die gesamte Bedrohungsfläche lückenlos abzudecken, ist ein Masterplan für die OT-Cybersicherheit nötig. Dieser sollte die folgenden Elemente umfassen:
- Bereitstellung von OT-Cybersicherheitsschulungen: Fachleute gilt es mit Fähigkeiten auszustatten, um Cyberangriffe auf ICS-Einrichtungen zu bewältigen.
- Threat Intelligence Sharing, also der regelmäßige Austausch von Daten zu einzelnen Bedrohungen: Je mehr Zusammenarbeit stattfindet, desto schneller lassen sich Bedrohungen erkennen, bevor sie Schaden verursachen. Beim Threat Intelligence Sharing müssen keine sensiblen Informationen aufs Spiel gesetzt werden. Stattdessen konzentrieren sich die Anstrengungen auf das Teilen von Kompromittierungsindikatoren (IOCs) und cyberkriminellen Profilen, was hilft, Risiken zu priorisieren.
- Umsetzung staatlicher Verordnungen wie BSI-KritisV: Von großer Bedeutung für Versorgungsunternehmen ist die am 3. Mai 2016 in Kraft getretene BSI-Kritis-Verordnung (BSI-KritisV) zur Bestimmung kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung und Informationstechnik und Telekommunikation (IKT). Wenn jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig sind, fällt die jeweilige Anlage unter die Meldepflicht. Die BSI-KritisV beschreibt, welche Anlagen in den jeweiligen Sektoren als kritisch gelten und fordert von den jeweiligen Betreibern einen Nachweis über den Schutz ihrer Informationstechnik.
- „Security by Design“ bei der Evaluierung neuer OT- und IT-Systeme berücksichtigen: Bevorzugt werden sollten OT-Gerätehersteller und Serviceprovider, bei denen Cybersicherheitsmaßnahmen bereits in der Entwicklungsphase implementiert wurden.
Best Practices für die Implementierung von OT-Sicherheit
Der Masterplan für OT-Cybersicherheit zeigt auf, dass OT-Cybersicherheit nicht nur technische Fragen, sondern auch Menschen und Prozesse betrifft.
Innerhalb eines Unternehmens sollte ein effektives OT/IT-Sicherheitsprogramm sowohl risikobasiert sein als auch Prioritäten setzen und sich auf Schwachstellen konzentrieren, die ein hohes Risiko haben, ausgenutzt zu werden. Eine risikobasierte Priorisierung spart Zeit und Ressourcen, um sich auf kritische Bereiche zu konzentrieren. Dies erfordert, dass ein Versorgungsunternehmen versteht, wo es gefährdet ist, indem es einige der zuvor beschriebenen technischen Maßnahmen anwendet. Sicherheitsverantwortliche können dann spezifische Schwachstellen aufschlüsseln und Kontrollmaßnahmen auswählen, um die Risiken am effektivsten zu reduzieren. Ein ausgereiftes und effektives Programm für das Schwachstellenmanagement dient dazu, Schwachstellen zu sichten, zu validieren und zu priorisieren. Es trägt vor allem dazu bei, den Kontext dieser Risiken zu verstehen.
Eine Studie von McKinsey Consulting aus dem Jahr 2019 kommt zu dem Ergebnis, dass ein risikobasiertes Schwachstellenmanagement das Risiko reduziert, „indem die geeigneten Kontrollen für die kritischsten Schwachstellen aufgebaut werden, um die wichtigsten Bedrohungen abzuwehren – diejenigen, die auf die kritischsten Bereiche des Unternehmens abzielen. [Dieser] Ansatz ermöglicht sowohl strategische als auch pragmatische Aktivitäten zur Reduzierung von Cyberrisiken. Unternehmen haben bereits den risikobasierten Ansatz genutzt, um ihre prognostizierte Risikoreduzierung um das 7,5-Fache über das ursprüngliche [Sicherheits-]Programm hinaus zu steigern – und das ohne zusätzliche Kosten.“
„Beim risikobasierten Schwachstellenmanagement lautet die Frage nicht: „Wie schützen wir uns vor all diesen Schwachstellen und beseitigen sie?“, sondern „Welche Schwachstellen stellen das größte Risiko dar?“. Ein effektives Schwachstellenmanagement ist in der Lage, die Kosten und den Arbeitsaufwand erheblich zu reduzieren und gleichzeitig die Cybersicherheit zu verbessern“, fasst Adam Palmer von Tenable abschließend zusammen.
www.tenable.com