Die zunehmende Häufigkeit und Raffinesse erfolgreicher OT-Cyberangriffe ist ein Weckruf für alle Anlagenbetreiber, Steuerungstechniker, IT-Netzwerkbetreiber und Cybersicherheitsteams, sowohl in der IT (Information Technology) als auch in der OT (Operational Technology).
Tiefgreifende, aber schwache Verteidigungsmaßnahmen vom Netzwerkrand bis zum Rechenzentrum über die zunehmende Anzahl verwalteter und nicht verwalteter Geräte und Assets in den heutigen Produktions- und Versorgungsnetzwerken geben Angreifern die Oberhand, um Angriffe zu begehen. Der Schutz von Menschenleben, die Vermeidung von Umweltgefahren und die Minimierung von Unterbrechungen von Prozessen und Abläufen sind allesamt Aspekte, die beim Schutz vor den heutigen Cyber-Bedrohungen zu berücksichtigen sind. Um geschäftskritische OT proaktiv zu sichern, sollten Unternehmen bei der Planung ihrer Cybersicherheitsstrategien für das Jahr 2022 und darüber hinaus die folgenden Punkte berücksichtigen.
Nr. 1: Die Angriffsfläche wird größer
Mehrere Faktoren haben zur massiven Ausweitung der globalen Cyberangriffsfläche beigetragen. Die Entwicklung hin zu Industrie 4.0 mit ihrem Schwerpunkt auf Prozessautomatisierung und Datenerfassung und -austausch in Echtzeit spielt dabei eine überragende Rolle. Die bestehenden Umstände begünstigen eine Angriffswelle auf ICS-, OT-, IIoT- und IoT-Systeme, die nicht mehr proprietär, isoliert oder in abgeschirmten Netzwerken sind. Mit der IT/OT-Konvergenz vermischen sich vernetzte Steuerungssysteme nun mit IT-gebundenen Unternehmensnetzwerken, was zu zusätzlichen Sicherheitsrisiken durch die Kreuzkontamination des Datenverkehrs von LAN, WAN, Internet, Wi-Fi, Steuerungsnetzwerken und CIP-Protokollen führt.
Das Problem ist, dass in den meisten OT-Ökosystemen die Cybersicherheitshygiene begrenzt ist. Typische Sicherheitsmaßnahmen wie AV-, EDR-, SIEM-, SOAR- und SSO-Lösungen, einschließlich Authentifizierungs-, Autorisierungs- und Auditing-Dienste (AAA), sind nur von geringem Nutzen. Unternehmen müssen zum Schutz ihrer Assets effektive Taktiken, Techniken und Verfahren (TTPs) einführen, die speziell für OT entwickelt wurden. Und diese Bemühungen erfordern ein Umdenken bei den Sicherheitsgrundsätzen, die auf OT-Prioritäten basieren: Verfügbarkeit, Integrität, Vertraulichkeit.
Nr. 2: Ransomware als Cyberwaffe der Wahl
Ransomware gibt es zwar schon seit fast zwei Jahrzehnten, aber sie ist definitiv kein Schnee von gestern. Die Einfachheit der Ransomware-Dienste in Verbindung mit ihrem Rentabilitätspotenzial sowie die Etablierung der Fernarbeit während der COVID-19-Pandemie, hat Ransomware zu einer bevorzugten Waffe für Angreifer gemacht. Laut dem US-Finanzministerium stellen die Ransomware-Aktivitäten in den ersten sechs Monaten des Jahres 2021 mit 590 Millionen US-Dollar die Aktivitäten in Höhe von 416 Millionen US-Dollar im gesamten Jahr 2020 völlig in den Schatten.
Die Erkenntnisse aus dem Jahr 2021 zeigen, dass kriminelle Bedrohungsakteure maschinelles Lernen nutzen und sich auf den koordinierten Austausch von Exploits im Dark Web verlassen, um ihre Phishing-Exploits noch raffinierter zu gestalten. Die Entwicklung von Kryptowährungen hat die Situation noch verschlimmert, da Kriminelle nun digitale Auszahlungen leicht verstecken können, ohne dass ein Eingreifen der Strafverfolgungsbehörden zu befürchten ist.
Nr. 3: Die Vorschriften werden immer strenger
Als Reaktion auf die Umstellung von Unternehmen auf mehr Remote-Operationen während der Pandemie entwickeln sich die staatlichen Vorschriften rasch weiter. Diese Dynamik kann zu weiteren Herausforderungen für OT-Operationen führen. Die Regierung hat mit den Normenreihen ISA/IEC 62443, NERC CIP, NIST 800-53, ISO 270001, ISA/IEC 62443, TSA Pipeline, DHS CFATS und ISA S99 klare Richtlinien für die sichere Gestaltung und Risikobewertung aufgestellt. Alle diese Spezifikationen verweisen auf das standardisierte NIST Cyber Security Framework (CSF), das viele Unternehmen noch nicht übernommen haben.
Zur Abwehr von Cyber-Bedrohungen und zur Bewältigung der OT/IT-Konvergenz sollten die Eigentümer kritischer ICS-Infrastrukturen einen umfassenden Risikorahmen anwenden, der Standardkonzepte wie Security by Design, Defense-in-Depth und Zero Trust umfasst.