Verwaltung von Cyber-Risiken, die sich aus der IT-OT-Konvergenz ergeben

Die Konvergenz von Informationstechnologie (IT) und Operational Technology (OT)-Netzwerken hat zweifellos die Art und Weise, wie moderne Industrien arbeiten, transformiert. Auf einer Ebene haben solche Transformationen ein tiefgreifendes Erbe in den Systemgenerationen hinterlassen, die an diesen Transformationen teilnehmen, und auf einer anderen Ebene haben sie den Asset-Eigentümern einen weiteren Faktor für Effizienz und operatives Bewusstsein ermöglicht.

Einfach ausgedrückt bietet diese Integration enorme Vorteile, darunter Echtzeit-Datenanalysen, operative Effizienz und vorausschauende Wartung. Auf der anderen Seite führt sie jedoch auch zu einer neuen Welle von Cyber-Risiken. Diese Risiken entstehen aus den inhärenten Unterschieden in Technologiestapel, Sicherheitsanforderungen und operativen Prioritäten zwischen IT- und OT-Umgebungen. Da Industrien ihre betrieblichen Prozesse digitalisieren, wird es zu einer kritischen geschäftlichen Notwendigkeit, Cyber-Risiken in einem integrierten IT-OT-Ökosystem zu verstehen und zu managen.

Der heutige Blog untersucht die aufkommenden Cyber-Risiken aus der IT-OT-Konvergenz, die zugrunde liegenden Ursachen und umfassende Strategien zu deren Minderung, während er mit Industriestandards und Best Practices übereinstimmt.

Vergessen Sie nicht zu lesen: Wie ist der Cyber-Vorfall bei Jaguar Land Rover passiert? Wir untersuchen das Ereignis und bieten einige Antworten.  

Was ist IT-OT-Konvergenz?

IT bezeichnet Systeme, Hardware und Software zum Informationsverarbeitung, Datenanalyse und für Unternehmensanwendungen. Diese Systeme priorisieren Vertraulichkeit, Integrität und Verfügbarkeit und folgen in der Regel etablierten Sicherheitsprotokollen wie Firewalls, Zugangskontrollen und Verschlüsselung.

OT umfasst Systeme, die physische Geräte und industrielle Prozesse steuern, wie SCADA, DCS, PLCs, Sensoren und Aktoren. OT-Umgebungen betonen Echtzeitsteuerung, Zuverlässigkeit und Sicherheit. Sicherheitsmaßnahmen in OT richten sich oft auf Verfügbarkeit und Kontinuität mit manuellen Überbrückungen und Redundanzen.

Die IT-OT-Konvergenz ist die Integration dieser beiden Umgebungen, um Datenaustausch, Automatisierung und verbesserte Entscheidungsfindung zu ermöglichen. Das Verbinden von Produktionsanlagen mit Unternehmenssystemen kann die operative Sichtbarkeit, Koordination der Lieferkette und Leistungsüberwachung verbessern.

Diese Integration bringt jedoch systemische, prozessuale und operative Komplexitäten mit sich, da OT-Systeme historisch isoliert waren, starke Authentifizierungsmechanismen fehlten und oft veraltete Software ausgeführt wird. Ihre Verbindung mit IT-Systemen eröffnet zuvor unerreichbare Schwachstellen für externe Angreifer.

Aufkommende Cyber-Risiken aus der IT-OT-Konvergenz

Erhöhte Angriffsfläche

Wenn OT-Systeme mit Unternehmensnetzwerken oder dem Internet verbunden sind, erweitert sich die Anzahl potenzieller Einstiegspunkte erheblich. Geräte wie Remote-Überwachungsausrüstung, Mensch-Maschine-Schnittstellen (HMIs) und drahtlose Sensoren fügen Komplexitätsschichten und potenzielle Schwachstellen hinzu.

Beispielsweise könnte ein kompromittiertes Fernzugriffstool, das von Wartungspersonal verwendet wird, als Eingangstor zu sensiblen Steuerungssystemen dienen.

Veraltete Systeme mit schlechter Sicherheit

Viele OT-Systeme wurden vor Jahrzehnten entwickelt, mit wenig Berücksichtigung der Cybersicherheit. Diese Systeme könnten veraltete Betriebssysteme ausführen, Verschlüsselung fehlen und haben Standard- oder fest codierte Zugangsdaten.

Ein ungepatchtes PLC, das in einer Fertigungslinie eingesetzt wird, könnte durch bekannte Schwachstellen wie Buffer Overflows ausgenutzt werden.

Inkonsistente Sicherheitsrichtlinien

IT- und OT-Teams arbeiten oft unabhängig, verwenden unterschiedliche Richtlinien, Protokolle und Tools. Diese Trennung oder kulturelle Diskontinuität könnte zu inkonsistenter Asset-Management, Zugangskontrolle und Bedrohungsüberwachung führen.

IT-Sicherheitsteams erzwingen häufig Multi-Faktor-Authentifizierung, während OT-Systeme sich nur auf passwortbasierte Zugänge verlassen.

Insider-Bedrohungen

Konvergierte Netzwerke erhöhen das Risiko von Insider-Bedrohungen, sowohl absichtliche als auch versehentliche. Mitarbeiter oder Auftragnehmer mit legitimen Zugang zu IT-Systemen könnten unbeabsichtigt oder böswillig kritische OT-Operationen stören.

Ein Techniker, der einen persönlichen Laptop mit dem Unternehmensnetzwerk verbindet oder sogar einen nicht autorisierten persönlichen Hotspot verwendet, könnte unabsichtlich Malware in OT-Geräte einführen.

Mangel an Echtzeit-Überwachung und Bedrohungserkennung

OT-Umgebungen priorisieren Betriebszeit über Cybersicherheit-Überwachung. Viele Organisationen fehlen kontinuierliche Überwachungstools oder Bedrohungs-Intelligence-Feeds, die auf industrielle Protokolle wie Modbus oder DNP3 abgestimmt sind.

Beispielsweise könnte eine Malware-Kampagne, die eine Zero-Day-Schwachstelle in der industriellen Firmware ausnutzt, unbemerkt bleiben, bis physischer Schaden entsteht.

Compliance- und regulatorische Herausforderungen

Regulationen wie NIS2, IEC 62443 und NERC CIP stellen Anforderungen an sowohl IT- als auch OT-Systeme. Organisationen, die diese Umgebungen integrieren, müssen sicherstellen, dass sie konform sind, während sie unterschiedliche Standards, Berichtsanforderungen und Prüfpfade verwalten.

Die Segmentierung von Netzwerken ist eine grundlegende Maßnahme der Hygiene, jedes Standard- oder Regulierungsmandat wird dies im Kern seiner Empfehlungen haben.  

Was treibt das Risiko?

· Digitaler Transformationsdruck: Organisationen integrieren IoT, KI-gestützte Analyse und Cloud-Lösungen in Betrieb, ohne die Sicherheitsimplikationen vollständig zu verstehen.

· Remote-Betrieb: Die Pandemie beschleunigte die Fernüberwachung und den Zugang, wodurch Sicherheitslücken über veraltete Infrastruktur ausgedehnt wurden.

· Abhängigkeiten der Lieferkette: Industrielle Lieferketten verlassen sich zunehmend auf Drittanbieter, Ferndiagnosen und ausgelagerte Wartungsdienste, die Vertrauenslücken einführen.

· Kompetenzlücke: Es gibt einen Mangel an Cybersicherheitsexperten, die sowohl die IT- als auch die OT-Protokolle verstehen, was zu unzureichendem Risikomanagement führt.

· Mangel an Bewusstsein

· Andere operative Prioritäten

Umfassende Strategien zur Verwaltung von IT-OT-Cyber-Risiken

Asset-Sichtbarkeit und Bestandsaufnahme

Ein fundamentaler Schritt zur Verwaltung von Cyber-Risiken ist das Etablieren der vollständigen Sichtbarkeit aller Geräte, Netzwerke und Endpunkte über IT- und OT-Umgebungen.

· Führen Sie regelmäßige Asset-Erkennungsscans durch.

· Klassifizieren Sie Geräte nach Typ, Hersteller, Protokoll und Kritikalität.

· Halten Sie ein Echtzeit-Asset-Inventar, das in Sicherheits- und Incident-Management-Plattformen integriert ist.

· Verwenden Sie eine OT-Sicherheitsplattform wie Shieldworkz, um einen klaren Überblick über Ihre Assets kontinuierlich zu erhalten.

Was zu tun? Verwenden Sie Netzwerkverkehrsanalysertools, die industrielle Protokolle und unbekannte Endpunkte identifizieren können. Kontaktieren Sie unseren Experten für OT-Asset-Management. 

Netzwerksegmentierung und Zonenbildung

Segmentierung reduziert die seitliche Bewegung innerhalb des Netzwerks und begrenzt potenzielle Angriffe.

· Erstellen Sie separate Zonen für IT- und OT-Netzwerke unter Verwendung von Firewalls und VLANs.

· Implementieren Sie demilitarisierte Zonen (DMZs) für kontrollierten Datenaustausch.

· Begrenzen Sie die Kommunikation zwischen den Zonen basierend auf Notwendigkeit und Sicherheitsstatus.

Was zu tun? Verwenden Sie Deep Packet Inspection und strikte Zugangspolitiken, die auf protokollspezifischen Verkehr abgestimmt sind.

Identitäts- und Zugriffsmanagement (IAM)

Starke Authentifizierungsprotokolle sind entscheidend, um unautorisierten Zugang zu verhindern.

· Implementieren Sie Mehrfaktor-Authentifizierung (MFA) über sowohl IT- als auch OT-Schnittstellen.

· Erzwingen Sie rollenbasierte Zugriffskontrolle (RBAC) und Prinzipien des geringstmöglichen Zugangs.

· Überwachen und überprüfen Sie Zugriffprotokolle regelmäßig.

Was zu tun? Integrieren Sie IAM-Lösungen mit OT-Netzwerküberwachungstools, um Anomalien wie ungewöhnliche Zugriffsmuster zu erkennen.

Patch- und Update-Management

Patch-Management in OT ist aufgrund von betrieblichen Einschränkungen herausfordernd, aber unerlässlich zur Reduzierung bekannter Schwachstellen.

· Identifizieren Sie kritische Patches und planen Sie Wartungsfenster für Updates.

· Wenden Sie virtuelle Patches an, wenn sofortiges Patchen nicht möglich ist.

· Arbeiten Sie mit Anbietern für Firmware-Upgrades und Support-Zyklen.

· Verfolgen und schließen Sie Angriffswege.

Best Practice: Automatisieren Sie Schwachstellenscans, die bekannte Exploits mit bereitgestellter Geräte-Firmware korrelieren.

Bedrohungserkennung und Reaktion

Echtzeitüberwachung und Incident-Reaktion sind in konvergierten Umgebungen von entscheidender Bedeutung.

· Setzen Sie Intrusion Detection Systeme (IDS) und Plattformen zur Erkennung industrieller Bedrohungen ein.

· Verwenden Sie Algorithmen zur Anomalieerkennung, um Abweichungen von normalen Operationen zu erkennen.

· Etablieren Sie Incident-Response-Playbooks, die sowohl IT- als auch OT-Eskalationsprotokolle beinhalten.

Best Practice: Integrieren Sie Bedrohungs-Intelligence-Feeds, die sich auf industrielle Malware, Ransomware und Advanced Persistent Threats (APTs) fokussieren.

Datenschutz und Verschlüsselung

Datenfluss zwischen IT- und OT-Systemen müssen gegen Abfangen und Manipulation gesichert sein.

· Verschlüsseln Sie die Kommunikation zwischen Netzwerkzonen und entfernten Geräten.

· Implementieren Sie sichere Tunnelprotokolle wie VPNs und TLS.

· Stellen Sie sicher, dass sensible Betriebsdaten, die auf Geräten am Rande gespeichert sind, verschlüsselt sind.

Best Practice: Verwenden Sie hardwarebasierte Verschlüsselung, wo möglich, um Leistungsabfall vorzubeugen.

Mitarbeiterschulung und Bewusstsein

Der menschliche Fehler bleibt eines der bedeutendsten Risiken. Schulungsprogramme müssen sowohl IT-Mitarbeiter als auch OT-Bediener ansprechen.

· Führen Sie regelmäßige Cybersicherheitsübungen und Phishing-Simulationen durch.

· Schulen Sie Mitarbeiter darin, verdächtige Aktivitäten zu erkennen und Meldeprotokolle zu beachten.

· Fördern Sie eine Kultur der Verantwortlichkeit und des Sicherheitsbewusstseins.

Best Practice: Inkludieren Sie OT-spezifische Szenarien, wie das unsachgemäße Konfigurieren von Steuerungssystemen oder das versehentliche Offenlegen von Geräten für unautorisierten Zugriff.

Risikomanagement der Lieferkette

Drittanbieter und Auftragnehmer erfordern eine robuste Überwachung.

· Etablieren Sie strikte Protokolle zur Bewertung von Anbietern und Sicherheitsanforderungen.

· Führen Sie Audits und Penetrationstests für von Anbietern verwaltete Systeme durch.

· Implementieren Sie vertragliche Verpflichtungen für zeitnahe Patching, Berichterstattung und Incident-Reaktion.

Empfehlung: Verwenden Sie Zero-Trust-Prinzipien bei der Integration des Anbieterdatenzugriffs mit internen Netzwerken.

Compliance und Governance

Die Einhaltung regulatorischer Rahmenbedingungen baut Vertrauen auf und minimiert Strafen.

· Kartieren Sie Kontrollen auf relevante Standards wie IEC 62443, NIST und ISO 27001.

· Dokumentieren Sie Risikoanalysen, Kontrollen und Minderungspläne.

· Beauftragen Sie externe Prüfer zur Validierung durch Drittparteien.

· Anwenden von kompensatorischen Kontrollen, wo immer möglich

· Haben Sie eine schriftliche Richtlinie bereit, um Governance und Compliance zu leiten

Best Practice: Verwenden Sie Governance-, Risiko- und Compliance-Tools (GRC), die sowohl IT- als auch OT-Sicherheitsberichterstattung integrieren.

Zukunftssicherung des Managements von Cyber-Risiken

Da sich die IT-OT-Konvergenz beschleunigt, müssen Organisationen kontinuierlich ihre Sicherheitslage weiterentwickeln:

· KI und maschinelles Lernen einführen: Verwenden Sie KI-gestützte Analysen, um subtile Bedrohungen zu erkennen, die traditionelle signaturbasierte Tools möglicherweise übersehen.

· Edge Security nutzen: Implementieren Sie Sicherheitsmaßnahmen näher an Geräten, insbesondere in verteilten oder entfernten Umgebungen.

· Übergreifende Teams bilden: Integrieren Sie IT-, OT-, Engineering- und Compliance-Teams unter einer einheitlichen Sicherheitsstrategie.

· Planen für Resilienz, nicht nur für Prävention: Etablieren Sie Redundanz, Protokolle zur Wiederherstellung bei Katastrophen und Ausfallsicherungsmechanismen, um Kontinuität während Angriffe zu gewährleisten.

Die Konvergenz von IT- und OT-Systemen bietet enorme Möglichkeiten zur Verbesserung der Betriebseffizienz, zur Reduzierung von Ausfallzeiten und zur Verbesserung der Entscheidungsfindung. Diese Integration birgt jedoch auch komplexe Cyber-Risiken, die nicht mit traditionellen Sicherheitsansätzen allein angegangen werden können. Durch die Implementierung einer umfassenden Strategie, einschließlich Asset-Sichtbarkeit, Netzwerksegmentierung, Zugriffskontrollen, Bedrohungserkennung, Verschlüsselung und Compliance-Governance können Organisationen Risiken mindern und kritische Infrastrukturen schützen.

Das Management von Cyber-Risiken in einer IT-OT-konvergierten Umgebung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der Zusammenarbeit über Disziplinen hinweg, Echtzeit-Intelligenz und eine Kultur der Resilienz erfordert. Mit der proaktiven Bewertung von Schwachstellen und der Angleichung der Sicherheitspraktiken an Industriestandards können Unternehmen das volle Potenzial der digitalen Transformation ausschöpfen, während sie ihre wichtigsten Vermögenswerte schützen.

Kontaktieren Sie uns für ein maßgeschneidertes Risikomanagement-Paket zur Konvergenz für Ihr Unternehmen.