Mit der zunehmenden Vernetzung und Digitalisierung von Systemen entwickelt sich die Bedrohungslandschaft für die IT-IoT-OT-Sicherheit ständig weiter. Der Bedarf an robusten OT-Sicherheitspraktiken (Operational Technology / Betriebstechnologie) wird immer wichtiger, um die Risiken von Cyberbedrohungen zu mindern.
Cyber-Angriffe häufen sich und haben bereits vielerorts zu erheblichen Unterbrechungen des Geschäftsbetriebs, finanziellen Verlusten und Rufschädigung geführt. Daher sollte jedes Unternehmen und insbesondere OT-abhängige Unternehmen auf die möglichen Auswirkungen eines erfolgreichen Ransomware-Angriffs vorbereitet sein. Dies gilt umso mehr für Betreiber von kritischen Infrastrukturen wie Kraftwerken, Versorgungsunternehmen, Wasseraufbereitungsanlagen, Transportsystemen und Energieversorgern, ebenso wie für die Öl- und Gasindustrie, Fertigungsunternehmen oder intelligente Infrastrukturen. Unabhängig von der Branche ist es wichtig, sich der möglichen Folgen eines erfolgreichen Angriffs bewusst zu sein.
Daniel Bren, Mitbegründer und CEO von Otorio, erklärt einen notwendigen Ansatz der kontinuierlichen Sicherheitsbewertung der Operational Technology:
Ein solcher Angriff kann zu erheblichen Unterbrechungen, Produktivitätsverlusten, Beeinträchtigungen der öffentlichen Sicherheit sowie Schäden für die menschliche Gesundheit und die Umwelt führen. Auch die finanziellen Auswirkungen können aufgrund von Systemausfallzeiten, Produktivitätsverlusten und Kosten für die Wiederherstellung erheblich sein. Darüber hinaus kann ein Ransomware-Angriff den Ruf schädigen, einschließlich des Verlusts des Kundenvertrauens, und rechtliche und regulatorische Konsequenzen nach sich ziehen.
In den letzten Jahren gab es sowohl in den USA als auch in der EU erhebliche Fortschritte bei den regulatorischen Maßnahmen zur OT-Sicherheit. In den USA hat die CISA (Cybersecurity and Infrastructure Security Agency) Schritte zur Verbesserung der Cybersicherheit im Bereich der Betriebstechnik unternommen, einschließlich der Veröffentlichung mehrerer Richtlinien, Best Practices und spezifischer Sicherheitsstandards wie dem NIST Cybersecurity Framework. Darüber hinaus hat das US-Energieministerium neue Sicherheitsanforderungen für Stromversorgungsunternehmen und andere kritische Infrastrukturunternehmen angekündigt.
In der EU wurde 2016 die EU-Richtlinie über Netz- und Informationssysteme (NIS) verabschiedet.
Diese verpflichtet die Mitgliedstaaten, Maßnahmen zur Verbesserung der Cybersicherheit für Betreiber kritischer Infrastrukturen umzusetzen. Die Richtlinie gilt für Betreiber von wesentlichen Diensten in kritischen Sektoren wie Energie, Verkehr und anderen. Kürzlich wurden im Rahmen der NIS2 Aktualisierungen der bestehenden Richtlinie vorgeschlagen, darunter die Ausweitung des Geltungsbereichs auf zusätzliche Sektoren wie die verarbeitende Industrie und die Lebensmittelindustrie sowie die Einführung neuer Verpflichtungen für Anbieter digitaler Dienste.
Insgesamt haben sowohl die USA und Kanada als auch die EU bedeutende Schritte zur Verbesserung der OT-Sicherheit durch regulatorische Maßnahmen und die Entwicklung von Standards unternommen. Dies trägt der zunehmenden Bedrohung kritischer Infrastrukturen durch Cyberangriffe und der Notwendigkeit einer erhöhten Widerstandsfähigkeit und Bereitschaft Rechnung. Die Vorbereitung auf Ransomware kann Unternehmen dabei helfen, diese Compliance-Anforderungen zu erfüllen und mögliche rechtliche oder finanzielle Konsequenzen zu vermeiden.
Darüber hinaus kann dies für Unternehmen, die eine Cyberversicherung beantragen, sehr vorteilhaft sein. Sie zeigt den Versicherungsanbietern, dass die Kunden Schritte unternommen haben, um das Risiko eines Ransomware-Angriffs zu minimieren, und besser auf die Folgen eines solchen Angriffs vorbereitet sind. Dadurch können die Gesamtkosten des Angriffs gesenkt werden, was sich wiederum positiv auf den Versicherungsschutz und die Prämien auswirken kann.
Eine Bewertung der OT-Sicherheit trägt dazu bei, auf Ransomware vorbereitet zu sein, indem sie Schwachstellen in den OT-Systemen eines Unternehmens identifiziert und Strategien zur Abschwächung dieser Risiken entwickelt. Die Bewertung kann in die Entwicklung von Reaktionsplänen einfließen und dabei helfen, besser auf einen Angriff vorbereitet zu sein. Durch die Minderung von Schwachstellen können Unternehmen die Wahrscheinlichkeit eines erfolgreichen Ransomware-Angriffs verringern und die Auswirkungen minimieren, falls es dazu kommt. Die Durchführung einer Bewertung ist somit unerlässlich, um potenzielle Sicherheitsrisiken zu erkennen, Compliance-Anforderungen zu erfüllen, kritische Infrastrukturen zu schützen und die Geschäftskontinuität zu gewährleisten.
Mehr als eine einmalige Bewertung
Der OODA-Loop ist ein Entscheidungsmodell, der für „Observe, Orient, Decide, and Act“, also Beobachten, Orientieren, Entscheiden und Handeln steht. Er wird häufig in militärischen und geschäftlichen Kontexten verwendet, aber auch bei Sicherheitsbewertungen, um die Wirksamkeit des Bewertungsprozesses zu verbessern. Er ist ein wichtiges Rahmenwerk für die Entscheidungsfindung und das Handeln in komplexen und sich schnell verändernden Situationen.
Die OODA-Schleife ist im Bereich der Cybersicherheit besonders wichtig, da sie es ermöglicht, schneller und effektiver auf Bedrohungen zu reagieren. Auf der Grundlage des OODA-Frameworks sollte ein Bericht zur OT-Sicherheitsbewertung aus mehreren Gründen nicht als einmalige Aktivität betrachtet werden:
- OT-Systeme verändern sich ständig und entwickeln sich weiter.
- Es tauchen ständig neue Bedrohungen auf.
- Interne Richtlinien und neue Compliance-Anforderungen werden eingeführt.
Zusammenfassend lässt sich sagen, dass die Bewertung der Cybersicherheit keine einmalige Aktivität ist, sondern eher eine Momentaufnahme der Sicherheitslage des Unternehmens zu einem bestimmten Zeitpunkt. Es ist wichtig, einen entsprechenden Bewertungsbericht als ein lebendiges Dokument zu betrachten und die Sicherheitslage auf der Grundlage der ermittelten Risiken und Empfehlungen kontinuierlich zu überwachen und zu aktualisieren. Nach der Durchführung einer Sicherheitsbewertung gilt es mehrere Maßnahmen zu ergreifen, um sicherzustellen, dass das Unternehmen angemessen vor Bedrohungen geschützt ist.
- Risiken priorisieren
Der Bericht zur Bewertung der Cybersicherheit wird wahrscheinlich mehrere Risiken für das Unternehmen aufzeigen. Eine Priorisierung dieser Risiken auf der Grundlage ihrer potenziellen Auswirkungen und der Wahrscheinlichkeit ihres Auftretens ist wichtig, um zu bestimmen, welche Risiken zuerst angegangen werden sollten. Dies kann helfen, Ressourcen zuzuweisen und sich auf die kritischsten Risiken zu konzentrieren.
- Einen Aktionsplan entwickeln
Auf der Grundlage der im Bericht nach Prioritäten geordneten Risiken sollten Unternehmen einen umfassenden Aktionsplan entwickeln, in dem die Schritte beschrieben werden, die sie zur Behebung dieser Risiken umsetzen werden. Dieser Plan sollte spezifische Maßnahmen, Zeitpläne und verantwortliche Parteien enthalten.
- Implementierung von Kontrollen
Die Umsetzung der im Bericht empfohlenen Kontrollen ist entscheidend für die Minderung der festgestellten Risiken. Diese Kontrollen können technische Lösungen wie Firewalls, Intrusion-Detection-Systeme und Antivirensoftware sowie Verfahrenskontrollen wie Mitarbeiterschulungen, Zugangskontrollen und die Planung der Reaktion auf Vorfälle (Incident Response) umfassen.
- Überwachen und Testen
Kontinuierliche Überwachung und Tests sind unerlässlich, um sicherzustellen, dass die implementierten Kontrollen korrekt funktionieren und um neue Schwachstellen oder Bedrohungen zu erkennen. Die regelmäßige Überprüfung und Aktualisierung der umgesetzten Sicherheitsrichtlinien und -verfahren kann dazu beitragen, dass die Sicherheitslage des Unternehmens aktuell und effektiv bleibt.
Bei der Durchführung einer OT-Sicherheitsbewertung gibt es einige Herausforderungen:
- Manuelle Bewertungen
Die Durchführung einer manuellen Bewertung kann mehrere Nachteile mit sich bringen. So ist sie aufgrund der Komplexität von OT-Systemen und ihrer zahlreichen Komponenten und Konfigurationen zeitaufwändig. Die Bewertung ist möglicherweise unvollständig, da die Prüfer möglicherweise nicht über das Wissen oder die Erfahrung verfügen, um alle potenziellen Angriffsvektoren oder Schwachstellen zu identifizieren. Sie kann zu uneinheitlichen Ergebnissen führen, da verschiedene Prüfer möglicherweise unterschiedliche Methoden anwenden oder über ein unterschiedliches Maß an Fachwissen verfügen. Es ist zudem schwierig, Veränderungen im Laufe der Zeit nachzuvollziehen, insbesondere wenn die Bewertung nicht angemessen dokumentiert ist oder wenn das System zwischen den Bewertungen Änderungen unterzogen wird. Dies kann die Ermittlung von Trends oder Fortschritten bei der Verbesserung der Sicherheitslage des Systems erschweren.
- Fehlende Standardisierung
Eine der Herausforderungen bei der Durchführung einer OT-Sicherheitsbewertung ist der Mangel an Standardisierung in der OT-Umgebung. Im Gegensatz zu IT-Systemen, für die es etablierte Standards und Protokolle gibt, sind OT-Systeme oft einzigartig für jedes Unternehmen, was die Entwicklung standardisierter Bewertungsmethoden erschwert.
- Komplexität von OT-Systemen
Eine weitere Herausforderung ist die Komplexität von OT-Systemen. OT-Systeme setzen sich oft aus vielen verschiedenen Komponenten zusammen, darunter Hardware, Software und Netzwerkgeräte. Diese Komponenten haben oft unterschiedliche Sicherheitsniveaus und erfordern spezielle Kenntnisse, um sie richtig zu bewerten. Darüber hinaus sind OT-Systeme oft mit anderen Systemen, wie z. B. IT-Systemen, verbunden, was die Ermittlung und Isolierung von Sicherheitsrisiken erschweren kann.
- Mangelnde Sichtbarkeit
OT-Systeme sind oft über mehrere Standorte verteilt und mit verschiedenen Netzwerken verbunden, was es schwierig macht, einen umfassenden Überblick über das System zu erhalten. Dieser Mangel an Sichtbarkeit kann es schwierig machen, potenzielle Sicherheitsbedrohungen zu erkennen und das Risikoniveau des Systems genau zu bewerten. OT-Systemen fehlt es außerdem oft an den erforderlichen Protokollierungs- und Überwachungsfunktionen, was die Erkennung und Reaktion auf Sicherheitsvorfälle erschwert.
- Fachkräftemangel
Eine weitere Herausforderung bei der Durchführung einer OT-Sicherheitsbewertung ist der Mangel an qualifizierten Sicherheitsexperten mit Spezialkenntnissen in OT-Sicherheit. OT-Systeme erfordern andere Fähigkeiten als IT-Systeme, und viele Cybersicherheitsexperten verfügen nicht über das notwendige Fachwissen, um OT-Systeme richtig zu bewerten. Der Mangel an qualifizierten Fachkräften kann es für Unternehmen schwierig machen, das richtige Personal für eine OT-Sicherheitsbewertung zu finden.
Automatisiertes natives OT-Bewertungstool als effiziente Lösung
Eine automatisierte Plattform für die OT-Sicherheitsbewertung hilft in mehrfacher Hinsicht bei der Überwindung dieser Herausforderungen:
- Kontinuierliche Überwachung und Bewertung
Eine entsprechende Plattform kann die OT-Systeme eines Unternehmens kontinuierlich überwachen und bewerten und so in Echtzeit Einblick in potenzielle Risiken und Schwachstellen geben. Diese kontinuierliche Überwachung und Bewertung sorgt dafür, sich nicht auf einmalige Bewertungen verlassen zu müssen. Unternehmen bleiben über ihre Sicherheitslage auf dem Laufenden und können proaktiv alle Änderungen oder neuen Risiken erkennen, sobald sie auftreten. Die Plattform lässt sich so skalieren, dass auch große und komplexe OT-Systeme problemlos bewertet werden können.
- Konsistente und standardisierte Bewertungen
Eine automatisierte Plattform für die OT-Sicherheitsbewertung liefert konsistente und standardisierte Bewertungen für alle OT-Systeme. Sie stellt somit sicher, dass alle potenziellen Risiken und Schwachstellen einheitlich identifiziert und bewertet werden. Dienstleister können darauf vertrauen, dass die Bewertungsergebnisse zuverlässig und für alle Systeme einheitlich sind. Die Erkenntnisse helfen Dienstleistern, datengestützte Entscheidungen auf der Grundlage von Echtzeiterkenntnissen zu treffen, um Prioritäten für Abhilfemaßnahmen zu setzen.
- Langfristige Wertschöpfung
Eine automatisierte Plattform für die OT-Sicherheitsbewertung bietet eine kontinuierliche Überwachung und Bewertung, einheitliche und standardisierte Bewertungen, Skalierbarkeit und datengestützte Erkenntnisse. Mit diesen Vorteilen können Dienstleister nicht nur sicherstellen, dass die OT-Systeme ihrer Kunden langfristig sicher und widerstandsfähig bleiben, sondern auch die Investitionsrendite (ROI) ihrer bestehenden Sicherheitskontrollen, Personalressourcen und betrieblichen Sicherheitsprozesse optimieren.