FacebookTwitterLinkedIn

10 Kontrollen zur Verbesserung der OT-Sicherheit

https://network-king.net/wp-content/uploads/2021/07/security95-769x414.jpg

Es wird erwartet, dass der Mensch bis 2025 das nächste Ziel von Cyberangriffen auf betriebliche Technologieumgebungen sein wird. Das mag wie eine Science-Fiction-Geschichte klingen – ist aber die Aussage eines aktuellen Berichts des Gartner-Instituts. Dabei geht es nicht nur darum, sich in Netzwerke zu hacken, Daten zu stehlen oder den Betrieb von Anlagen oder kritischen Infrastrukturen zum Erliegen zu bringen, wie es bei der Colonial Pipeline in den USA der Fall war. Es geht auch darum, durch Hackerangriffe Geräte, Anlagen und Prozesse in OT-Umgebungen in Waffen zu verwandeln, die Schaden anrichten oder Menschen töten.

„Diejenigen, die für das Sicherheits- und Risikomanagement in betrieblichen Einrichtungen verantwortlich sind, sollten sich mehr Gedanken über die realen Gefahren für Mensch und Umwelt machen – und nicht nur über Informationsdiebstahl”, sagt Wam Voster, Senior Research Director bei Gartner. „Gespräche mit Gartner-Kunden zeigen, dass sich Unternehmen in anlagenintensiven Branchen wie der Fertigungsindustrie und der Versorgungswirtschaft darum bemühen, angemessene Kontrollrahmen zu definieren.”

Mit der Entwicklung von OT-Umgebungen, intelligenten Gebäuden und Städten, vernetzten Autos und autonomen Fahrzeugen werden sich Vorfälle in der digitalen Welt viel stärker auf die physische Welt auswirken. Denn durch sie gibt es jetzt Risiken, Bedrohungen und Schwachstellen in einem zweiseitigen cyber-physischen Spektrum. Viele Unternehmen sind sich jedoch der sogenannten Cyber-Physical Systems (CPS), die bereits in ihren Umgebungen eingesetzt werden, nicht bewusst. Dies liegt entweder an älteren Lösungen, die von Nicht-IT-Teams an die Unternehmensnetzwerke angeschlossen wurden, oder an neuen Automatisierungs- und Modernisierungsmaßnahmen.

Gartner definiert CPS als Systeme zur Orchestrierung von Sensor-, Rechen-, Steuerungs-, Netzwerk- und Analyseaktionen, die mit der physischen Welt (einschließlich Menschen) interagieren. Dies sind Aktivitäten, die IT/OT und das Internet der Dinge (IoT) untermauern. Dabei umfassen Sicherheitsüberlegungen die Cyber- und die physische Welt.

Gartner prognostiziert, dass die finanziellen Auswirkungen von Angriffen auf CPS, die zu Todesfällen führen, bis 2023 mehr als 50 Milliarden US-Dollar erreichen werden. Natürlich ist der Wert eines Menschenlebens dabei unermesslich. Berücksichtigt man jedoch die Verluste in Form von Entschädigungen, Rechtsstreitigkeiten, Versicherungen, Bußgeldern und Rufschädigung, werden die Summen erheblich sein. Darüber hinaus warnt Gartner, dass die meisten CEOs wahrscheinlich persönlich für solche Vorfälle haftbar gemacht würden.

„Regulierungs- und Regierungsbehörden werden auf die steigende Zahl schwerwiegender Vorfälle, die auf CPS-Schutzversagen zurückzuführen sind, umgehend mit strengeren Regeln und Vorschriften reagieren”, kommentiert Katell Thielemann, Research Vice President bei Gartner. „In den USA haben das FBI, die NSA und die CISA bereits die Häufigkeit und Detailliertheit der Informationen über Bedrohungen kritischer Infrastrukturen erhöht. Bald werden CEOs nicht mehr auf Unwissenheit plädieren oder sich hinter Versicherungspolicen verschanzen können.”

Gartner empfiehlt einen Rahmen von zehn Kontrollen, um die Sicherheitslage zu verbessern und zu verhindern, dass Vorfälle in der digitalen Welt negative Auswirkungen auf die physische Welt haben.

  1. Rollen und Zuständigkeiten festlegen – Ernennen Sie für jede Einrichtung einen OT-Sicherheitsmanager, der für die Zuweisung und Dokumentation sicherheitsrelevanter Rollen und Zuständigkeiten für alle internen und externen Mitarbeiter verantwortlich ist.

  1. Schulung und Sensibilisierung fördern – Alle OT-Fachleute sollten über die erforderlichen Fähigkeiten verfügen und darin geschult werden, Sicherheitsrisiken zu erkennen, die häufigsten Angriffsvektoren zu identifizieren und zu wissen, was im Falle des Falles zu tun ist.

  1. Implementieren und testen Sie Reaktionen auf Vorfälle – Stellen Sie sicher, dass jede Einrichtung einen OT-spezifischen Prozess für das Management von Sicherheitsvorfällen mit vier Phasen implementiert und pflegt: Vorbereitung; Erkennung und Analyse; Eindämmung, Ausmerzung und Wiederherstellung; sowie Aktivitäten nach dem Vorfall.

  1. Sicherung, Wiederherstellung und Notfallwiederherstellung – Richten Sie angemessene Sicherungs-, Wiederherstellungs- und Notfallwiederherstellungsverfahren ein, z. B. für Brände und schwerwiegende Vorfälle.

  1. Verwaltung tragbarer Datenträger – Erstellen Sie eine Richtlinie, die sicherstellt, dass alle tragbaren Datenspeichermedien gescannt werden – unabhängig davon, ob sie einem internen Mitarbeiter oder einem Dritten gehören. Nur Medien, die als frei von bösartigem Code oder Schadsoftware eingestuft werden, dürfen an OT-Systeme angeschlossen werden.

  1. Asset-Inventar auf dem neuesten Stand halten – Es wird empfohlen, stets ein aktuelles Inventar aller OT-Geräte und -Software zu führen.

  1. Ordnungsgemäße Netztrennung – OT-Netze sollten sowohl intern als auch extern physisch und/oder logisch von allen anderen Netzen getrennt sein. Der gesamte Datenverkehr zwischen einem OT-Netz und einer anderen Partei sollte über eine sichere Gateway-Lösung laufen, z. B. über eine demilitarisierte Zone (DMZ).

  1. Aufzeichnungen sammeln und Echtzeit-Erkennung implementieren – Es sollten geeignete Richtlinien oder Verfahren für die automatische Aufzeichnung und Überprüfung tatsächlicher und potenzieller Sicherheitsereignisse eingesetzt werden. Diese sollten klare Aufbewahrungszeiten für Protokolle und Schutz vor Manipulationen oder unerwünschten Änderungen beinhalten.

  1. Implementierung eines sicheren Konfigurationsprozesses – Es sollte ein sicherer Konfigurationsprozess entwickelt, standardisiert und für alle anwendbaren Systeme in der OT-Umgebung eingesetzt werden.

  1. Formaler Patching-Prozess – Es sollte einen Prozess geben, um die Patches der Hersteller vor der Bereitstellung zu qualifizieren. Nach der Qualifizierung können Patches nur auf den entsprechenden Systemen in einer vordefinierten Häufigkeit bereitgestellt werden.

FacebookTwitterLinkedIn