Traditionelle präventive Ansätze für IT-Sicherheit gehören der Vergangenheit an, stattdessen werden sich Incident Response Pläne für industrielle Umgebungen durchsetzen. Fünf Maßnahmen härten die Verteidigung ab.
Der Umgang mit Cyberrisiken in der Betriebstechnologie (Operational Technology/OT) kann schwierig sein. Das gilt gerade für Betreiber kritischer Infrastrukturen, die keine ausreichende Transparenz ihrer Assets und kein effektives Schwachstellenmanagement haben, argumentiert der Security Spezialist Dragos. In diesem Jahr kommt als weitere Herausforderung die NIS-2-Richtlinie hinzu: der erste EU-weite Rechtsakt zur Cybersicherheit, der bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss.
Viele Unternehmen stehen nun vor der Frage, welche Maßnahmen sie zur Vorbereitung auf NIS2 und für mehr Cybersicherheit umsetzen sollen. Zu diesem Zweck hat das SANS-Institut fünf Maßnahmen für die Cybersicherheit von Operational Technology in der Industrie identifiziert. Unternehmen schaffen mit deren Hilfe eine Grundlage für ihren Schutz und können sich gleichzeitig auf die kommenden Anforderungen der NIS2-Richtlinie vorbereiten.
1. Incident Response Plan
Im Rahmen der NIS2-Anforderungen für den Umgang mit Zwischenfällen muss ein konkreter Plan mit den richtigen Ansprechpartnern erstellt werden. Welche Mitarbeiter verfügen in welchem Asset über welche Fähigkeiten und welche nächsten Schritte für Szenarien sind an welchen Standorten geplant? Dafür sollten zuerst verantwortliche Parteien, Benachrichtigungen und Eskalationsrichtlinien festgelegt und anschließend die Incident Response Pläne mit Tabletop-Übungen getestet und kontinuierlich verbessert werden.
2. Verteidigungsfähige Architektur
Die NIS-2-Richtlinie fordert Strategien und Verfahren zur Beurteilung von Cybersicherheits-Maßnahmen. Alle erfolgreichen Sicherheitsstrategien für Operational Technology beginnen mit dem Härten der Umgebung. Dabei werden fremde Netzwerkzugriffspunkte entfernt, strenge Richtlinienkontrollen an IT-Schnittstellen beibehalten und Schwachstellen mit hohem Risiko entschärft. Noch wichtiger als eine sichere Architektur sind die Menschen und Prozesse, die sie aufrechterhalten – die Ressourcen und technischen Fähigkeiten, die zur Bewältigung von neuen Schwachstellen und Bedrohungen erforderlich sind, dürfen nicht unterschätzt werden.
3. Transparenz und Überwachung von Netzwerken
Ein erfolgreiches Sicherheitskonzept für Operational Technology umfasst eine Bestandsaufnahme der Assets, eine Zuordnung von Schwachstellen zu diesen Assets samt Plänen zur Abhilfe sowie eine aktive Überwachung des Datenverkehrs auf potenzielle Bedrohungen. Die so gewonnene Transparenz validiert die implementierten Sicherheitskontrollen in einer verteidigungsfähigen Architektur. Das Erkennen von Bedrohungen durch die Überwachung ermöglicht zudem eine Skalierung und Automatisierung für große und komplexe Netzwerke.
4. Sicherer Fernzugriff
Ein sicherer Fernzugriff ist für Operational Technology enorm wichtig. Die Multi-Faktor-Authentifizierung gehört zu den klassischen IT-Maßnahmen, die bei geringen Investitionen zusätzliche Sicherheit schafft. Wo keine derartige Authentifizierung möglich ist, sollten alternative Maßnahmen wie Jump-Hosts mit gezielter Überwachung in Betracht gezogen werden. Ein Jump Host ist ein Server, der auf Ressourcen in einer anderen Netzwerk-Sicherheitszone zugreifen kann. Üblicherweise kommen diese Geräte zum Verwalten von Ressourcen in einer demilitarisierten Zone des Netzwerks zum Einsatz. Das Hauptaugenmerk sollte dabei auf Verbindungen in und aus dem OT-Netz liegen und nicht auf Verbindungen innerhalb des Netzes.
5. Risikobasiertes Schwachstellenmanagement
Für Informationssysteme schreibt die NIS2-Richtlinie Risikoanalysen und Sicherheitsmaßnahmen vor. Eine verteidigungsfähige Architektur zeichnet sich dadurch aus, dass Schwachstellen frühzeitig erkannt werden und ein Plan zu ihrer Behebung vorhanden ist. Das setzt voraus, dass korrekte Informationen und Risikobewertungen sowie alternative Abhilfestrategien zur Minimierung des Risikos im laufenden Betrieb vorliegen.
In Zukunft werden Incident Response Pläne für industrielle Umgebungen ein zentrales Thema sein. Traditionelle präventive Ansätze gehören der Vergangenheit an. Die genannten Maßnahmen konzentrieren sich auf die aktive Verteidigung und entsprechen damit nicht nur dem risikobasierten Ansatz der NIS2-Richtlinie, sondern bieten auch eine schnelle und zuverlässige Reaktion als Eckpfeiler der industriellen Cybersicherheit. jf
Der Autor
Kai Thomsen ist Director of Global Incident Response Services bei Dragos, einem Spezialisten für industrielle Cybersicherheit.
