(Bild: APchanel – stock.adobe.com)
- Cyberangriffe beginnen fast immer mit einer Verletzung auf der IT-, nicht der OT-Seite.
- Beste Verteidigung besteht darin, IT und OT so weit wie möglich voneinander zu trennen.
- Network Detection and Response und Zero Trust Network Access – zwei unter vielen Komponenten zum OT-Schutz.
Operational-Technology-Systeme, kurz OT-Systeme, stellen in vielen Unternehmen und erst recht in kritischen Infrastrukturen das technologische Rückgrat dar, ohne das der moderne Betrieb von Infrastrukturen oder Industrieumgebungen nicht realisierbar wäre. Obwohl viele OT-Systeme prinzipiell vulnerabel für Cyberangriffe sind, werden sie eher selten von den Cyberkriminellen direkt angegriffen. „Die meisten Cyberangriffe auf OT-Systeme erfolgen nicht an den OT-Systemen selbst“, sagt Chester Wisniewski, Global Field CTO beim Cybersecurity-Anbieter Sophos. „Sie beginnen fast immer mit einer Verletzung auf der IT-Seite. IT-Systeme sind dem Internet stärker ausgesetzt, wodurch sie zu einem leichteren Einstiegspunkt für Cyberangreifer werden. Deshalb hat der Schutz der IT oberste Priorität, wenn es darum geht, OT-Systeme sicher zu halten.“
Keine gezielten OT-Angriffe
OT-Systeme in kritischen Infrastrukturen, der Fertigung oder im Transportwesen, die über Schwachstellen und Lücken in der klassischen IT durch Cyberattacken in Mitleidenschaft gezogen werden, können zu erheblichen Unterbrechungen und in der Folge großen finanziellen Verlusten führen. „Die größten OT-Störungsvorfälle, die wir durch Cyberattacken erlebt haben – beispielsweise durch Notpetya und Wannacry – waren keine gezielten OT-Angriffe. Es handelte sich um IT-basierte Infektionen, die sich auch in OT-Umgebungen ausbreiteten“, erläutert Chester Wisniewski.
Aus diesem Grund sind eine starke Segmentierung, Isolierung und Sicherheitsrahmenwerke wie ISA/IEC 62443 von entscheidender Bedeutung. Diese gesetzlich festgelegten Anforderungen bilden eine wichtige Grundlage für die Risikominimierung sowie -bewertung, decken Punkte wir Authentifizierung, Zugriffskontrolle oder Reaktion auf Angriffe ab und erleichtern last but not least auch die Priorisierung von Maßnahmen. Die beste Verteidigung sowohl für die Industrie als auch für kritische Infrastrukturen besteht darin, IT und OT so weit wie möglich voneinander zu trennen und das Netzwerk abzusichern.
Neben einer Netzwerksegmentierung, einem wirkungsvollen IT-Security-Ökosystem sowie einer aktiven Update- und Patch-Hygiene aller IT- und OT-Systeme können zwei weitere Cybersecurity-Komponenten den entscheidenden Unterschied beim Schutz der OT-Systeme ausmachen: Network Detection and Response (NDR) und Zero Trust Network Access (ZTNA).
Kontrolle ist besser
Mittels künstlicher Intelligenz erkennt NDR tief im Netzwerk schädliche Aktivitäten, die Endpoint-Schutzlösungen und Firewalls nicht sehen können. NDR analysiert den Datenverkehr kontinuierlich auf verdächtige Muster – beispielsweise auf ungewöhnliche Aktivitäten, die von unbekannten oder nicht verwalteten Geräten ausgehen, nicht autorisierte Assets, neue Zero-Day-Attacken und unerwartete Datenbewegungen. Durch ein hohes Maß an Automatisierung werden im Verdachtsfall umgehend Reaktionsmaßnahmen zum Isolieren der schädlichen Aktivitäten ausgelöst und gleichzeitig menschliche Analysten benachrichtigt, die den Fall untersuchen und die Gefahr im gesamten Netzwerk beseitigen.
Bei ZTNA gilt: Vertraue nichts und niemandem, überprüfe und authentifiziere jeden und alles. Dadurch wird ein sehr hohes Sicherheitsniveau bei jeglichem Zugriff auf Systemressourcen im eigenen Netzwerk erreicht. Jeder, der auf Ressourcen zugreifen möchte, wird verifiziert und es wird geprüft, ob das zugreifende Gerät in Ordnung ist. Zudem ist den Nutzern ausschließlich genau der Zugriff auf diejenigen Ressourcen und Anwendungen gewährt, die für ihre Aufgaben benötigt werden. Diese Maßnahmen sorgen dafür, dass potenzielle Schleichfahrten eines Angreifers im Netzwerk mit minimalem Aufwand und maximaler Effizienz unterbunden sind.
