Aufgrund mangelnder Ressourcen müssen Cyberrisiken priorisiert werden. Das gilt insbesondere für die heterogenen Infrastrukturen der Industrie 4.0. Für eine effektive Risikobewertung als Grundlage für die Risikominimierung fehlt es aber gerade hier an der nötigen Transparenz und den passenden Prozessen.
Die Weichen sind längst auf Industrie 4.0 gestellt: Seit über zehn Jahren ist die digitale Transformation industrieller Betriebe im Gange und hat spätestens seit der Pandemie an Fahrt gewonnen. Dabei werden zunehmend auch solche Assets einbezogen, bei denen es noch vor kurzem undenkbar, nicht praktikabel oder zu unsicher erschien. Das Resultat ist eine enorme Bandbreite an vernetzten Systemen und Gräten, von Betriebstechnik (OT) über (I)IoT-Systeme wie Sensoren oder Überwachungskameras bis zur Gebäudetechnik.
Doch mit dieser Vernetzung zum erweiterten Internet der Dinge (XIoT) steigen auch die Cyber-Gefahren. Längst haben Cyberkriminelle und staatlich unterstützte Angreifer kritische Infrastrukturen und industrielle Anlagen als lohnende Ziele ausgemacht. Und das durchaus mit Erfolg, wie die Angriffe auf Wasserversorger in den USA und Israel sowie auf die Stromversorgung der Ukraine im Jahr 2015 zeigen.
Industrie 4.0: Sicherheit ist eine wesentlich größere Herausforderung
Verglichen mit der IT stehen industrielle Netzwerke vor wesentlich größeren Herausforderungen: Diese cyber-physischen Systeme sind komplex, umfassen verschiedenste Gerätetypen und unterschiedliche Protokolle und sind miteinander sowie mit dem Internet verbunden. Zudem lassen sie sich nicht so einfach patchen, da hier aufwändige und teure Prozesse unterbrochen werden müssen – oft mit ungewissem Ausgang.
Cyber-physische Systeme und die Vielzahl der ihnen zugrunde liegenden vernetzten Assets wurden in aller Regel nicht für den sicheren Betrieb in einer vernetzten Umgebung konzipiert. Gerade industrielle Anlagen weisen eine Laufzeit von mehreren Jahrzehnten auf, sodass sich noch geraume Zeit diese potenziell unsicheren Geräte in den Netzwerken befinden werden, bevor eine neue Generation von vernetzten Anlagen mit nativen, stärker integrierten Sicherheitsprozessen zur Verfügung steht.
Gleichzeitig ist die Gefahrenlage wesentlich ernster: Während kompromittierte IT-Netzwerke hohe finanzielle Schäden verursachen können, bedrohen Attacken auf cyber-physische Systeme unmittelbar Menschenleben und die Umwelt.
Vier Schritte zu Risikoreduzierung industrieller Anlagen
Transparenz schaffen: Der erste Schritt zur Umsetzung einer starken industriellen Cybersicherheitsstrategie besteht darin, Transparenz in das gesamte erweiterte Internet der Dinge (XIoT) zu erlangen. Ein umfassendes Inventar aller Anlagen in der kritischen Infrastrukturumgebung legt den Grundstein für die komplette Cybersecurity. Die Transparenz des gesamten Spektrums ist jedoch eine der größten Herausforderungen für Sicherheitsverantwortliche, da die Geräte in der Regel proprietäre Protokolle verwenden, die mit allgemeinen Sicherheitstools nicht kompatibel und so für diese „unsichtbar“ sind.
Zudem umfassen die Umgebungen häufig eine breite Palette neuer und älterer Geräte, die auf unterschiedliche Weise eingesetzt werden und kommunizieren. So ist jede XIoT-Umgebung einzigartig und enthält Besonderheiten, die bestimmte Erkennungsmethoden unwirksam machen. Deshalb ist es entscheidend, dass eine Inventarisierungslösung verschiedene Erkennungsmethoden bietet, die miteinander kombiniert werden können. Nur so lässt sich eine vollständige Transparenz erreichen.
Bestehende IT-Tools integrieren: Trotz der zunehmenden Integration von IT und OT (Betriebstechnik) werden die beiden Bereiche noch häufig getrennt voneinander gemanagt, insbesondere was die Sicherheit anbelangt. Herkömmliche IT-Sicherheitslösungen sind nicht für den Schutz von OT-Systemen geeignet. IT- und OT-Systeme haben sehr unterschiedliche Sicherheitsanforderungen und sind einzigartigen Cyber-Bedrohungen ausgesetzt. Daher sind spezielle Sicherheitskontrollen und die Zusammenarbeit zwischen IT- und OT-Cybersecurity-Teams erforderlich, um sicherzustellen, dass ihre Systeme vor Cyberbedrohungen geschützt sind. Zu diesem Zweck benötigen Unternehmen eine CPS-Sicherheitslösung, die sich in den bereits bestehenden Technologie-Stack integrieren lässt und es ermöglicht, die vorhandenen Tools und Arbeitsabläufe einfach von der IT auf die OT zu übertragen.
Sicheren Fernzugriff ermöglichen: Spätestens mit der Pandemie hat auch im industriellen Umfeld der Fernzugriff an Bedeutung gewonnen. Es werden immer mehr und auch neue Arten von Daten über die Cloud übertragen – von der Fernwartung bis zur Kommunikation zur Steuerung kompletter industrieller Prozesse. Herkömmliche, IT-zentrierte VPNs wurden allerdings nicht für diese komplexen Anwendungsfälle entwickelt. Sicherheitsteams benötigen deshalb eine speziell entwickelte Technologie, um die komplexen und vielfältigen Assets innerhalb des XIoT ihres Unternehmens zu schützen.
Effektives Schwachstellenmanagement einführen: Jedes System hat Schwachstellen. Auch industrielle Anlagen und cyber-physische Systeme weisen entsprechend Sicherheitslücken auf, die von Angreifern ausgenutzt werden können. Wenn das XIoT nicht angemessen abgesichert ist, kann es dazu führen, dass Angreifer Systeme kompromittieren und sich lateral in den Opfer-Netzwerken ausbreiten – mit verheerenden Folgen auf die Integrität von Produktionsprozessen.
Aufgrund der Einzigartigkeit von CPS- und kritischen Infrastrukturumgebungen ist es jedoch oft unmöglich oder zu komplex, alles zu patchen. Für ein wirksames Schwachstellenmanagement ist deshalb die Priorisierung von entscheidender Bedeutung. Nur weil eine Schwachstelle mit einem kritischen CVSS-Schweregrad in der Umgebung vorhanden ist, bedeutet das nicht unbedingt, dass sie für Angreifer zugänglich oder ausnutzbar ist, geschweige denn einen strategischen Wert für Cyberkriminelle darstellt. Entscheidend ist vielmehr das individuelle Risiko einer Umgebung. Durch intelligente Tools können die am stärksten gefährdeten Assets identifiziert und das effektive Risiko minimiert werden.
Die fortschreitende digitale Transformation zur Industrie 4.0 bietet enorme Möglichkeiten, die betriebliche Effizienz und Leistung zu steigern. Gleichzeitig werden hierdurch auch Technologieumgebungen geschaffen, die weitaus komplizierter zu sichern und zu verwalten sind als die „klassischen“ IT-zentrierten Netzwerke. Eines ist aber klar: Nur wenn die Sicherheit, sowohl im Sinne der Cybersecurity als auch der Betriebssicherheit (Safety), gewährleistet wird, kann der digitale Wandel der Industrie erfolgreich gestaltet werden.
Update: Claroty xDome |
xDome ist eine SaaS-basierte Cybersicherheitsplattform für cyber-physische Systeme, die die gesamten CPS-Sicherheitsprozesse für jedes Unternehmen unterstützt – unabhängig von der Art der eingesetzten cyber-physischen Systeme, ihrer aktuellen Reifephase oder ihrer Netzwerkarchitektur. Umfassende und tiefgreifende Asset-Erkennungsfunktionen. xDome bietet nicht nur die passive Überwachung, sondern auch weitere Methoden wie aktive Abfragen ohne lokal auszurollende Hardware. Auf diese Weise erhalten Sicherheitsverantwortliche eine effektive Bestandserfassung und profitieren gleichzeitig von der Einfachheit und Skalierbarkeit einer SaaS-Lösung. Quantifizierung des CPS-Risikos. Das neue Risiko-Framework von Claroty berücksichtigt eine Vielzahl von Faktoren, die das Risiko erhöhen, sowie kompensierende Maßnahmen, die das Risiko ausgleichen können. Das Framework ist bereits vorkonfiguriert, so dass auch Sicherheitsverantwortliche, die noch keine Erfahrung im Bereich der CPS-Sicherheit haben, ihre Risikolage sofort berechnen und priorisierte Maßnahmen zum Schutz des Betriebs ergreifen können. Unterstützung beim Schwachstellen- und Risikomanagement. xDome korreliert jede Anlage mit den Erkenntnissen der Forschungsabteilung von Claroty (Team82) sowie bekannter Schwachstellen. Dabei werden Sicherheitslücken auf der Grundlage von Ausnutzungswahrscheinlichkeit, Kritikalität der Assets und Auswirkungen priorisiert und gezielte Empfehlungen gegeben. Dadurch können Sicherheitsverantwortliche gezielt die Risiken adressieren, die Angreifer am ehesten für ihre Zwecke nutzen werden. Netzwerksegmentierung. Eine effektive Segmentierung ist für die Minimierung von Cyber- und Betriebsrisiken unerlässlich. xDome ermöglicht eine klare Definition von Segmentierungsrichtlinien, die automatisch und sicher in der bestehenden Infrastruktur durchgesetzt werden können. Erkennungs- und Reaktionsfähigkeiten. Mit xDome können Sicherheitsverantwortliche Angriffsvektoren schnell erkennen und beseitigen, erste Indikatoren bekannter und unbekannter Bedrohungen identifizieren und darauf reagieren sowie diese Funktionen in bestehende SOC-Tools und -Workflows integrieren. |