Die Cybersicherheitshaltung im Allgemeinen und die digitale Sicherheit der Betriebstechnologie (OT) im Besonderen sind wichtige Maßstäbe für die Resilienz und operative Fähigkeit zur Geschäftskontinuität bei verschärfter Sicherheitslage.

 

In einer Welt, in der ständig neue Bedrohungen auftauchen und Schwachstellen identifiziert werden, müssen Unternehmen einen klaren Überblick über ihre betriebliche Sicherheitslage und einen realisierbaren Aktionsplan haben, um diese kontinuierlich zu verbessern. Security Posture Assessments (SPA) haben sich zu einem De-facto-Standard in der Branche entwickelt. Die Durchführung effektiver und effizienter regelmäßiger SPAs ist ein wichtiger erster Schritt, um die Reife und damit die Widerstandsfähigkeit des Unternehmens zu verbessern.

 

Otorio, Experte für OT-Sicherheit mit Hauptsitz in Israel und Österreich, erläutert:

Zentral ist dabei ein grundlegender Aspekt der OT-Sicherheit: der betrieblichen Sicherheitshaltung (Operational Security Posture). Es geht darum, die Grenzen aktueller Ansätze zu überprüfen und ein Rahmenwerk zur Verbesserung, Skalierung und Rationalisierung der digitalen Sicherheit und Cybersicherheitslage von OT-Umgebungen durch Bewertungen, Planung und Implementierung unter Verwendung eines kontinuierlichen risikobasierten Ansatzes zu skizzieren.

 

Was ist eine »Security Posture«?

Das National Institute of Standards and Technology (NIST) definiert »Security Posture«, also so etwas wie »Sicherheitshaltung«, »Sicherheitslage« oder »Sicherheitsposition«, als »den Sicherheitsstatus der Netzwerke, Informationen und Systeme eines Unternehmens auf der Grundlage der vorhandenen Informationssicherheitsressourcen und -fähigkeiten, um die Verteidigung des Unternehmens zu verwalten und auf eine veränderte Situation zu reagieren« [1].

Es ist keine Überraschung, dass sich die Bewertung der digitalen OT-Sicherheit auf den »Posture«-Teil des Prozesses konzentrieren muss. In den meisten Fällen werden bei der Bewertung die Geschäftsressourcen eines Unternehmens untersucht, ohne die Gefährdungen und Sicherheitskontrollen wie die Segmentierung zu ermitteln. Wenn es jedoch um OT geht, kann jede Anlage oder jedes »System« eine Vielzahl von »Subsystemen« haben (jedes mit seiner eigenen IP-Adresse und seinem eigenen Software-Stack). Netzwerke erstrecken sich oft bis tief in die Lieferkette des Unternehmens, was die Messung der Sicherheitslage zu keiner einfachen Aufgabe macht.

Ein einheitliches Risikomodell führt zu einem besseren Verständnis der Bereitschaft eines Unternehmens, digitale OT- und Cybersicherheitsbedrohungen zu bewältigen. Industriestandard-Metriken in Kombination mit firmeneigenen Algorithmen und fundiertem Fachwissen kommen hierbei zum Einsatz, um die Grundlage für ein einfaches, aber robustes Risikomodell zu schaffen, das in verschiedenen Bewertungsszenarien eingesetzt werden kann.

 

Die Bühne ist bereitet: Vernetzte Produktionsbereiche sind eine wachsende Herausforderung

Heutzutage gibt es in der Branche einen beschleunigten Trend hin zu vernetzten Produktionsanlagen. Dies gilt insbesondere für dezentrale Abläufe und das Lieferkettenmanagement. Die Realität sieht jedoch so aus, dass ehemals abgeschottete Industrieumgebungen zunehmend digitalen Fehlkonfigurationen und Angreifern ausgesetzt sind.

 

Die Grenzen der aktuellen OT-Sicherheitsansätze

Laufende Assessments, also Bewertungen der digitalen Sicherheitslage in industriellen Steuerungssystemen sind von entscheidender Bedeutung, um auf Bedrohungen der Cybersicherheit vorbereitet zu sein und die meisten OT-Sicherheitsstandards (z. B. ISA/IEC 62443) zu erfüllen.

Der Bewertungsprozess berücksichtigt die Sicherheitsmaßnahmen und die potenziellen Wiederherstellungskosten für die digitalen Anlagegüter eines Unternehmens. Dieser Prozess umfasst auch eine Liste geeigneter Präventivmaßnahmen zur Stärkung der Cybersicherheitslage des Unternehmens. Zusammen stellen diese Bewertungskomponenten die Gesamtbetriebskosten (TCO) eines Unternehmens für industrielle Cybersicherheit dar.

Der Prozess muss so flexibel sein, dass die Sicherheitsteams bestimmte Schwachstellen leicht abschwächen können, ohne den Betrieb zu stören. Darüber hinaus beeinflusst eine unternehmensspezifische Richtlinie die Bewertung der Sicherheitslage, indem sie sich auf die Schwachstellenbewertung auswirkt und bestimmt, welche geschäftlichen Auswirkungen sie auf die Anlagegüter des Unternehmens hat. Dazu gehört die Bewertung von Faktoren wie Sicherheit, Zuverlässigkeit und Vertraulichkeit von Geschäftsgeheimnissen (Safety, Reliability, and Confidentiality of trade secrets, SRC).

Die herkömmliche Bewertung der Sicherheitslage führt jedoch in der Regel zu einer Vielzahl von Maßnahmen, die sich nur schwer nach Prioritäten ordnen und umsetzen lassen, wenn der Kontext fehlt. Aus diesem Grund wurden in den letzten Jahren risikobasierte Ansätze zur Minderung der Cybersicherheit eingeführt.

 

Vorteile der risikobasierten Entschärfung der Sicherheitslage

Risikobasierte Ansätze skalieren operative digitale Sicherheitsinitiativen und reduzieren gleichzeitig den Zeit- und Kostenaufwand für kurz- und langfristige TCO. Bei der Risikobewertung wird die Sicherheitslage eines Unternehmens berücksichtigt und in einen Zusammenhang mit den Bedrohungen für die digitale OT-Sicherheit gebracht. Eine Bedrohung der Cybersicherheit oder eine digitale Fehlkonfiguration ist ein Ereignis oder eine Folge von Ereignissen, die wahrscheinlich Schwachstellen in der Sicherheitslage eines Unternehmens ausnutzen oder einen potenziellen Absturz verursachen. Das Risiko ist also eine Funktion sowohl der Bedrohung als auch der Sicherheitslage.

Ein wichtiger Faktor im Bewertungsprozess ist die angemessene Kategorisierung des Risikos für verschiedene Branchen. Die Modellierung von Bedrohungen kann beispielsweise in der Energiewirtschaft anders aussehen als in einer automatisierten Fertigungsstraße. Sie kann auch je nach Region und Produktionsverfahren variieren. Eine solche Kategorisierung kann die Wahrscheinlichkeit bestimmter Cyberangriffsszenarien (z. B. auf der Grundlage historischer Daten über die Häufigkeit von Angriffen) und die Wahrscheinlichkeit von Auswirkungen auf der Grundlage von Exposition und Schwachstellen berücksichtigen. Auf diese Weise können Unternehmen besser auf branchenspezifische Risiken vorbereitet sein.

In der IT-Cybersicherheitsbranche wird seit langem die Auffassung vertreten, dass eine wirksame Priorisierung von Maßnahmen, die sich aus einer Lagebeurteilung ergeben, von der Berechnung eines Risikoindikators abhängt. Ein risikobasierter Ansatz für die Priorisierung ist ein iterativer Prozess, bei dem sich die Fachleute fragen müssen: Welches sind die minimalen Abhilfemaßnahmen, die eine maximale Risikominderung für eine bestimmte Anlage oder das gesamte Unternehmen bewirken?

Sobald diese minimalen Abhilfemaßnahmen implementiert sind, wird die Frage wiederholt, um weitere Maßnahmen zu identifizieren, die durchgeführt werden müssen. Dieser Prozess ermöglicht es den Betriebs- und Sicherheitsteams, sich auf die Schwachstellen, Lücken und Gefährdungen zu konzentrieren, die am ehesten ausgenutzt werden und dem Unternehmen den größten Schaden zufügen können. Nur durch die wiederholte Durchführung dieser Schleife lässt sich Resilienz, also die Widerstandsfähigkeit des Unternehmens erreichen – und das mit einer begrenzten Menge an Ressourcen.

Da die Prozesse zur Bewertung der Sicherheitslage keine kontinuierliche Überwachung der Bedrohungen beinhalten, insbesondere, wenn diese nur sporadisch auftreten, benötigen die Anwender Tools, mit denen sie OT-Sicherheitsrisikoszenarien auf der Grundlage eines »Was-wäre-wenn«-Ansatzes erstellen können. Diese Art der Bedrohungssimulation ermöglicht es dem System, Risiken zu modellieren, auch wenn keine laufende Überwachung stattfindet. Fachexperten erstellen Risikoszenarien, die auf die Prozesse und die Anlageninfrastruktur des Unternehmens angewendet und in den Unternehmenskontext eingeordnet werden können. Solche Risikoszenarien ermöglichen nicht nur die Festlegung von Prioritäten bei der Risikominderung, sondern können auch dazu verwendet werden, Probleme mit der Netzwerktopologie und -segmentierung zu identifizieren, einschließlich Angriffsvektoren und OT-Exposition nach außen.

 

Risikoreduzierung zur Routine machen

Ein risikogestützter Ansatz für die digitale OT- und Cybersicherheit trägt erheblich zur geschäftlichen und betrieblichen Resilienz bei. Der Prozess wird durchgeführt, ohne dass eine ständige Überwachung der Bedrohungen erforderlich ist. Das Endergebnis ist eine nach Prioritäten geordnete Liste von SPAs (Security Posture Assessments), die durchgeführt werden müssen, um das Risiko von Schäden durch Cybersicherheitsvorfälle für das Unternehmen zu verringern.

 

Dieser Prozess umfasst:

 

1. Identifizierung der Anlagegüter des Unternehmens.
2. Identifizierung der Schwachstellen der Anlagegüter.
3. Anwendung einer Richtlinie zur Ermittlung der geschäftlichen Auswirkungen von Anlagegütern und Sicherheitsschwachstellen auf das Unternehmen.
4. Erfassung der Netzwerktopologie und -konnektivität der Anlagegüter.
5. Anwendung von Bedrohungsmodellierungsszenarien zur Bewertung des Risikos im gesamten Unternehmen.
6. Ableitung von Abhilfemaßnahmen zur effizienten Risikominderung.

 

Ein Großteil dieser SPAs kann rationalisiert und automatisiert werden, was für Unternehmen von großem Vorteil ist. Dies trägt dazu bei, die Inkonsistenzen bei der manuellen Evaluierung und Erstellung von Bewertungen in großem Umfang mit minimalen Kosten zu verringern – und so die OT-Sicherheitslage maßgeblich zu verbessern.

 

 

[1] National Institute of Standards and Technology, U.S. Dept. of Commerce, https://csrc.nist.gov/glossary/term/security_posture