Über Jahrzehnte hinweg wurden Systeme innerhalb der Informationstechnologie (IT) getrennt von denen der operativen Technologie (OT) in voneinander unabhängigen Netzwerken betrieben. Mit unterschiedlichen Komponenten und unterschiedlichen Zielen. In dieser Serie stellen sich mehrere Security-Experten denselben Fragen.
Während IT-Systeme für Berechnungen verwendet werden, die dazu dienen Informationen zu verarbeiten, hat die operative Technologie eine andere Aufgabe. Mit ihrer Hilfe werden physikalische Prozesse, Umgebungen, Ereignisse und Vorkommnisse in einem Unternehmen überwacht. Allerdings haben die jüngsten Entwicklungen dazu geführt, dass diese zuvor getrennten Umgebungen verschmelzen. Dazu gehören eine zunehmende Automatisierung und Verbesserungen innerhalb von Produktionsanlagen und kritischen Infrastrukturen.
Diese Entwicklung hat allerdings auch unerwünschte Nebenwirkungen. Je mehr die OT über neue intelligente Geräte vernetzt ist, desto mehr sind industrielle Systeme komplett neuen Sicherheitsrisiken ausgesetzt. Drahtlose Geräte sorgen für bequemere Vernetzung und mehr Produktivität, aber sie können auch zur Zielscheibe von Cyberangriffen werden. Cyberkriminelle nutzen die zwischen IT und OT entstandene Sicherheitslücke für sich aus.
Ein Gespräch mit Jonathan Knudsen, Senior Security Strategist bei der Synopsys Software Integrity Group.
1) Wie geht der Fertigungssektor mit der wachsenden Zahl von Cyberbedrohungen um und inwieweit bereitet sich die Branche insgesamt angemessen vor?
Zumeist haben Industrieunternehmen mit denselben Herausforderungen und Risiken hinsichtlich der benutzten Software zu kämpfen wie jedes andere Unternehmen auch. Jede Software, die Sie kaufen und benutzen birgt Risiken. Wie soll man einschätzen, ob das Risiko akzeptabel ist oder nicht? Wie soll man Cybersicherheitsrisiken unterschiedlicher Produkte miteinander vergleichen? Historisch betrachtet mussten Industrieunternehmen darauf vertrauen, dass die verwendete Software angemessen sicher war. Das heißt, sich auf Anbieter zu verlassen, die einen Secure Development Life Cycle (SDLC) mittels automatisierter Tools gewährleisten. Ziel dieses Prozesses ist es, so viele Schwachstellen wie möglich zu finden und zu beheben, bevor das Produkt auf den Markt kommt, um die Risiken so gering wie möglich zu halten. In der Fertigungsindustrie kommen aber einige spezielle Herausforderungen dazu. Einerseits überwacht eine Software in einem industriellen Netzwerk meist physische Prozesse. Software-Schwachstellen verursachen unter Umständen physische Schäden. Auf der anderen Seite ist die lange Lebensdauer von industriellen Komponenten und Systemen komplett gegenläufig zu den schnellen und häufigen Update-Zyklen wie sie bei Software üblich sind.
2) Von welchen Auswirkungen ist auszugehen, wenn die Branche die Bedrohungslage unterschätzt? Was kann schlimmstenfalls passieren?
Man braucht sich nur die jüngsten Schlagzeilen ansehen, wenn man wissen will, was passiert, wenn es jemandem nicht gelungen ist Cybersicherheit ausreichend zu adressieren. Jedes Unternehmen nutzt Software. Folglich kann auch jedes von ihnen Opfer eines Cyberangriffs werden. Gerade für Industrieunternehmen sind die Folgen erfolgreicher Attacken so vielfältig wie schwerwiegend. Dazu zählen der Diebstahl geistigen Eigentums und sensibler geschäftlicher Informationen ebenso wie physische Schäden an Anlagen und Ausrüstung, Produktionsausfälle und Systeme, die durch Ransomware lahmgelegt werden. Selbst so schwerwiegende Folgen wie Verletzungen und Todesfälle unter der Belegschaft sind nicht auszuschließen.
3) Gibt es so etwas wie eine „technologische Sicherheitsdecke“ gegen Cyberbedrohungen? Was sollten Hersteller praktisch tun, um sich besser zu schützen?
Die magische technologische Sicherheitsdecke existiert leider nicht. Wenn man Sicherheitsrisiken effektiv managen will, ist es wie bei vielen anderen Dingen auch. Man muss einiges an Arbeit hineinstecken, und man muss die Art und Weise verändern, in der man bisher vorgegangen ist. Für Industrieunternehmen gilt analog, was für jedes andere Unternehmen auch zutrifft. Die Basis ist eine fundierte und vom Management getragene Sicherheitsinitiative deren Aufgabe es ist die Sicherheitskultur im gesamten Unternehmen zu kommunizieren und zu verankern. Systeme und Netzwerke sollten bei jedem Entwicklungsschritt so konzipiert werden, dass Sicherheit immer Bestandteil der Entwicklung ist. Bei der Beschaffung von Anlagen, Ausrüstung und Software sollte man die potenziellen Sicherheitsrisiken gründlich prüfen, und dazu sollte man etwas von sicheren Softwareentwicklungszyklen verstehen. Nur dann sind Sie in der Lage, den Anbietern prägnante Fragen zu stellen und die Antworten einzuordnen. Man kann noch einen Schritt weiter gehen und eine eigene Risikobewertung erheben. Etwa mithilfe von Software Composition Analysis (SCA) Tools oder Penetrationstests.
Inwieweit haben technologische Fortschritte und Automatisierung dazu beigetragen, blinde Flecken im Cyberspace zu finden? Wird die Zukunft durch Automatisierung und KI sicherer?
Sicherheit ist kein Technologieproblem, Sicherheit ist ein Prozessproblem. Automatisierte Tools helfen bei der Jagd auf Software-Schwachstellen. Sie sind allerdings nutzlos, wenn sie nicht im Rahmen eines übergreifenden Risiko-Management-Prozesses zum Einsatz kommen. Umsichtige Industrieunternehmen werden eigene Assessments anwenden, bevor sie neue Systeme oder Software-Pakete ausbringen. Aber man sollte die Anbieter ermutigen, gründliche und umfassende Sicherheitstests während des gesamten Entwicklungszyklus einer Software durchzuführen. Automatisierte Tools analysieren den Quellcode und die Zusammensetzung der Software, sie bewerten die Sicherheit von Software-Produkten mit Fuzz-Testing, mit interaktiven und mit dynamischen Testmethoden. Zukünftige Neuerungen werden sich in genau dieses Rahmenwerk eines sicheren Entwicklungslebenszyklus einer Software einfügen. Impulse werden vermutlich auch von künstlicher Intelligenz ausgehen.
www.synopsys.com
Lesen Sie auch die anderen Beiträge dieser Serie:
Teil 1: Ein Gespräch mit Sam Curry, Chief Security Officer Cybereason.
Teil 2: Ein Gespräch mit Jonathan Knudsen, Senior Security Strategist bei der Synopsys Software Integrity Group.