Woher wissen Sie, dass sich ein perfekter Sturm zusammenbraut? Wenn Ihr Team mit der Sicherung der Betriebstechnologie und der Industriesteuerungssysteme (OT/ICS) Ihres Unternehmens betraut ist, haben Sie vielleicht schon eine ziemlich gute Vorstellung davon.
In den Branchen mit kritischen Infrastrukturen waren die Warnzeichen in letzter Zeit kaum zu übersehen. Seit Beginn der COVID-19-Pandemie zählen dazu die Konvergenz von IT- und OT-Systemen in Unternehmen, die nun in der Cloud beschleunigt wird, die Verbreitung datenbankgestützter Ransomware-as-a-Service(RaaS)- und Phishing-Kampagnen sowie die groß angelegten Angriffe auf Mitarbeiter im Homeoffice und Schwachstellen beim dezentralen Zugriff in kritischen Branchen.
Diese Anzeichen gab es bereits vor dem DarkSide-Angriff, der die Colonial Pipeline im Mai 2021 lahmlegte. Doch erst dieser Vorfall hat die Bemühungen von Industrie und Regierung, den Schutz kritischer Infrastrukturen zu verstärken, wieder aufleben lassen. Unter anderem verlangt die TSA nun von Pipelinebesitzern und -betreibern, dass sie Vorfälle im Bereich der Cybersicherheit melden.
Auch andere kritische Infrastrukturen wie öffentliche Versorgungsbetriebe (Öl und Gas, Wasser/Abwasser, Strom), das Gesundheitswesen, die chemische Industrie oder lebensmittelverarbeitende Betriebe stehen unter Druck. Wie kann Ihre Aufgabe im Bereich der OT-Sicherheit von diesem neuen Impuls profitieren?
Wo sollten Sie mit Ihrer OT/ICS-Sicherheitsinitiative anfangen?
Schließlich wird jetzt vom IT/OT-Team ein fertiger Plan erwartet. Doch damit sind Sie nicht allein. Viele Kunden von Rockwell Automation® haben die gleiche Frage: Wo sollen wir anfangen?
Die meisten Experten sind sich einig: Jede Strategie zum Schutz kritischer Infrastrukturen hängt von einem zuverlässigen Programm zur Erkennung von Cyberbedrohungen ab. Im Folgenden sind fünf priorisierte Schritte aufgeführt, die dazu beitragen, versteckte Bedrohungen aufzudecken und zu verhindern, dass sich Cybersicherheitsvorfälle auf Ihre OT/ICS-Umgebung auswirken.
1. Beurteilung der physischen Sicherheit und des Anlagenbestands Ihrer OT/ICS-Infrastruktur
Von mit Malware infizierten USB-Sticks, die auf dem Parkplatz abgelegt werden, damit leichtgläubige Mitarbeiter sie finden und an einen Ihrer OT-Endpunkte anschließen können – eine Studie ergab, dass 48 % der Befragten dieser Versuchung nicht widerstehen können – bis hin zu IP-Netzwerkkameras im Fertigungsbereich oder in Eingangsbereichen – physische Geräte sind eine häufige Sicherheitslücke und können für Bedrohungsakteure ein einfacher Einstiegspunkt sein. Angreifer, die das Internet nach unbeabsichtigt freigeschalteten Webcam-Ports durchsuchen, könnten ebenfalls zusehen.
Darüber hinaus machen kriminelle Kartelle und Online-Saboteure ernst mit der Automatisierung. RaaS- und Phishing-Kampagnen setzen komplexe datengesteuerte Tools und Exploit-Kits ein, um ihre Ziele zu erreichen.
Möglicherweise gibt es bei Ihnen bereits heute nicht autorisierte Anlagen oder Geräte. Es ist sehr wichtig, regelmäßige Bestandsaufnahmen der installierten Anlagen durchzuführen. Einige Unternehmen der kritischen Infrastruktur führen sogar stündlich Bestandsprüfungen durch.
Allerdings sind viele IT/OT-Teams in kritischen Bereichen unterbesetzt und überlastet und verzögern wichtige Updates sowie Patches für Betriebssysteme und Anwendungen und verschieben Bestandsprüfungen – oder versäumen sie ganz. Hinzu kommt, dass die Rollen und Zuständigkeiten von IT- und OT-Teams nicht eindeutig voneinander abgegrenzt sind, sodass nicht klar ist, wer für das allgegenwärtige Problem der Qualifikationslücke in der Belegschaft verantwortlich ist. Zudem können Patches auf der OT-Seite des Unternehmens besonders komplex sein und werden oft vernachlässigt.
Kommt Ihnen das bekannt vor?
Es ist an der Zeit, Ihre Abwehrmaßnahmen zu automatisieren. Auf künstlicher Intelligenz basierende IT/OT-Tools, die Bestandsaufnahmen von Anlagen und eine automatische Erkennung von Bedrohungen durchführen, ermöglichen es Ihnen, den Überblick über die Erweiterungen Ihres Netzwerks zu behalten, einschließlich der Geräte des industriellen Internets der Dinge (IIoT). Moderne Cybersicherheits-Tools und -Dienste bieten einen hohen Automatisierungsgrad, wodurch sich kritische Vorgänge besser schützen lassen und Teams entlastet werden, damit sie sich den wichtigen Aufgaben widmen können.
2. Verschärfung der Zugangsrichtlinien
Die Einführung moderner Identifikations- und Zugangskonzepte sorgt oft für einen relativ schnellen Erfolg bei der Verbesserung der Cybersicherheit. Außerdem ist dies ein Eckpfeiler des Zero-Trust-Ansatzes, bei dem die Identität nie vorausgesetzt wird, sondern an bestimmte Zugriffsrechte und -richtlinien, Nutzungszeiten und mehr gebunden ist.
Viele OT-Organisationen in Branchen mit kritischen Infrastrukturen wenden nicht die neuesten Standards an, wie z. B. die Multi-Faktor-Authentifizierung (MFA). Weitere Sicherheitslücken, die zu Sicherheitsverletzungen führen können, sind die gemeinsame Nutzung von Kennwörtern und der dezentrale Zugriff ohne die richtigen Kontrollen – ein Problem, das sich durch die Pandemie eindeutig verschärft hat.
Effiziente Betriebsabläufe sind mit strengeren Identitäts- und Zugangskontrollen vereinbar. Lassen Sie sich also durch diese Frage nicht auf dem Weg zu einem wirksameren Programm aufhalten. Beschaffen Sie sich die erforderlichen Informationen und werden Sie aktiv. Wie Experten oft feststellen, gehen die meisten ernsthaften Angriffe nicht auf eine großartige neue Hacker-Erfindung zurück, auch wenn Bedrohungsakteure immer wieder neue Wege gehen. Angriffe werden in der Regel durch Sicherheitslücken verursacht, für die es bekannte Abhilfemaßnahmen gibt.
3. Überwachung rund um die Uhr (24/7/365)
Nur durch eine kontinuierliche Überwachung können Bedrohungen für Ihr Industrienetzwerk erkannt werden. Die für IT/OT-Umgebungen optimierten Echtzeit-Überwachungsdienste für Bedrohungserkennung, Recheninfrastruktur, Firewall, Netzwerk und sogar Softwareanwendungen bestimmen zunächst das grundlegende Netzwerkverhalten und warnen Sie dann vor anormalen Aktivitäten, die nicht den erwarteten Mustern entsprechen, was die Wiederherstellung von Anwendungen nach Beheben der Bedrohungsalarme unterstützt.
Tools zur Überwachung der industriellen Cybersicherheit ermöglichen einen Echtzeiteinblick in alle Ebenen der OT-Umgebung. Ihr Sicherheitsteam kann Alarme und Ereignisse korrelieren, um einen tieferen Einblick in das erkannte verdächtige Verhalten zu ermöglichen, damit angemessene Maßnahmen ergriffen werden können.
Ihnen fehlt es an Personal oder Fachwissen, um Cybersicherheitsmaßnahmen intern durchzuführen? Wenden Sie sich an einen erfahrenen Anbieter von Managed Services. Der richtige Partner kann hier schnell auf globaler Ebene eingesetzt werden. Er kann Sicherheitserkenntnisse aus vielen Kundenprojekten nutzen, um Bedrohungsakteuren und neuen Exploits einen Schritt voraus zu sein. Zudem bringt er die dringend erforderliche praktische Erfahrung mit, um Bedrohungen zu erkennen, zu blockieren und, wenn nötig, die Systeme nach einem Vorfall wiederherzustellen.
4. Nutzung von Cyber Threat Intelligence (CTI)
Machen wir uns nichts vor. Die meisten IT/OT-Sicherheitsteams sind nicht in der Lage, die frühen Warnzeichen eines möglichen Angriffs zu erkennen. Ein plötzlicher Anstieg von Gesprächen über Ihre Anlage in einem Darknet-Forum etwa oder eine Auktion auf einem Schattenmarkt für einen Zero-Day-Exploit, die Teile Ihres industriellen Steuerungssystems betrifft.
CTI ermöglicht es OT-Sicherheitsexperten, der Entwicklung voraus zu sein und sich vorzubereiten. Zum Glück müssen Sie keine teuren internen Kompetenzen zur Bedrohungsbekämpfung aufbauen, um dieses Ziel zu erreichen. Die Kunden von Rockwell Automation profitieren von Threat Intelligence Services, die von einem globalen Netzwerk von Cybersecurity Operation Centern, Bedrohungsjägern und Open Source Intelligence(OSINT)-Forschern und -Analysten unterstützt werden.
CISA-Warnungen, ISACs (Information Sharing and Analysis Centers) und CISO-Netzwerke bieten zusätzliche Einblicke und Perspektiven von anderen ICS/OT-Sicherheitsexperten und -leitern.
5. Entwicklung eines Sicherheitsbewusstseins
Bei der Cyberhygiene spielen Menschen, Prozesse und Technologie eine entscheidende Rolle. In einer Podcast-Reihe von Manufacturing Happy Hour sprach Kamil Karmali, Global Cybersecurity Commercial Manager bei Rockwell Automation, über das NIST-Framework und die Cyber-Reife von Unternehmen und teilte seine Gedanken zu Teams und Menschen:
„In einem Unternehmen oder in Ihrer Einrichtung dreht sich alles um Menschen, Prozesse und Technologie, und Sie müssen diese Prioritäten gegen Kosten und Risiken abwägen. Cybersicherheit ist ein Teamsport, es ist eine operative Gruppe von Interessenvertretern, von der Technik über die IT bis hin zu unseren OT-Interessenvertretern, auch Finanzen, Gesundheit und Sicherheit, denn alle diese Menschen – alle diese Funktionen können Ziel jedes beliebigen Bedrohungsvektors werden.“
Karmali betonte, wie wichtig eine Kultur ist, in der die Sicherheit an erster Stelle steht, und gab den Kunden gleichzeitig den Rat, „sich als Team zusammenzusetzen und dafür zu sorgen, dass die Rollen und Verantwortlichkeiten klar sind. Jeder weiß, welche Rolle er im Bereich der Sicherheit spielt. Auch die Abgrenzung zwischen den IT-Teams des Unternehmens und unseren OT-Teams muss klar sein. Es gibt keine Einheitslösung, die für alle passt.“
Eine Abgrenzung mit definierten Rollen und Verantwortlichkeiten ist unerlässlich. Taktiken wie Tabletop-Übungen oder Incident Response(IR)-Planung können durchgeführt werden, um zu bestimmen, welche kritischen Schritte und welche Folge menschlicher Entscheidungen im Falle eines Ransomware-Angriffs ausgeführt werden müssen.
Diese Übungen können trainiert werden. Es ist Aufgabe der IT/OT-Teams, regelmäßige und häufige Schulungen zur Reaktion auf Vorfälle zu planen und zu priorisieren, um sich angemessen zu schützen. Es gibt viele Dienste zur Unterstützung von Schulungen zum Thema Sicherheitsbewusstsein und -umsetzung, die häufig auch Teil eines Managed-Services-Programms sind.
Jeder Schritt ist ein Schritt in die richtige Richtung
Nach dem Anschlag auf die Colonial Pipeline zeigten TV- und Social-Media-Clips, wie Tankstellen von langen Schlangen wütender Autofahrer überrannt wurden, die Panikkäufe tätigten. Das ist die Macht der Bilder.
Angesichts dieser öffentlich zur Schau gestellten Folgen sowie des Potenzials für schwerwiegende betriebliche Schäden und sogar Rechtsstreitigkeiten wird die Bedrohung in der Führungsetage ernst genommen. Die Schritte zur Erkennung von Cyberbedrohungen auf dieser Liste können versteckte Bedrohungen für Ihre OT aufdecken, bevor diese Ihrem Unternehmen schaden können.
Sind Sie bereit? Wenden Sie sich an das Industrial Cybersecurity Services-Team, um proaktive Sicherheitsmaßnahmen wie diese für Ihre industriellen Abläufe zu besprechen.
