Categories: Cybersicherheit

Critical Controls einer effektiven ICS/OT-Sicherheit

Die Angriffsfläche der industriellen Kontrollsysteme wächst. Unternehmen in kritischen Infrastruktursektoren müssen immer mehr ICS-Angriffe abwehren können. Im Gegensatz zu herkömmlichen Angriffen auf IT-Netzwerke von Unternehmen, die in erster Linie auf finanziellen Gewinn oder Datendiebstahl abzielen, richten sich staatlich unterstützte Angreifer oft gegen kritische Infrastruktursysteme mit der Absicht, den Betrieb zu stören, physischen Schaden anzurichten oder sogar katastrophale Zwischenfälle zu ermöglichen, die zum Verlust von Menschenleben führen.

Von Staaten gesponserte Angriffe

Anfang Februar forderten die Vorsitzenden zweier Unterausschüsse des US-Repräsentantenhauses das US-Energieministerium auf, Informationen über drei Kernforschungslabors bereitzustellen, die im letzten Sommer von der russischen Hackergruppe Cold River angegriffen wurden. Ein viel beachtetes Beispiel ist der vom russischen Staat gesponserte CRASHOVERRIDE-Vorfall von 2016, bei dem ICS-Geräte durch den Missbrauch legitimer Protokolle für industrielle Kontrollsysteme manipuliert wurden, um den Stromfluss im ukrainischen Stromnetz auf der Ebene der Umspannwerke zu unterbrechen. Infolgedessen fiel der Strom in einem Teil der ukrainischen Hauptstadt Kiew über Nacht für eine Stunde aus.

Der Vorfall diente als Mikrokosmos für eine sich entwickelnde Ära von Cyber-Risiken und zeigt, wie wichtig geschulte Verteidiger mit technischem Hintergrund sind, die ICS-Netzwerke effektiv überwachen und aktiv auf die Vorbereitung von Angriffen reagieren können, bevor diese Auswirkungen haben. Schließlich kann eine schwache ICS/OT-Sicherheitslage ein Risiko für die öffentliche Gesundheit, die Umweltsicherheit und die nationale Sicherheit darstellen. Kaum auszudenken was passiert, wenn das Stromnetz von Los Angeles, London oder New York City durch einen erfolgreichen ICS-Angriff unterbrochen würde, der irreparable Schäden verursacht und die eine Wiederherstellung unmöglich machen

Aus diesem Grund sind Unternehmen mit kritischen Infrastrukturen verpflichtet, einen robusten ICS/OT-Sicherheitsrahmen einzurichten, der ihre OT-Anlagen wirksam vor raffinierten Angriffen schützt. Dabei geht es nicht nur darum, die vorgeschriebenen Mindestanforderungen zu erfüllen, um kostspielige Bußgelder oder hohe behördliche Strafen zu vermeiden. Es geht darum, nichts unversucht zu lassen, um die Menschen vor den realen Auswirkungen der Cyberkriminalität zu schützen – nicht nur die eigenen Mitarbeiter, sondern auch die Menschen, die in den umliegenden Gemeinden leben und arbeiten, in denen sie tätig sind.

Fünf Komponenten einer wirksamen ICS/OT-Sicherheit

Eine ausgewogene Prioritätensetzung ist für eine effektive ICS/OT-Sicherheit unerlässlich, wie ein kürzlich erschienenes Whitepaper des SANS Institutes über die fünf Critical ICS-Cybersicherheitskontrollen deutlich macht. Die Vorliebe für Prävention ist in der Cybersicherheitsgemeinschaft ein weit verbreitetes Thema. Zwischen 60 und 95 Prozent der bekanntesten und meistgenutzten Sicherheits-Frameworks sind präventiver Natur, bleiben aber gleichzeitig bei der Erkennung und Reaktion zurück. Infolgedessen investieren viele Unternehmen nur fünf Prozent ihrer Ressourcen in die Erkennung, Reaktion, Bewältigung von Angriffen und die Wiederherstellung nach Kompromittierungen.

In Anbetracht der Tatsache, dass sowohl das Volumen als auch die Geschwindigkeit von ICS-bezogenen Angriffen schnell zunehmen, können selbst die strengsten Präventionsmaßnahmen umgangen werden. Unternehmen müssen nicht nur darauf vorbereitet sein, ob, sondern auch wann dies geschieht – durch die Integration von KI-gestützten Erkennungs- und Reaktionsansätzen, die eine schnelle Schadensbegrenzung und Wiederherstellung ermöglichen. Die Einführung eines ICS/OT-Sicherheitsrahmens, der die folgenden fünf Critical Controls umfasst, ist der Schlüssel zum Erreichen dieses Gleichgewichts.

Reaktion auf ICS-Vorfälle

Ein auf den Betrieb abgestimmter Plan zur Reaktion auf Vorfälle ist auf die Systemintegrität und die Wiederherstellungsmöglichkeiten ausgerichtet, um die Komplexität der Reaktion auf Angriffe im Betrieb zu verringern. Diese Übungen verstärken Risikoszenarien und Anwendungsfälle, die auf die jeweilige Sicherheitsumgebung zugeschnitten sind, wobei die Priorisierung von Maßnahmen auf der Grundlage der potenziellen betrieblichen Auswirkungen und der Positionierung des Systems für den Betrieb während eines Angriffs erfolgt. Sie verbessern auch die betriebliche Widerstandsfähigkeit, indem sie die Ursachenanalyse potenzieller Fehlerereignisse erleichtern.

Verteidigungsfähige Architektur

Eine effektive ICS-Verteidigungsarchitektur unterstützt die Sichtbarkeit, die Protokollerfassung, die Identifizierung von Anlagen, die Segmentierung, industrielle entmilitarisierte Zonen und die Durchsetzung von Prozessen und Kommunikation. Sie hilft, die Kluft zwischen Technologien und Menschen zu überbrücken, indem sie das Risiko durch Systemdesign und -implementierung so weit wie möglich reduziert und gleichzeitig effiziente Sicherheitsteamprozesse fördert.

Überwachung der Sichtbarkeit von ICS-Netzwerken

Da es sich bei ICS-Angriffen um „Systeme von Systemen“ handelt, ist eine kontinuierliche Überwachung der Netzwerksicherheit der ICS-Umgebung mit protokollsensitiven Tools und einer Analyse der Interaktion zwischen Systemen von Systemen unerlässlich. Diese Funktionen können genutzt werden, um die Betriebsteams über potenzielle Schwachstellen zu informieren, die es zu beseitigen gilt, und tragen so zur allgemeinen Widerstandsfähigkeit und Wiederherstellung bei, um kostspielige oder gefährliche Betriebsausfälle zu vermeiden.

Sicherheit beim Fernzugriff

Infolge der gesellschaftlichen Akzeptanz von Cloud-basierten hybriden Arbeitsstrukturen nutzen Angreifer zunehmend den Fernzugriff, um in OT-Netzwerke einzudringen. In der Vergangenheit erfolgte der primäre Angriffspfad auf ein OT-Netzwerk über das IT-Netzwerk des Unternehmens, aber jetzt können Bedrohungsakteure auch das gesamte Ökosystem der Lieferkette nutzen – und sich die IT-Netzwerkschwachstellen ihrer Lieferanten, Wartungsmitarbeiter, Integratoren und Gerätehersteller zunutze machen. Im Gegenzug ist die Aufrechterhaltung sicherer Fernzugriffskontrollen für moderne Industriebetriebe nicht verhandelbar.

Risikobasiertes Schwachstellenmanagement

Ein risikobasiertes Schwachstellenmanagementprogramm ermöglicht es Unternehmen, die ICS-Schwachstellen zu definieren und zu priorisieren, die das höchste Risiko darstellen. Häufig handelt es sich dabei um Schwachstellen, die es Angreifern ermöglichen, sich Zugang zum ICS zu verschaffen oder neue Funktionen einzuführen, die zu betrieblichen Problemen wie dem Verlust von Sicht, Kontrolle oder Sicherheit in einer industriellen Umgebung führen können. Die Einführung eines risikobasierten Schwachstellenmanagements erfordert Kontrollen und Gerätebetriebsbedingungen, die eine risikobasierte Entscheidungsfindung während der Präventions-, Reaktions-, Abschwächungs- und Wiederherstellungsmaßnahmen ermöglichen.

ICT/OT-Sicherheit ist ein Mannschaftssport

Diese fünf Säulen können als Fahrplan für kritische Infrastrukturen dienen, um ein ICS-Sicherheitsprogramm zu entwickeln, das genau auf ihr eigenes Risikoprofil zugeschnitten ist. Die Kontrollen sind zwar von unschätzbarem Wert für die ICS/OT-Sicherheit, ihre Wirksamkeit hängt jedoch von einer Unternehmenskultur ab, in der die Schwere des Cyberrisikos auf allen Ebenen verstanden und priorisiert wird – vom Vorstand und der Geschäftsführung bis hin zu den Sicherheitsteams.

Die Sicherheit von ICS/OT muss ein Mannschaftssport sein, bei dem die Stärke von flexiblen Kontrollen und gut definierten Prozessen kombiniert wird, um mit der immer schneller werdenden Art von ICS-Angriffen Schritt zu halten. Mit dem richtigen Rahmenwerk können Organisationen für kritische Infrastrukturen proaktive Schritte unternehmen, um ihre eigene Verteidigung gegen böswillige Angreifer voranzutreiben.

Dean Parsons

SANS-zertifizierter ICS-Ausbilder & CEO von ICS Defense Force.

Roger Homrich

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

17 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

17 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago