10 Schritte, um die Sicherheit von kritischen Infrastrukturen zu verbessern

Die Sicherheit kritischer Infrastrukturen ist für Regierungen auf der ganzen Welt, insbesondere in den USA und den EU-Ländern, zu einem Hauptanliegen geworden. Und das aus gutem Grund: Laut Gartner-Prognosen werden bis 2025 30 % der Organisationen mit kritischen Infrastrukturen von Cyberangriffen betroffen sein, die zur Unterbrechung unternehmenskritischer Systeme sowie deren Prozessen führen wird.

„Regierungen erkennen, dass ihre nationalen kritischen Infrastrukturen ein nicht deklariertes Schlachtfeld sind“, sagt Ruggero Contu, Forschungsdirektor bei Gartner. „Sie ergreifen jetzt Maßnahmen, um mehr Sicherheitskontrollen in den Systemen zu fordern, die diesen Anlagen zugrunde liegen.“

Eine Studie des Beratungsunternehmens, bei der 401 OT-Experten befragt wurden, ergab, dass 38 % von ihnen eine Erhöhung der Sicherheitsausgaben um 5 bis 10 % im Jahr 2021 erwarten, wobei weitere 8 % der Befragten einen Anstieg von über 10 % vorhersagen.

Im Laufe dieses Jahres haben sich die Angriffe auf Betriebstechnologien weiterentwickelt: von der unmittelbaren Unterbrechung von Prozessen (z. B. dem Herunterfahren einer Fabrik) hin zur Manipulation der Integrität von Industrieumgebungen mit der Absicht, physischen Schaden anzurichten. Jüngste Ereignisse, wie der Ransomware-Angriff auf Colonial Pipeline, haben die Notwendigkeit einer angemessenen Segmentierung von IT- und OT-Netzwerken deutlich gemacht.

Mit der Weiterentwicklung von OT, intelligenten Gebäuden und Städten, vernetzten Autos sowie autonomen Fahrzeugen werden sich künftige Vorfälle in digitalen Umgebungen viel stärker auf die physische Welt auswirken, denn Risiken, Bedrohungen und Schwachstellen bestehen nun auf zwei Seiten: auf der Cyber-Ebene und in der physischen Welt. Viele Unternehmen sind sich jedoch nicht bewusst, dass CPS bereits in ihren Organisationen eingesetzt werden – entweder durch Altsysteme, die durch Teams außerhalb der IT-Abteilung mit den Unternehmensnetzwerken verbunden sind, oder aufgrund neuer, geschäftsorientierter Automatisierungs- und Modernisierungsmaßnahmen.

Die Unternehmensberatung definiert CPS als Systeme, die für die Orchestrierung von Sensorik, Datenverarbeitung, Steuerung, Vernetzung und Analyse zur Interaktion mit der physischen Welt (einschließlich des Menschen) konzipiert sind. Sie bilden die Grundlage für alle Bemühungen um vernetzte IT, Betriebstechnologie (OT) und das Internet der Dinge (IoT), deren Sicherheitsüberlegungen die Cyber-Umgebung sowie die physische Welt umfassen – z. B. bei anlagenintensiven, kritischen Infrastrukturen und klinischen Gesundheitsumgebungen.

Aufgrund der Beschaffenheit der cyber-physischen Systeme (CPS) können Zwischenfälle schnell zu körperlichen Schäden an Menschen, zur Zerstörung von Eigentum oder zu Umweltkatastrophen führen. Nach Berechnungen der Beratungsfirma werden sich die finanziellen Auswirkungen von CPS-Angriffen mit Todesfolge bis 2023 auf mehr als 50 Milliarden US-Dollar belaufen. Selbst wenn man den Wert von Menschenleben außer Acht lässt, werden die Kosten für Entschädigungen, Rechtsstreitigkeiten, Versicherungen, Bußgelder und Reputationsverluste für Unternehmen erheblich sein.

In den Vereinigten Staaten haben das FBI, die NSA und CISA bereits die Häufigkeit und die Details von Bedrohungen kritischer infrastrukturbezogener Systeme, von denen die meisten im Besitz der Industrie sind, erhöht. Bald werden CEOs nicht mehr auf Unwissenheit plädieren oder sich hinter Versicherungspolicen verstecken können.

Was ist zu tun?

Laut Gartner haben Sicherheitsvorfälle in OT und anderen cyber-physischen Systemen (CPS) drei Hauptmotivationen: tatsächlicher Schaden, kommerzieller Vandalismus (Produktionseinbußen) und Reputationsvandalismus (einen Hersteller unglaubwürdig oder unzuverlässig machen).

Die Unternehmensberatung empfiehlt, dass Firmen diese 10 Sicherheitskontrollen einführen, um die Sicherheitslage in ihren Räumlichkeiten zu verbessern und zu verhindern, dass Vorfälle auf digitaler Ebene negative Auswirkungen auf die physische Welt haben.

1. Festlegung von Rollen und Verantwortlichkeiten

Ernennung eines OT-Sicherheitsmanagers für jede Einrichtung, der für die Zuweisung und Dokumentation von Rollen und Zuständigkeiten im Zusammenhang mit der Sicherheit aller Mitarbeiter, leitenden Angestellten und Dritten verantwortlich ist.

2. Sicherstellung einer angemessenen Ausbildung und Sensibilisierung

Alle OT-Mitarbeiter sollten über die für ihre Aufgaben erforderlichen Fähigkeiten verfügen. Die Mitarbeiter jeder Einrichtung sind darin zu schulen, Sicherheitsrisiken sowie die häufigsten Angriffsvektoren zu erkennen und zu wissen, was im Falle eines Sicherheitsvorfalls zu tun ist.

3. Implementieren und Testen der Reaktion auf Vorfälle

Stellen Sie sicher, dass jede Einrichtung einen OT-spezifischen Prozess für das Management von Sicherheitsvorfällen einführt und aufrechterhält. Dieser umfasst folgende Phasen: Vorbereitung, Erkennung und Analyse, Eindämmung, Beseitigung und Wiederherstellung sowie Maßnahmen nach einem Vorfall.

4. Sicherung, Wiederherstellung und Notfallwiederherstellung

Stellen Sie sicher, dass geeignete Sicherungs-, Wiederherstellungs- und Notfallwiederherstellungsverfahren vorhanden sind. Um die Auswirkungen physischer Ereignisse, wie z. B. eines Brandes, zu begrenzen, sollten Sicherungsmedien nicht am selben Ort wie das Sicherungssystem gelagert werden. Die Informationsträger müssen auch vor unbefugter Offenlegung oder Missbrauch geschützt werden. Um schwerwiegende Vorfälle zu überstehen, muss es möglich sein, das Backup auf einem neuen System oder einer virtuellen Maschine wiederherzustellen.

5. Verwaltung tragbarer Medien

Erstellen Sie eine Richtlinie, die sicherstellt, dass alle tragbaren Datenspeichermedien wie USB-Sticks und mobile Computer gescannt werden – unabhängig davon, ob ein Gerät einem internen Mitarbeiter oder externen Parteien, wie Subunternehmern oder Vertretern von Geräteherstellern, gehört. Nur Medien, die frei von schädlichen Codes oder Schadsoftware sind, dürfen mit dem OT verbunden werden.

6. Führen Sie ein aktuelles Anlageninventar

Der Sicherheitsbeauftragte muss ein ständig aktualisiertes Inventar aller OT-Geräte und -Software führen.

7. Ordnungsgemäße Netzwerktrennung einrichten

OT-Netze müssen physisch und/oder logisch von allen anderen Netzen getrennt sein – sowohl intern als auch extern. Der gesamte Netzwerkverkehr zwischen einem OT und einem anderen Teil des Netzwerks muss über eine sichere Gateway-Lösung wie eine demilitarisierte Zone (DMZ) laufen. Interaktive Sitzungen zum OT müssen sich am Gateway mit einer mehrstufigen Authentifizierung anmelden.

8. Protokolle sammeln und Echtzeit-Erkennung implementieren

Es müssen geeignete Richtlinien oder Verfahren für die automatische Protokollierung und Überprüfung potenzieller sowie tatsächlicher Sicherheitsereignisse vorhanden sein. Diese sollten klare Aufbewahrungsfristen für die zu hinterlegenden Sicherheitsprotokolle und einen Schutz vor Manipulationen oder unerwünschten Änderungen beinhalten.

9. Implementierung eines sicheren Konfigurationsprozesses

Für alle anwendbaren Systeme wie Endgeräte, Server, Netzwerkgeräte und Feldgeräte müssen sichere Konfigurationen entwickelt, standardisiert und eingesetzt werden. Endpunkt-Sicherheitssoftware wie Anti-Malware muss auf allen Komponenten in der OT-Umgebung, die sie unterstützen, installiert und aktiviert werden.

10. Formaler Patching-Prozess

Implementieren Sie einen Prozess, um Patches von den Geräteherstellern qualifizieren zu lassen, bevor sie eingesetzt werden. Sobald die Patches qualifiziert sind, können sie nur auf den entsprechenden Systemen in einer vorgegebenen Häufigkeit installiert werden.

„Sicherheits- und Risikomanagement-Verantwortliche sollten sich verstärkt darum bemühen, die Sicherheitslage aller cyber-physischen Systeme in ihrer Umgebung zu ermitteln, zu erfassen und zu bewerten“, warnt Contu. „Außerdem sollten sie in Bedrohungsaufklärung investieren und aktiver in Branchengruppen mitarbeiten, um über bewährte Sicherheitspraktiken, künftige Vorschriften und Anfragen von Regierungsstellen informiert zu bleiben.“