site-logo
site-logo
site-logo

CISA-Empfehlung für Betreiber kritischer Infrastrukturen zur Verbesserung der sicheren Kommunikation

Startseite

Blogs

CISA-Empfehlung für Betreiber kritischer Infrastrukturen zur Verbesserung der sicheren Kommunikation

CISA-Empfehlung für Betreiber kritischer Infrastrukturen zur Verbesserung der sicheren Kommunikation

NERC CIP-015-2 Explained
Shieldworkz logo

Prayukth K V

Der heutige Blogbeitrag präsentiert eine Zusammenfassung des kürzlich veröffentlichten Beratungspapiers der CISA mit dem Titel „Hindernisse für sichere OT-Kommunikation: Warum Johnny sich nicht authentifizieren kann“. Dieses Papier kann von diesem Link heruntergeladen werden.

Ganz gleich, wie Sie es betrachten, dies ist mehr als nur eine weitere CISA-Empfehlung. Stattdessen stellt es eine grundlegende Veränderung dar, wie die Bundesregierung das "menschliche Element" der Cybersecurity betrachtet. Seit Jahren lautet die Branchenansicht, "Johnny braucht einfach mehr Schulung." Der CISA-Bericht vom Februar 2026, „Hindernisse für sichere OT-Kommunikation: Warum Johnny sich nicht authentifizieren kann," kehrt das Skript im Wesentlichen um und bringt weitere Aspekte in den Vordergrund, die in einen umfassenden sicheren Kommunikationsplan integriert werden müssen.

Der Bericht artikuliert, dass Johnny (der Betreiber) das System nicht im Stich lässt. Stattdessen sieht es so aus, als ob das System Johnny im Stich lässt. Durch den Fokus auf die „unbenutzbare“ Natur der aktuellen Sicherheitsimplementierungen in der Operational Technology (OT) hat die CISA eine Roadmap bereitgestellt, die den Übergang von theoretischer Sicherheit zu funktionaler Resilienz ermöglicht.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag über „Wie ein Nebenjob Rumäniens nationale Öl-Pipeline lahmgelegt hat“ hier zu lesen.

Das zentrale "Johnny"-Problem: Erbe des Usability-Versagens

Einige von uns erinnern sich vielleicht an diesen Titel und seinen Kontext. Der Titel ist ein unverkennbarer Verweis auf das bahnbrechende Papier von 1999 „Warum Johnny nicht verschlüsseln kann“, das bewies, dass wenn Sicherheitstools zu schwer zu nutzen sind, die Benutzer sie einfach nicht verwenden. Im Kontext von 2026 wendet die CISA dieselbe Logik auf die Techniker und Ingenieure an, die unsere Stromnetze, Wasseraufbereitungsanlagen und Produktionslinien verwalten.

Wir alle wissen, dass in einer OT-Umgebung das primäre Ziel Verfügbarkeit und Sicherheit ist. Wenn ein Authentifizierungsgat eine Anweisung an eine Kühlpumpe nur um einige Millisekunden verzögert oder sie aufgrund eines abgelaufenen Zertifikats vollständig blockiert, ist das Ergebnis nicht nur ein „Zugriff verweigert“-Protokoll; es ist eine physische Katastrophe. Dies ist ein einfach vorstellbares Szenario für alle OT-Betreiber.

Über das Klartext hinaus

Zu lange haben IT-zentrierte Sicherheitsfachleute auf OT-Betreiber herabgesehen, weil sie Klartextprotokolle wie Modbus oder DNP3 verwenden. Der Bericht der CISA validiert die Perspektive des Betreibers. Unsicherheit ist oft eine bewusste Entscheidung, um Zuverlässigkeit sicherzustellen.

Technische Barrieren: Die CPU- und Speicherbelastung

Moderne Kryptografie ist hinsichtlich ihrer Rechenleistung ziemlich „teuer“. Das CISA-Dokument beschreibt eine harte Realität: Viele der Geräte, die derzeit kritische Infrastrukturen steuern, wurden gebaut, bevor viele von uns ihre Karriere begannen oder noch ihr Studium absolvierten.  

  • Die Ressourcenlücke: Die Implementierung von Transport Layer Security (TLS) oder sogar einfacher Nachrichtenauthentifizierungscodes (MACs) erfordert CPU-Zyklen und Speicher, den ältere SPS (Speicherprogrammierbare Steuerungen) sich einfach nicht leisten können.

  • Die Latenzherausforderung: Bei Hochgeschwindigkeitsprozessen (wie dem Schutz von Stromnetzen) kann die Zeit, die ein „Handshake“ zur Authentifizierung einer Nachricht benötigt, länger dauern, als die Zeit, die für die Ausführung des Befehls zur Verfügung steht.

  • Das „Kopflose“-Problem: Viele OT-Geräte kommen ohne Bildschirm oder Tastatur aus. Die Konfiguration eines komplexen, 20-stelligen Passworts oder eines Tokens zur multifaktoriellen Authentifizierung (MFA) ist daher auf einem Gerät, das in einem fernen Unterstationen-DIN-Schienen-Gehäuse lebt, physisch unmöglich.

Albtraum des Zertifikatsmanagements

Wenn es einen „Bösewicht“ in diesem Bericht gibt, dann ist es der aktuelle Zustand der Public Key Infrastructure (PKI) im Feld. Die CISA hebt hervor, dass die Verwaltung von Identitäten für Tausende von entfernten, oft abgekoppelten Geräten das größte operative Sicherheitshemmnis darstellt.

Die „fail-closed“-Falle oder Ähnliches

In der IT blockiert Ihr Browser eine Website, wenn ein Zertifikat abgelaufen ist. Das ist „fail-closed“ und sicher. In der OT kann eine Pipeline platzen, wenn ein Zertifikat auf einem Ventilregler abläuft und dieser Regler „fail-closed“ ist, indem er die Annahme von Befehlen verweigert.

  • Das Ergebnis: Betreiber deaktivieren häufig das Zertifikatsüberprüfen vollständig, um selbsteingerichtete Ausfallzeiten zu vermeiden, wodurch die gesamte Verschlüsselungsschicht hinfällig wird.

Die Verbindungslücke

Viele OT-Umgebungen sind „luftgetrennt“ oder haben begrenzte Konnektivität. Wie überprüft man eine Zertifikatrücknahmeliste (CRL) oder erreicht einen Online-Zertifikatsstatusprotokoll-Responder (OCSP), wenn man keine Verbindung zum Internet herstellen darf? Der Bericht hebt hervor, dass uns eine „standardisierte, offline-freundliche“ Methode fehlt, um Vertrauen in großem Maßstab zu verwalten.

Das Sichtbarkeitsparadox: Sicherheit vs. Beobachtbarkeit

Die CISA stellt einen kritischen Konflikt vor: Verschlüsselung blendet die Verteidiger.

Moderne OT-Sicherheit verlässt sich stark auf Netzwerk-Erkennungs- und Reaktionstools (NDR), die den Datenverkehr „schnüffeln“, um Anomalien zu finden. Wenn Sie diesen Verkehr verschlüsseln (z.B. mit sicherem OPC UA oder SIP), können diese Tools nicht mehr sehen, was sich im Paket befindet.

Die CISA-Empfehlung: Der Bericht lehnt sich stark auf Nachrichtenunterzeichnung (Integrität) ab im Vergleich zur Verschlüsselung (Privatsphäre).

„Es ist oft wichtiger für einen Betreiber zu wissen, dass ein Befehl definitiv von der autorisierten Steuerung kam (Integrität), als es ist, den Befehl vor einem passiven Mithörer zu verbergen (Privatsphäre).“

Durch das Unterzeichnen von Nachrichten stellen wir Authentizität sicher, ohne die Fähigkeit zu verlieren, das Netzwerk auf Sicherheit zu überwachen.

Ökonomische Barrieren und Marktversagen

Warum hat der Markt dies nicht behoben? Die CISA verweist auf ein „Marktversagen“ im OT-Anbieterökosystem:

  • Sicherheit als Premium: Viele Anbieter behandeln Sicherheitsfunktionen (wie Protokollierung oder verschlüsselte Protokolle) als „Add-on“-Lizenzen anstatt als Kernsicherheitsfeatures.

  • Lange Lebenszyklen: Ein Wasserwerk könnte seine Pumpen alle 25 Jahre ersetzen. Dies bedeutet, dass wir derzeit mit den Sicherheitsentscheidungen leben, die 2005 getroffen wurden.

  • Anbietersperre: Wenn Version A eines Anbieters nicht mit dem „sicheren“ Gateway von Anbieter B kommuniziert, bleibt dem Betreiber nur der kleinste gemeinsame Nenner: das unsichere Altsystemprotokoll.

Das „Secure by Design“-Mandat

Die CISA schlussfolgert, dass die Authentifizierungslast vom Benutzer auf den Hersteller verlagert werden muss. Dies ist der Kern ihrer „Secure by Design“-Initiative von 2026.

  • Keine Standardpasswörter mehr: Geräte müssen mit einzigartigen Zugangsdaten geliefert werden oder bei der ersten Inbetriebnahme eine Änderung verlangen.

  • Hardwarebasierte Vertrauenswürdigkeit: Hersteller müssen sichere Elemente (TPMs) in die Hardware integrieren, damit die Identität in das Silizium eingebettet ist und nicht in einer Tabelle von einem gestressten Techniker verwaltet wird.

  • Interoperabilität: Authentifizierungsmethoden müssen standardisiert werden, sodass „Johnny“ nur ein System lernen (und darin kompetent werden) muss, nicht fünf.

Die umfassende „Sichere Johnny“-Checkliste

Diese Checkliste ist für OT-Manager und CISOs gedacht, um ihre aktuelle Haltung gegenüber den im CISA-Bericht 2026 identifizierten Barrieren zu bewerten.

Strategisch und beschaffungstechnisch

  • [ ] Bestandsaufnahme veralteter Einschränkungen: Haben Sie identifiziert, welche Geräte nicht über die CPU/RAM verfügen, um moderne Verschlüsselung zu handhaben?

  • [ ] Secure-by-Design-Aufforderung zur Angebotsabgabe (RFP): Fordern Ihre Beschaffungsverträge einzigartige Anfangspasswörter und Unterstützung für signierte Protokolle?

  • [ ] Sicherheits- und Sicherheitsabgleich: Haben Sie definiert, welche Systeme „fail open“ (verfügbarkeitspriorisierend) vs. „fail closed“ (sicherheitspriorisierend) sein müssen?

  • [ ] Lizenzprüfung: Werden Ihnen zusätzliche Kosten für Sicherheitsprotokolle oder verschlüsselte Protokollversionen berechnet? (Fordern Sie, dass diese als Sicherheitsfunktionen enthalten sind).

Operationale Authentifizierung

  • [ ] Eindeutigkeit der Zugangsdaten: Gibt es noch gemeinsame „admin/admin“- oder „operator/operator“-Konten, die auf dem Shopfloor verwendet werden?

  • [ ] MFA für den Zugriff: Ist MFA für den Menschen erforderlich, der Zugriff auf das HMI hat, auch wenn die Gerät-zu-Gerät-Kommunikation noch im Klartext erfolgt?

  • [ ] Schlüsselrotation Zeitplan: Haben Sie einen dokumentierten Plan zur Zertifikatsrotation, der keine Internetverbindung erfordert?

  • [ ] Physische Sicherheit: Da „Johnny“ nicht immer digital authentifizieren kann, sind die physischen Anschlüsse Ihrer SPS verschlossen oder manipulationssicher?

Technische Überwachung

  • [ ] Integrität vs. Privatsphäre: Haben Sie erkundet, „nur signierte“ Modi für Protokolle zu verwenden, um Sichtbarkeit für Ihre IDS/NDR-Tools zu bewahren?

  • [ ] Latenz-Benchmarking: Haben Sie die Millisekundenverzögerung gemessen, die Ihr Sicherheitsstack verursacht, um sicherzustellen, dass es keine Kontrollschleifen bricht?

  • [ ] Zentralisierung der Protokollierung: Senden Ihre OT-Geräte Protokolle an ein zentrales, unveränderliches Repository, oder werden sie alle 24 Stunden überschrieben?

  • [ ] Netzwerkzonierung: Sind unsichere „Johnny“-Geräte in einer eingeschränkten Zone isoliert (ISA/IEC 62443-Art) mit eine stateful firewall?

Der Bericht der CISA ist ein deutlicher Hinweis darauf, dass wir uns nicht aus der OT-Sicherheitskrise „herauspatchen“ können. Authentifizierung scheitert, weil sie als technisches Add-on und nicht als operative Notwendigkeit behandelt wird. Um „Johnny“ zu helfen, müssen wir aufhören, ihn zu einem Sicherheitsexperten zu machen und ihm stattdessen Werkzeuge geben, die sich von vornherein als sicher, von Haus aus widerstandsfähig und vor allem inmitten einer Krise nutzbar erweisen.

Mehr über unsere NIS2-Konformitätsdienste.

Erfahren Sie mehr über die Incident-Response-Dienste von Shieldworkz

Sprechen Sie mit einem Sicherheitsexperten für den Urlaub (ja, wir haben einen dedizierten Sicherheitsprofi, der mehr über die Feinabstimmung Ihrer Sicherheitsmaßnahmen in mageren Zeiten weiß).

Probieren Sie unsere OT-Sicherheitsplattform hier aus.

Herunterladbare Ressourcen:

Checkliste zur OT-Cybersicherheit für Wartung vor Ort

Checkliste zum Schutz vor Insider-Bedrohungen

Checkliste zum Management von Cyberrisiken  

Strategische IEC 62443-Checkliste zum Schutz Ihrer IACS-Operationen

Bericht zum Stand der OT-Sicherheit

 

Wöchentlich erhalten

Ressourcen & Nachrichten

Dies könnte Ihnen auch gefallen.

Nova Scotia Power breach

From click to crisis: How Nova Scotia Power got breached

Team Shieldworkz

Handala iranischer Akteur der Bedrohung

Entpacken Sie Handalas Resilienz-Leitfaden

Prayukth K V

Zuordnung des NIST CSF 2.0 zu IEC 62443

Übertragung des NIST CSF 2.0 auf IEC 62443: Ein praktisches Rahmenwerk für die industrielle OT-Sicherheit

Shieldworkz-Logo

Team Shieldworkz

IEC 62443-Kontrollen

Bereitstellung von IEC 62443 Sicherheitsmaßnahmen in IACS: Ein praktischer Implementierungsleitfaden

Prayukth K V

Umsetzung der NIS2-Richtlinie

Bewältigung der Herausforderungen bei der Umsetzung von NIS2

Team Shieldworkz

Air-Gapped SCIFs und NERC CIP-015: Warum SCADA nicht ausreicht

Air-Gapped SCIFs und NERC CIP-015: Warum die traditionelle SCADA-Sicherheit nicht ausreicht

Shieldworkz Logo

Team Shieldworkz

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern