Sicherheit Kritischer Infrastrukturen
Das Risiko für KRITIS schnell reduzieren
Der Schutz kritischer Infrastrukturen ist ein fortlaufender Prozess. Und es ist nie zu spät, damit anzufangen. Claroty empfiehlt sieben konkrete Maßnahmen, die man sofort ergreifen kann, um das Gefahrenbewusstsein und die Risikominderung im eigenen Unternehmen zu verbessern.
Seit Jahren geraten kritische Infrastrukturen (KRITIS) zunehmend ins Visier von staatlich-unterstützten Angreifern und Cyberkriminellen. Die aktuelle geopolitische Lage verschärft die Situation zusätzlich. In den letzten Monaten konnten wir Attacken auf Pipelines, die Lebensmittelversorgung und Windkraftanlagen beobachten. Vor diesem Hintergrund werden weltweit Regierungen aktiv, um entsprechende Schutzmaßnahmen zu fördern. So plant die Bundesregierung die Vorlage eines Gesetzes zum Schutz kritischer Infrastrukturen (KRITIS-Dachgesetz)1 und die Schaffung eines beim Technischen Hilfswerk (THW) angedockten Cyberhilfswerks2. KRITIS-Betreibern bleibt jedoch keine Zeit, auf die entsprechenden Umsetzungen zu warten. Sie müssen schon jetzt die Weichen stellen und auf die gegenwärtige Bedrohungslage reagieren. Sieben Tipps für geeignete Maßnahmen:
1. Auf Stärken setzen
Führungskräfte haben die Lehren aus den aufsehenerregenden Cyberangriffen verinnerlicht. In einer von Pollfish im September 2021 durchgeführten weltweiten Umfrage gaben mehr als 50 Prozent der Unternehmen an, dass sich Führungskräfte und Vorstände sehr stark in die Entscheidungsfindung und Überwachung der Cybersicherheit einbringen. Bei mehr als 80 Prozent der Unternehmen wurden zudem die IT- und OT-Sicherheitsbudgets in den letzten zwei Jahren erhöht. Diese gestiegene Aufmerksamkeit kann zu produktiveren Budgetdiskussionen führen, da sich alle Beteiligten über das Risiko im Klaren sind. Es ist ein guter Zeitpunkt, um sich um mehr Mittel zu bemühen, denn Cybersicherheit wird nicht mehr als Kostenfaktor, sondern auch als Wettbewerbsvorteil angesehen.
Sicherheitsverantwortliche können diese Position der Stärke nutzen, um schnell zu handeln und den größten Vorteil zu nutzen, den sie haben: Sie kennen ihre Netzwerke besser als die Angreifer. Der Einblick in alle Ressourcen ist ein wichtiger erster Schritt, um sich proaktiv vorzubereiten und sich auf die wahrscheinlichen Angriffswege zu konzentrieren. Es gilt alle Systeme und Geräte zu berücksichtigen, einschließlich des erweiterten IoT (XIoT), das OT/Industrial IoT (IIoT), Internet of Medical Things (IoMT) und Enterprise IoT umfasst. Dies kann einige Zeit in Anspruch nehmen. Man sollte daher Prioritäten bei den kritischsten Prozessen, Maschinen und Geräten setzen, um den größten Effekt zu erzielen.
2. Die Teams zusammenführen
Oft werden der OT-Governance-Prozess und das Security Operations Center (SOC) separat betrieben. Dies birgt jedoch Risiken und kann zu Verzögerungen führen. Stattdessen ist es sinnvoller, die Verantwortung und Rechenschaftspflicht für die Sicherung der OT-Umgebung unter dem CISO zu zentralisieren. IT- und OT-Teams können zusammenarbeiten, indem sie die in IT-Umgebungen verwendeten bewährten Verfahren und Technologien nutzen und schrittweise OT-spezifische Funktionen hinzufügen, um das gesamte Netzwerk abzudecken. Ein ganzheitlicher Ansatz für Risikomanagement- und Governance-Prozesse ermöglicht es dem CISO, eine unternehmensweite Risikomanagement-Strategie effizienter und effektiver umzusetzen.
3. Die Sicherheitslage bewerten und verbessern
Wer einen Einblick in seine Anlagen hat, kann Sicherheitslücken erkennen und Risiken wie Schwachstellen und Fehlkonfigurationen minimieren. Dabei sollte der Behebung bekannter Sicherheitslücken3 Priorität eingeräumt werden. In Fällen, in denen ein Patching nicht möglich oder sinnvoll ist, wie zum Beispiel bei Altsystemen, müssen kompensierende Kontrollen wie Firewall-Regeln und Zugriffskontrolllisten identifiziert und implementiert werden. Denn nur wenn man weiß, wie stark man gefährdet ist, kann man kluge Entscheidungen darüber treffen, worauf man seine Ressourcen und sein Budget konzentrieren sollte, um den Schutz der wertvollsten Assets zu priorisieren.
4. Auf die Grundlagen besinnen
Wenn man in den letzten Monaten keine Sensibilisierung und Schulung der Endbenutzer durchgeführt hat, ist es jetzt an der Zeit für ein Update. Da sich die Angriffsfläche aufgrund von hybriden Arbeitsmodellen und zunehmender Vernetzung ständig vergrößert, nutzen viele Angreifer clevere Social-Engineering-Techniken, um in Unternehmen Fuß zu fassen. Es sollte sichergestellt sein, dass das Team diesbezüglich auf dem Laufenden bleibt. Die Stärke des technologischen Abwehrsystems ist irrelevant, wenn ein Mitarbeiter Opfer eines Spear-Phishing-Angriffs wird.
Es gilt außerdem sicherzustellen, dass die Cyberhygiene auch für XIoT-Geräte gilt. Dazu gehören die Verwendung von sicheren Passwörtern und der Verzicht auf die gemeinsame Nutzung von Passwörtern durch verschiedene Benutzer (gerade dies ist in der Industrie leider eine übliche Praxis), ein Passwort-Tresor und eine Multi-Faktor-Authentifizierung. Die US-amerikanische Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) bietet eine Reihe kostenloser Hygienetools an4, darunter Scans und Tests, um die Gefährdung zu verringern.
5. Den Zugang und die Kommunikation kontrollieren
Verantwortliche sollten ihre Netzwerksegmentierung überprüfen: Die IT/OT-Segmentierung muss die Wahrscheinlichkeit verringern, dass ein Angriff auf das IT-Netzwerk auf das OT-Netzwerk übergreift. Darüber hinaus ist die virtuelle Segmentierung innerhalb der OT-Umgebung eine kostengünstige und effiziente Methode, den „Normalzustand“ zu erkennen. Auf diese Weise lässt sich identifizieren, wenn Angreifer versuchen, eine Präsenz aufzubauen, Zonen zu überspringen und sich in der Umgebung zu bewegen. Benötigen Remote-Prozesse direkten Zugang zu den OT-Netzwerken, muss sichergestellt werden, dass dies über eine sichere Remote-Zugangsverbindung mit strengen Kontrollen für Benutzer, Geräte und Sitzungen erfolgt.
6. Systeme überwachen
Hochentwickelte Angriffe erfordern eine umfangreiche Vorbereitung durch die Angreifer, sind in der Regel zeitintensiv bei der Ausführung und beinhalten häufig zahlreiche laterale Bewegungen. Agentenlose Lösungen, die speziell für die kontinuierliche Überwachung von Bedrohungen im gesamten OT-Netzwerk entwickelt wurden, können schnell implementiert werden und liefern Frühwarnindikatoren für eine Gefährdung. Auf diese Weise sind Sie den Bedrohungen voraus und können die notwendigen Schritte zur Risikominderung einleiten.
7. Abwehrbereitschaft aufbauen
Tabletop-Übungen mit wahrscheinlichen Szenarien sind ein effektiver Weg, um ein tieferes Verständnis der organisatorischen und technischen Bereitschaft zu erlangen. Man sollte die gewonnenen Erkenntnisse nutzen, um einen verbesserten Incident-Response-Plan zu erstellen. Falls noch nicht vorhanden, sollte man Partnerschaften mit Incident-Response-Spezialisten und Anwaltskanzleien schließen: Im Falle eines Angriffs erhält man so eine bessere und schnellere Beratung, wenn diese Partner Ihre wichtigsten internen Stakeholder und Teams bereits kennen, Einblick in die bestehende IT- und OT-Infrastruktur und die jeweiligen Kontrollen haben und Ihr Geschäfts- und Risikoprofil verstehen.
Wenn die zahlreichen Angriffe auf Einrichtungen der kritischen Infrastrukturen etwas Gutes gehabt haben, dann dies: Die meisten Führungskräfte müssen nicht mehr davon überzeugt werden, dass die Bemühungen zum Schutz kritischer Infrastrukturen beschleunigt werden müssen. Man sollte dies zum eigenen Vorteil nutzen und jetzt damit anfangen.
Galina Antova, Mit-Gründerin und Chief Business Development Officer von Claroty
1 https://www.bmi.bund.de/DE/themen/bevoelkerungsschutz/schutz-kritischer-infrastrukturen/schutz-kritischer-infrastrukturen-node.html
2 https://ag.kritis.info/2022/05/23/bundesregierung-finanziert-forschung-zur-schaffung-des-cyberhilfswerk-im-thw/
3 https://www.cisa.gov/known-exploited-vulnerabilities-catalog
4 https://www.cisa.gov/cyber-hygiene-services
Lesen Sie mehr zum Thema
