Die Cybersicherheitshaltung im Allgemeinen und die digitale Sicherheit der Betriebstechnologie (OT) im Besonderen sind wichtige Maßstäbe für die Resilienz und operative Fähigkeit zur Geschäftskontinuität bei verschärfter Sicherheitslage.
In einer Welt, in der ständig neue Bedrohungen auftauchen und Schwachstellen identifiziert werden, müssen Unternehmen einen klaren Überblick über ihre betriebliche Sicherheitslage und einen realisierbaren Aktionsplan haben, um diese kontinuierlich zu verbessern. Security Posture Assessments (SPA) haben sich zu einem De-facto-Standard in der Branche entwickelt. Die Durchführung effektiver und effizienter regelmäßiger SPAs ist ein wichtiger erster Schritt, um die Reife und damit die Widerstandsfähigkeit des Unternehmens zu verbessern.
Otorio, Experte für OT-Sicherheit mit Hauptsitz in Israel und Österreich, erläutert:
Zentral ist dabei ein grundlegender Aspekt der OT-Sicherheit: der betrieblichen Sicherheitshaltung (Operational Security Posture). Es geht darum, die Grenzen aktueller Ansätze zu überprüfen und ein Rahmenwerk zur Verbesserung, Skalierung und Rationalisierung der digitalen Sicherheit und Cybersicherheitslage von OT-Umgebungen durch Bewertungen, Planung und Implementierung unter Verwendung eines kontinuierlichen risikobasierten Ansatzes zu skizzieren.
Was ist eine „Security Posture“?
Das National Institute of Standards and Technology (NIST) definiert „Security Posture“, also so etwas wie „Sicherheitshaltung“, „Sicherheitslage“ oder „Sicherheitsposition“, als „den Sicherheitsstatus der Netzwerke, Informationen und Systeme eines Unternehmens auf der Grundlage der vorhandenen Informationssicherheitsressourcen und -fähigkeiten, um die Verteidigung des Unternehmens zu verwalten und auf eine veränderte Situation zu reagieren“.
Es ist keine Überraschung, dass sich die Bewertung der digitalen OT-Sicherheit auf den „Posture“-Teil des Prozesses konzentrieren muss. In den meisten Fällen werden bei der Bewertung die Geschäftsressourcen eines Unternehmens untersucht, ohne die Gefährdungen und Sicherheitskontrollen wie die Segmentierung zu ermitteln. Wenn es jedoch um OT geht, kann jede Anlage oder jedes „System“ eine Vielzahl von „Subsystemen“ haben (jedes mit seiner eigenen IP-Adresse und seinem eigenen Software-Stack). Netzwerke erstrecken sich oft bis tief in die Lieferkette des Unternehmens, was die Messung der Sicherheitslage zu keiner einfachen Aufgabe macht.
Ein einheitliches Risikomodell führt zu einem besseren Verständnis der Bereitschaft eines Unternehmens, digitale OT- und Cybersicherheitsbedrohungen zu bewältigen. Industriestandard-Metriken in Kombination mit firmeneigenen Algorithmen und fundiertem Fachwissen kommen hierbei zum Einsatz, um die Grundlage für ein einfaches, aber robustes Risikomodell zu schaffen, das in verschiedenen Bewertungsszenarien eingesetzt werden kann.
Die Bühne ist bereitet: Vernetzte Produktionsbereiche sind eine wachsende Herausforderung
Heutzutage gibt es in der Branche einen beschleunigten Trend hin zu vernetzten Produktionsanlagen. Dies gilt insbesondere für dezentrale Abläufe und das Lieferkettenmanagement. Die Realität sieht jedoch so aus, dass ehemals abgeschottete Industrieumgebungen zunehmend digitalen Fehlkonfigurationen und Angreifern ausgesetzt sind.
Die Grenzen der aktuellen OT-Sicherheitsansätze
Laufende Assessments, also Bewertungen der digitalen Sicherheitslage in industriellen Steuerungssystemen sind von entscheidender Bedeutung, um auf Bedrohungen der Cybersicherheit vorbereitet zu sein und die meisten OT-Sicherheitsstandards (z. B. ISA/IEC 62443) zu erfüllen.
Der Bewertungsprozess berücksichtigt die Sicherheitsmaßnahmen und die potenziellen Wiederherstellungskosten für die digitalen Anlagegüter eines Unternehmens. Dieser Prozess umfasst auch eine Liste geeigneter Präventivmaßnahmen zur Stärkung der Cybersicherheitslage des Unternehmens. Zusammen stellen diese Bewertungskomponenten die Gesamtbetriebskosten (TCO) eines Unternehmens für industrielle Cybersicherheit dar.
Der Prozess muss so flexibel sein, dass die Sicherheitsteams bestimmte Schwachstellen leicht abschwächen können, ohne den Betrieb zu stören. Darüber hinaus beeinflusst eine unternehmensspezifische Richtlinie die Bewertung der Sicherheitslage, indem sie sich auf die Schwachstellenbewertung auswirkt und bestimmt, welche geschäftlichen Auswirkungen sie auf die Anlagegüter des Unternehmens hat. Dazu gehört die Bewertung von Faktoren wie Sicherheit, Zuverlässigkeit und Vertraulichkeit von Geschäftsgeheimnissen (Safety, Reliability, and Confidentiality of trade secrets, SRC).
Die herkömmliche Bewertung der Sicherheitslage führt jedoch in der Regel zu einer Vielzahl von Maßnahmen, die sich nur schwer nach Prioritäten ordnen und umsetzen lassen, wenn der Kontext fehlt. Aus diesem Grund wurden in den letzten Jahren risikobasierte Ansätze zur Minderung der Cybersicherheit eingeführt.