Überbrückung der IT-OT-Sicherheitslücke mit leicht zu implementierenden Maßnahmen
Prayukth KV
Schließen Sie die IT-OT-Sicherheitslücke mit leicht umsetzbaren Maßnahmen
Als Chief Information Security Officer (CISO) bin ich sicher, dass Sie die Kunst gemeistert haben, das Unternehmen auf allen Ebenen zu verteidigen. Sie schützen Daten, verwalten Cloud-Risiken, sorgen für Compliance und sichern Endpunkte. Die Segmentierung von Netzwerken und die Anwendung von Sicherheitsmaßnahmen speziell für OT-Netzwerke und -Systeme stellt jedoch eine ganz andere Herausforderung dar.
Für einen CISO öffnet die Konvergenz von OT und IT eine Büchse der Pandora mit risikoreichen Konsequenzen. Ein Angriff auf das IT-Netzwerk kann zu einem Datenschutzvorfall oder Datenverlust führen. Ein Angriff auf das OT-Netzwerk könnte jedoch zu einem Fabrikstillstand, einem Verlust von Marktanteilen, einer Umweltkatastrophe, massiven regulatorischen Strafen oder sogar zu Todesfällen führen.
Die Gewichtung ist anders aus der Sicht der Governance, der geschäftlichen Auswirkungen und der operativen Priorität. Die Technologie ist unterschiedlich und so sollte es auch Ihr Ansatz sein. Ihr Sicherheitsleitfaden muss unterschiedlich sein. Dies ist Ihre Roadmap zur Schließung der Lücke.
Lesen Sie alles über den Cyberangriff auf die Asahi-Brauerei hier.
Die IT- vs. OT-Sicherheitslücke: Warum ist sie wichtig?
Sie können nicht schützen, was Sie nicht sehen oder verstehen. Die Kernherausforderung für CISOs besteht darin, dass IT- und OT-Systeme auf grundlegend unterschiedlichen Philosophien aufgebaut und betrieben werden. Zudem werden Aspekte wie die Sichtbarkeit von Assets auf der IT-Seite als selbstverständlich angesehen, während sie im OT-Netzwerk möglicherweise nicht ausreicht. Wie bringen Sie dann die OT-Sicherheit auf das Niveau der Sicherheit Ihrer IT-Netzwerke?
Es ist essentiell zu erinnern, dass die Anwendung von IT-Sicherheitslogik auf eine OT-Umgebung nicht nur ineffektiv, sondern gefährlich ist.
Ich werde dies für Sie weiter aufschlüsseln
Faktor | Informationstechnologie (IT) | Betriebstechnologie (OT) |
Hauptziel | Vertraulichkeit & Integrität (Das „CIA“-Triade) | Verfügbarkeit und Sicherheit (Das „ASA“-Triade) |
Oberste Priorität | Daten schützen | Den physischen Prozess sicher betreiben, Compliance (für kritische Infrastrukturanbieter) |
Ausfallzeiten | Akzeptabel für Patching und Wartung (z.B., „Patch Tuesday“) | Unakzeptabel. Kann Millionen pro Stunde kosten und Sicherheitsrisiken schaffen. |
Systemlebenszyklus | 3-5 Jahre. Regelmäßige Updates und Ersetzungen. | 15-25+ Jahre. „Wenn es nicht kaputt ist, repariere es nicht“-Mentalität. |
Umgebung | Klimatisierte Rechenzentren | Raue, robuste Industrieumgebungen (Hitze, Staub, Vibrationen) |
Protokolle | Standardisiert (z.B., TCP/IP, HTTPS) | Oft proprietär und unverschlüsselt (z.B., Modbus, Profinet) |
Auswirkungen eines Angriffs | Datenverlust, finanzieller Diebstahl, Reputationsschaden | Physische Störung, Geräteschaden, regulatorische Bußgelder, Umweltaustritte, menschliche Verletzung oder Tod. |
Asset-Sichtbarkeit | Hoch | Durchschnitt bis niedrig |
Diese Lücke ist von Bedeutung, weil Ihre größte Stärke in IT-Sicherheit Ihre größte Schwäche in OT-Sicherheit darstellen kann.
Die Fallstricke: Warum das „Copy-Paste“ von IT-Sicherheit in OT nicht funktioniert
Der Versuch, IT-Sicherheitskontrollen auf das OT-Netzwerk zu übertragen, ist zum Scheitern verurteilt. Diese Strategie schlägt fast immer fehl, vor allem aus den im vorherigen Teil dieses Posts genannten Gründen.
Schwachstellen-Scans stören den Betrieb: Ein aktiver Portscan von Ihrem bevorzugten IT-Schwachstellenscanner kann den fragilen, bandbreitenschwachen Prozessor eines 20 Jahre alten Programmable Logic Controller (PLC) schnell überwältigen und zu einem Absturz führen, wodurch eine Produktionslinie zum Erliegen kommt.
Patching-Chaos: Sie können nicht einfach eine Turbine im Stromnetz oder einen pharmazeutischen Chargenreaktor neu starten, um einen Patch anzuwenden. Das OT-Patch-Management muss während geplanter Wartungsfenster minutiös geplant werden, die möglicherweise nur einmal oder zweimal im Jahr stattfinden. Darüber hinaus muss der Patch vor dem Einsatz getestet werden.
Antivirus beeinträchtigt die Leistung: Ein traditionelles Endpunkt-Antivirus auf einer Mensch-Maschine-Schnittstelle (HMI), die einen Hochgeschwindigkeitsprozess steuert, kann viele kritische CPU-Zyklen verbrauchen, Latenzzeiten einführen und sogar Echtzeitoperationen stören.
Zero Trust? Ein wichtiges Konzept, aber die Implementierung in einer Umgebung voller veralteter Geräte, die moderne Authentifizierung nicht unterstützen, ist eine massive Herausforderung. Sie können einfach keine Multi-Faktor-Authentifizierungsaufforderung auf einen Sensor setzen.
Das Übertragen von IT-Sicherheit auf OT stört einfach Dinge, wie ich bereits erwähnte.
Ihr Fahrplan: Wo die OT-Sicherheitsreise beginnen sollte
Für viele CISOs ist eine OT-Umgebung oft eine Blackbox. Ihre Reise muss mit den grundlegendsten aller OT-Sicherheitsanforderungen beginnen, nämlich Sichtbarkeit. Sie können einfach nicht sichern, was Sie nicht sehen.
Wo anfangen?
Brücken bauen und keine Mauern (Menschen und Governance)
Ihr erster Schritt ist nicht technisch. Er ist kulturell. Die Betriebsleiter und Steuerungsingenieure in der OT-Welt betreiben diese Systeme seit Jahrzehnten. Sie sprechen eine andere Sprache (PLCs, nicht APIs) und haben unterschiedliche Prioritäten (Betriebszeit, nicht Patches).
Partner des Betriebsleiters: Gehen Sie auf den Werkboden. Tragen Sie den Schutzhelm. Fragen Sie sie: „Was hält Sie nachts wach?“ und „Was wäre das schlimmste Szenario hier?“
Ein interdisziplinäres Team bilden: Erstellen Sie ein IT-OT-Sicherheitssteuerungskomitee. Beziehen Sie den CISO (Sie), den Leiter der Technik oder des Betriebs, Betriebsleiter und IT-Netzwerkleiter mit ein.
Ein gemeinsames Ziel etablieren: Ihr Ziel ist nicht nur „Sicherheit.“ Es ist „sichere und zuverlässige Betriebsführung.“ Treffen Sie jede Entscheidung dieses gemeinsamen Ziels entsprechend.
Erstellen Sie ein "Kronjuwelen" Asset-Inventar
Sie können nicht mit einem Schwachstellenscan beginnen. Sie müssen mit einem passiven Asset-Inventar beginnen. Verwenden Sie ein Netzwerk-Erkennungs- und Überwachungswerkzeug, das für OT-Netzwerke ausgelegt ist und den Datenverkehr überwacht, ohne aktiv Geräte abzufragen, wie Shieldworkz.
Ihr Ziel ist es zu beantworten:
Welche Geräte befinden sich in meinem Netzwerk? (PLCs, HMIs, VFDs, Sensoren)
Mit wem kommunizieren sie? (Was ist normales Verhalten?)
Welche Protokolle verwenden sie?
Welche Schwachstellen haben sie? (Dies erfolgt durch den Abgleich von Geräte-/Firmware-Versionen mit einer Schwachstellendatenbank, nicht durch aktives Scannen).
Identifizieren Sie Ihre "Kronjuwelen" für die kritischsten Prozesse. Ein Bruch welches Systems würde zu einem Sicherheitsvorfall oder einem völligen Stillstand führen? Konzentrieren Sie Ihre Bemühungen zuerst darauf.
Führen Sie eine konsequenzbasierte Risikoabschätzung durch
Vergessen Sie die IT-zentrierte „Hoch/Mittel/Niedrig“-Risikomatrix basierend auf CVSS-Werten. Im OT-Bereich geht es beim Risiko nicht nur um die Schwachstelle; es geht um die Konsequenz.
Ein geringfügiger Schwachstelle auf einem nicht kritischen IT-Server ist ein kleines Problem. Dieselbe Schwachstelle auf dem PLC, der den Druck eines Kessels steuert? Das ist ein kritisches, lebensbedrohliches Risiko.
Stellen Sie diese Fragen für Ihre kritischen Assets:
Was ist das schlimmstmögliche physische Ergebnis? (z.B., Explosion, giftige Freisetzung, Stopp der Fertigungslinie)
Was sind die betrieblichen Auswirkungen? (z.B., 1 Stunde Ausfallzeit vs. 3 Tage)
Was sind die finanziellen Auswirkungen dieser Ausfallzeit?
Dieses neue Risikomodell zeigt Ihnen sofort, wo Sie Ihr begrenztes Budget und Ihre Ressourcen priorisieren sollten.
Verwendung des IEC 62443 Standards als Nordstern
Sie müssen das Rad nicht neu erfinden. Die IEC 62443 Serie ist der globale Goldstandard für die Sicherheit von industriellen Automatisierungs- und Steuerungssystemen (IACS).
Betrachten Sie es als das „NIST CSF für OT.“ Es ist ein umfassendes, risikobasiertes Rahmenwerk für Asset-Eigentümer, Systemintegratoren und Produktanbieter. Für einen CISO bietet es eine klare Sprache und Struktur für Ihr Programm.
Schlüsselkonzepte aus IEC 62443, die Sie sofort übernehmen sollten:
Zonen und Conduits: Dies ist das Herzstück des Standards. Versuchen Sie nicht, ein flaches, offenes OT-Netzwerk zu sichern. Gruppieren Sie Ihre Assets logisch in Zonen basierend auf ihrer Funktion und Kritikalität (z.B. „Kesselsteuerungszone,“ „Verpackungslinienzone“). Jegliche Kommunikation zwischen diesen Zonen muss durch einen definierten Conduit (wie eine Firewall) erfolgen, wo Sie Sicherheitsrichtlinien durchsetzen können.
Sicherheitsniveaus (SLs): IEC 62443 definiert vier Sicherheitsniveaus (SL 1-4) basierend auf den Fähigkeiten und der Motivation des Angreifers. Anstatt zu fragen „Ist dies sicher?“, können Sie fragen, „Was ist das Ziel-Sicherheitsniveau (SL-T) für diese Zone?“ Dies hilft Ihnen, angemessene Kontrollen anzuwenden, nicht alle Kontrollen.
Mit diesem Rahmenwerk entsprechen Ihre Bemühungen den globalen Best Practices und Sie haben einen verteidigungsfähigen Standard, an dem Sie sich orientieren können.
Eine separate OT-Sicherheitspolitik entwickeln
Ihre bestehende IT-Sicherheitspolitik ist im OT-Umfeld nicht zweckmäßig. Sie müssen eine dedizierte OT-Sicherheitspolitik entwickeln, die in Zusammenarbeit mit Ihren Technik- und Betriebsteams erstellt wird.
Diese Politik sollte klar, prägnant und auf operative Realitäten fokussiert sein.
IT-Politik Beispiel | OT-Politik Gegenstück |
„Alle Systeme müssen innerhalb von 30 Tagen nach Bekanntwerden einer Schwachstelle gepatcht werden.“ | „Patches für OT-Systeme werden in einer nicht-produktiven Umgebung getestet und von befugten Technikern während des nächsten geplanten Wartungsfensters angewendet.“ |
„Alle Benutzerkonten erfordern eine Passwortrotation alle 90 Tage.“ | „Systemkonto-Kennwörter auf kritischen HMIs verwenden lange, komplexe Passphrasen. Fernzugriff ist standardmäßig verboten und wird nur bestimmten Anbietern für eine begrenzte Zeit über ein sicheres, überwachtes Gateway ermöglicht.“ |
„Wechselmedien (USB) sind auf allen Endpunkten deaktiviert.“ | „Nur von der Firma genehmigte, verifizierte und gescannte USB-Geräte dürfen von autorisiertem Personal verwendet werden. An der Werekseingang gibt es eine spezielle ‚USB-Scan-Station'." |
Ihre Politik sollte ausdrücklich Folgendes abdecken:
Fernzugriff: Wer, wie, wann und warum. Dies ist ein Top-Angriffsvektor.
Netzwerksegmentierung: Das Modell „Zonen und Conduits“ vorschreiben.
Änderungsmanagement: Wie werden PLC-Logik, HMI-Bildschirme und Firewall-Regeln geändert und wer muss dies genehmigen?
Reaktionspläne auf Vorfälle: Einen spezifischen OT-Plan erstellen. (Siehe unten)
Wie Sie Ihren OT-Sicherheitsfortschritt verfolgen (Nur die Kennzahlen, die zählen)
Ihre Führungskräfte verstehen Geld und Risiko, keine Paketcap-Daten. Sie müssen Ihren OT-Sicherheitsfortschritt in geschäftsrelevante Metriken übersetzen.
Gehen Sie über grundlegende IT-Metriken hinaus und adoptieren Sie ein ausgeglichenes Kennzahlensystem.
Betriebliche Kennzahlen (Für das Team)
Asset-Inventurabdeckung: Prozentsatz der identifizierten und klassifizierten OT-Assets.
Netzwerksichtbarkeit: Prozentsatz der überwachten Netzwerksegmente für anormales Verhalten.
Mittlere Erkennungszeit (MTTD): Wie schnell erkennen Sie eine bösartige Anweisung oder eine unautorisierte Fernverbindung? Dies ist wichtiger als MTTR.
Patch-/Schwachstellenstatus: Nicht „Anzahl der ungepatchten Systeme“, sondern „Prozentsatz der kritischen Schwachstellen mit einer kompensierenden Kontrolle“ (wie Netzwerksegmentierung oder virtuelles Patchen).
Strategische Kennzahlen (Für die Führung)
Risikoreduktion: Zeigen Sie den „Vorher“- und „Nachher“-Risikoscore für Ihre Kronjuwelen-Prozesse basierend auf Ihrer konsekruzbasierenden Bewertung.
Erreichen des Sicherheitsniveaus (SL): Zeigen Sie den Fortschritt: „Letztes Jahr erfüllten 10 Prozent unserer kritischen Zonen ihr Security Level Target gemäß IEC 62443. Dieses Jahr erreichen wir 40 Prozent."
Vorfälle-Reaktionsfähigkeit: Prozentsatz der Anlagen, bei denen in den letzten 12 Monaten eine OT-spezifische Tabletop-Übung durchgeführt wurde.
Quantitative Risikobelastung: Verwenden Sie Modelle (wie FAIR), um einen Geldbetrag an OT-Risiken zu binden. „Durch die Implementierung einer Netzwerksegmentierung haben wir unsere potenziellen Verluste (oder sogar Risiken) durch einen fabrikweiten Stillstand um $XX Millionen reduziert."
CISO's OT Sicherheitschecklist: Ein Jahresplan
Ich habe eine Checkliste zusammengestellt, die Ihnen hilft, Ihr OT-Sicherheitsprogramm reibungslos zu führen. Fühlen Sie sich frei, zusätzliche Punkte hinzuzufügen.
Phase 1: Bewerten und Steuern (Monate 1-3)
[ ] Das Team aufbauen: Das IT-OT-Sicherheitsgovernance-Komitee etablieren.
[ ] Einen Standortbesuch machen: Den Werkboden besuchen. Mit den Ingenieuren sprechen.
[ ] Ein passives Asset-Inventur-Tool bereitstellen: Sichtbarkeit erlangen.
[ ] 3-5 „Kronjuwelen“-Prozesse identifizieren: Herausfinden, was am wichtigsten ist.
[ ] Eine hochrangige Risikoabschätzung durchführen: Auf die schlimmsten Konsequenzen fokussieren.
Phase 2: Sicherstellen und segmentieren (Monate 4-9)
[ ] Entwurf v1.0 der OT-Sicherheitspolitik: Mit dem Betrieb gemeinsam erstellen.
[ ] Ihre „Zonen und Conduits“-Architektur gestalten: Mit Ihren Kronjuwelen beginnen.
[ ] Ihren ersten Conduit implementieren (falls noch nicht geschehen): Eine Firewall installieren, um Ihre kritischste Zone zu schützen.
[ ] Sicheren Fernzugriff einrichten: Alle unerlaubten Modems und ungesicherten VPNs entfernen. Ein sicheres, überwachtes Gateway erstellen.
[ ] Einen OT-Vorfallreaktionsplan entwickeln: Definieren, wer was tut, wenn ein PLC kompromittiert ist.
Phase 3: Überwachen & Reifen (Monate 10-12)
[ ] Netzwerküberwachung bereitstellen: Beginnen Sie mit der aktiven Überwachung auf anomalen Datenverkehr und Bedrohungen.
[ ] Ihre erste OT-Tabletop-Übung durchführen: Simulieren Sie einen realistischen Angriff (wie Ransomware auf einer HMI).
[ ] Ihr Metrik-Dashboard aufbauen: Beginnen Sie mit der Verfolgung Ihres Fortschritts (Asset-Abdeckung, Risikominderung).
[ ] Ihr Personal schulen: Basis-Sicherheitsschulung speziell für das Werkflächenpersonal durchführen.
Sprechen mit unserem OT-Sicherheitsprogramm-Experten
Erfahren Sie mehr über die Sicherung Ihrer Kronjuwelen mit der Shieldworkz’ NDR-Lösung.
Bereit für eine risikoorientierte Bewertung basierend auf IEC 62443? Sprechen Sie jetzt mit uns.
Erfahren Sie alles über den Cyberangriff auf europäische Flughäfen. Hier
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
Wie iranische Bedrohungsakteure ohne Konnektivität operieren
Prayukth K V
Während globale Konflikte eskalieren, ändern sich die APT-Strategien leise.
Prayukth K V
Iranische Bedrohungsakteure kehren zurück; eigentlich waren sie nie weg
Prayukth K V
NERC CIP-015-2 Erklärt: Erweiterung von INSM auf EACMS und PACS
Team Shieldworkz
Sicherung kritischer Infrastrukturen vor APT-Gruppen während geopolitischer Ereignisse
Prayukth K V
Entschlüsselung der strategischen Zurückhaltung iranischer Cybergruppen
Team Shieldworkz
