Suchen

Expertenbeitrag

 Galina  Antova

Galina Antova

Mit-Gründerin und Chief Business Development Officer , Claroty

Cybersecurity Wie CISOs die IT-OT-Sicherheitslücke schließen können

| Autor / Redakteur: Galina Antova / Vivien Deffner

Wenn industrielle und IT-Netzwerke zusammenwachsen, darf die Sicherheit nicht vergessen werden. Die Zeit drängt: Angesichts von oftmals staatlich unterstützten Angreifern sollten Unternehmen in diesem Bereich schnell handeln.

Die Beseitigung von Komplexität, die Abstimmung von IT- und OT-Teams und die Vereinfachung der Governance sind die drei wesentlichen Faktoren, um die IT-OT-Sicherheitslücke zu schließen.
Die Beseitigung von Komplexität, die Abstimmung von IT- und OT-Teams und die Vereinfachung der Governance sind die drei wesentlichen Faktoren, um die IT-OT-Sicherheitslücke zu schließen.
(Bild: gemeinfrei / Unsplash)

Cybersecurity wird zunehmend als ganzheitliche Herausforderung verstanden, die sich weit über IT-Sicherheit hinaus bis in OT-Netzwerke erstreckt. Allerdings sind die Security-Teams vielfach zwar mit den IT-Infrastrukturen bestens vertraut, jedoch weniger mit den Eigenheiten industrieller Netzwerke. Entsprechend lassen sich bewährte IT-Sicherheitspraktiken nicht 1:1 übernehmen und in OT-Netzwerken anwenden. Außerdem fehlt es für eine schrittweise Einführung von Sicherheitspraktiken nach dem „Crawl-Walk-Run-Prinzip“, bei dem beispielsweise zunächst der Perimeter gesichert und eine physische Segmentierung implementiert wird, an Zeit und Ressourcen. Hoch professionelle Angreifer warten nicht, bis die Systeme gesichert sind, sondern schlagen zu.

Diese Situation birgt aber auch Chancen. Wir können auf diese Weise ein OT-Sicherheitsprogramm von Grund auf aufbauen. Dieses sollte uns gleichwohl ermöglichen, die bereits vorhandenen IT-Sicherheitsressourcen zu nutzen, um Produktionsumgebungen im Ernstfall schnell zu sperren. Drei Punkte sind dabei essenziell.

1. Reduzierung der Komplexität

Versucht man, dieselben Methoden und Techniken aus der IT in die OT-Umgebungen einzuführen, führt dies vor allem zu unnötiger Komplexität. Maßnahmen wie langwierige Projekte zur physischen Segmentierung innerhalb der OT-Netzwerke und der Einsatz verschiedener Sicherheitstools skalieren nicht und reduzieren das Risiko nicht unmittelbar. Physische Segmentierung ist grundsätzlich zwar zielführend und sollte bei den Planungen eine Rolle spielen ebenso wie der Einsatz bestimmter (IT-)Technologien und Tools. Jedoch sollten auch kreativ eigene Ansätze für die OT-Netzwerke gefunden und verfolgt werden. Die größte Herausforderung besteht darin, dass keine Telemetrie und damit keine Transparenz in OT-Netzwerken verfügbar ist. Insofern sollte es die erste Priorität sein, möglichst zügig Transparenz zu erlangen und so das Risiko zu reduzieren. Dabei können folgende Tipps helfen:

  • Entfernen Sie alles von Ihrer To-Do-Liste, was keinen Mehrwert bringt: Dazu gehört zum Beispiel die Implementierung von Endpoint-Detection-and-Response-Lösungen (DER) auf Endpunkten der Ebene 2 und darunter in Ihren OT-Netzwerken. Durch die Installation dieser Lösungen auf Echtzeit-Controllern werden zum einen die Herstellergarantien ungültig. Zum anderen muss man auch mit Widerständen aus dem Engineering rechnen, da diese Echtzeit-Maschinen physikalische Prozesse steuern, die nicht gestört werden können. Man steht auf verlorenem Posten, wenn man versucht, EDR-Lösungen auf diesen Geräten zu installieren. Was noch wichtiger ist: man sollte keine Zeit damit verschwenden, es zu versuchen, denn Zeit ist ein kritischer Faktor. Vielmehr sollte man die natürlichen Eigenschaften der OT-Netzwerke zu seinem Vorteil nutzen.
  • OT-Netzwerkverkehr ist eine datenreiche Ressource, die genutzt werden sollte: Es ist durchaus möglich, dass sich bereits Angreifer in Ihrem Netzwerk befinden, die Sie bislang aufgrund blinder Flecken nicht identifizieren konnten. EDR-Lösungen sind hier (wie gezeigt) nicht die Antwort. Allerdings enthält die Kommunikation zwischen Endpunkten in OT-Netzwerken in der Regel reichhaltige Informationen über den jeweiligen Endpunkt. Die spezifischen Informationen in einem OT-Netzwerkpaket unterscheiden sich oftmals je nach Endpunkthersteller, enthalten aber im Allgemeinen sehr detaillierte Asset-Attribute wie Firewall-Version, Seriennummer, Rack-Steckplatz. Der Datenverkehr von OT-Netzwerken bietet also alle Sicherheitsinformationen, die Sie zur Überwachung auf Bedrohungen benötigen. Setzen Sie auf Lösungen, die Sie schnell implementieren können, um die Transparenz von Anlagen und die kontinuierliche Überwachung von Bedrohungen zu gewährleisten.
  • Führen Sie eine virtuelle Segmentierung ein: Während Sie Ihr physisches Segmentierungsprojekt innerhalb der OT-Netzwerke umsetzen (beispielsweise zur Segmentierung von Level 1 und Level 2 oder DCS zu Sicherheitssystemen), führen Sie die virtuelle Segmentierung in Zonen innerhalb des ICS-Netzwerks ein. Auf diese Weise sind Sie in der Lage, laterale Bewegungen von Angreifern zu erkennen, die in Ihrem Netzwerk Fuß fassen möchten. Es ist auch möglich, operative Probleme mit der Art und Weise, wie ein Prozess eingerichtet ist, zu identifizieren, was positiv zur Up-time und Verfügbarkeit beiträgt. Auf bestimmten Ebenen des Netzwerks lässt sich der Verkehr nicht blockieren, weil dadurch auch der physische Prozess gestoppt wird und Probleme bei der Betriebssicherheit entstehen können. Durch virtuelle Segmentierung kann jedoch Netzwerküberwachung und Zugangskontrolle verbessert und die Reaktionszeit erheblich beschleunigt werden. Im Falle eines Angriffs spart dies Kosten und reduziert die Ausfallzeit signifikant. Darüber hinaus bietet die virtuelle Segmentierung Transparenz im gesamten Netzwerk, die wichtige Informationen für das physische Segmentierungsprojekt liefert. So wird durch virtuelle Segmentierung nicht nur sofort das Risiko gesenkt, sondern auch die längerfristigen physischen Segmentierungsanstrengungen beschleunigt und optimiert.

2. Bessere Abstimmung zwischen IT- und OT-Teams

Eine große Herausforderung bei der Umsetzung einer umfassenden Cybersecurity-Strategie liegt in den unterschiedlichen Sicht- und Herangehensweisen der IT- und OT-Teams. Diese begründen sich zum einen durch die Trias Vertraulichkeit, Integrität und Verfügbarkeit, da IT- und OT-Teams diesen drei Prinzipien unterschiedliche Prioritäten zuweisen. Die Teams, die für die Informationssicherheit verantwortlich sind, geben in der Regel der Vertraulichkeit von Daten Vorrang vor Integrität und Verfügbarkeit. Währenddessen räumen die Teams, die OT-Netzwerke betreiben, der Verfügbarkeit (oder Betriebszeit) Vorrang vor Integrität und Vertraulichkeit ein. Um die IT-OT-Sicherheitslücke langfristig und nachhaltig zu schließen, müssen diese unterschiedlichen Prioritäten respektiert werden. Das Risiko von Unterbrechungen und Ausfallzeiten bei der Implementierung einer neuen Sicherheitskontrolle, eines Patches oder eines System-Upgrades ist für OT-Teams ein K.o.-Kriterium. Abgesehen davon, dass bei Änderungen an den oft Millionen Euro teuren Geräten in der Produktionsumgebung die Garantie erlischt.

Ein weiteres Problemfeld besteht in der mangelnden Zusammenarbeit und Bündelung bei Teams und Projekten. Es kommt bei größer angelegten OT-Sicherheitsprojekten oftmals vor, dass hierzu unterschiedliche Teams am gleichen Gesamtziel arbeiten, aber jedes getrennt voneinander und aus unterschiedlicher Perspektive. So ist beispielsweise ein Team aus der Technik damit beauftragt, Asset-Informationen aus OT-Netzwerken zu erhalten. Ein Netzwerksicherheitsteam ist mit der Überwachung dieser Netzwerke betraut. Und ein drittes Team befasst sich mit dem Schwachstellenmanagement. Aufgrund der Dringlichkeit arbeitet jedes Team so schnell wie möglich, wobei es oft an Orchestrierung fehlt. Sie alle suchen nach Werkzeugen, die ihnen bei ihren spezifischen Anwendungsfällen helfen. Da sie sich untereinander nicht koordinieren, erkennen sie nicht, dass dieselbe Technologie oft auf verschiedene Anwendungsfälle angewendet werden kann. Wenn es keine zentrale Koordination, Entscheidungsfindung oder ein (gemeinsames) Budget gibt, fehlt der Blick für eine ganzheitliche Strategie und Sicherheitsplattform. Dies verwässert den Nutzen und Wert aller Investitionen, die zur Stärkung der OT-Sicherheit getätigt werden.

Hier besteht jedoch die Chance, eine Sicherheitsstrategie von Grund auf neu zu erschaffen, ohne sich um die bestehende Sicherheitstechnologie kümmern zu müssen. Das bedeutet, dass Unternehmen die für sie wichtigsten Anwendungsfälle priorisieren und implementieren können. Und da der OT-Netzwerkverkehr alle Sicherheitsinformationen bereitstellt, die man zur Überwachung auf Bedrohungen und Schwachstellen benötigt, kann man die wichtigsten Anwendungsfälle mit derselben Technologie adressieren und vermeidet so ein komplexes (und teures) Sammelsurium von separaten Tools. Eine einzige, agentenlose Lösung für Asset-Transparenz und kontinuierliche Bedrohungsüberwachung erfüllt die Ziele verschiedener Teams und kann ohne Produktivitätsunterbrechung oder Ausfallzeiten implementiert werden.

3. Vereinfachung der Governance

Viele Unternehmen stehen vor der Herausforderung, OT-Governance und -Prozesse in ihr bestehendes IT-Framework zu integrieren. Einige Unternehmen erstellen einen separaten Governance-Prozess und ein von der IT getrenntes Security Operations Center (SOC) in der Annahme, dass sie verschiedene Kompetenzen und Werkzeuge benötigen. Dieser Ansatz ist aus mehreren Gründen nicht ratsam:

  • OT-Sicherheitsspezialisten sind recht selten und entsprechend gefragt, was es sehr schwierig und kostspielig macht, sie zu finden und zu halten.
  • Angreifer sehen IT und OT nicht als getrennt an und Angriffe sind meist miteinander verflochten. Bei zwei getrennten Teams und SOCs besteht die Gefahr, Zusammenhänge nicht zu erkennen und folglich die Angriffe nicht schnell abwehren zu können.
  • Die Rekonstruktion bestehender Governance-Prozesse und die Verdoppelung des Koordinationsaufwands ist zeit- und ressourcenaufwändig.

Es bietet sich eher an, dem Chief Information Security Officer (CISO) die Verantwortung für die Sicherheit der OT-Umgebung zu übertragen. Versteht man das OT-Netzwerk als eine Erweiterung des IT-Netzwerks und betrachtet Governance und Prozesse ganzheitlich, erhält man ein konsolidiertes Bild der (kompletten) technologischen Infrastruktur. Die eingesetzte OT-Sicherheitslösung sollte entsprechend ebenfalls einen ganzheitlichen Ansatz verfolgen und sich gleichermaßen gut in das Ökosystem aus OT- und IT-Systemen und -Workflows integrieren lassen. Idealerweise „übersetzt“ sie die Unübersichtlichkeit und Komplexität von OT-Netzwerken für die IT-(SOC-)Mitarbeiter, damit sie problemlos damit arbeiten und sie sie in ihre Sicherheitsaktivitäten einbeziehen können. Mit dem CISO als zentralen Punkt, einem einzigen SOC und einer Lösung, die sowohl IT- als auch OT-Teams nutzen können, optimieren Sie Ihre Ressourcen Talent, Budget und Zeit. Außerdem gewinnen Sie Kontinuität über Ihre Angriffsoberfläche hinweg, so dass Sie mit den gleichen Prozessen und Berichtsmetriken agieren können.

Die Beseitigung von Komplexität, die Abstimmung von IT- und OT-Teams und die Vereinfachung der Governance sind die drei wesentlichen Faktoren, um die IT-OT-Sicherheitslücke zu schließen. Bei jedem der Punkte geht es um die Beseitigung von Barrieren und Hemmschuhen, damit Unternehmen schnell wesentliche Fortschritte in Sachen OT-Sicherheit machen können. Angesichts oftmals staatlich unterstützter Angreifer, die ihre Methoden verfeinern und Anstrengungen erweitern, ist dies dringend erforderlich und sollte umgehend angegangen werden.

(ID:46873169)

Über den Autor

 Galina  Antova

Galina Antova

Mit-Gründerin und Chief Business Development Officer , Claroty