site-logo
site-logo
site-logo

Verwaltung von Drittanbieter- und Lieferantenrisiken innerhalb Ihres OT-Ökosystems

Startseite

Blogs

Verwaltung von Drittanbieter- und Lieferantenrisiken innerhalb Ihres OT-Ökosystems

Verwaltung von Drittanbieter- und Lieferantenrisiken innerhalb Ihres OT-Ökosystems

Verwaltung von Risiken bei Dritten und Anbietern
Shieldworkz-Logo

Prayukth KV

Management von Drittanbieter- und Lieferantenrisiken innerhalb Ihres OT-Ökosystems

Die Zeiten der „Air-Gap“ sind längst vorbei. Das Operational Technology (OT) Ökosystem und das komplexe Netz von Hardware und Software, das physische Prozesse in Ihrem Werk, Ihrer Versorgungsanlage oder Einrichtung überwacht und steuert, ist nicht mehr eine isolierte Festung. Tatsächlich sind mit dem Aufkommen von IIoT alle traditionellen Barrieren verschwunden, und die Kluft zwischen einem Bedrohungsakteur oder einem Schurken innerhalb und Ihren Kronjuwelen ist Geschichte.

Die OT-Umgebung ist jetzt gut mit Drittanbietern, Wartungsdienstleistern, Systemintegratoren und Geräteherstellern (OEMs) verbunden. Während einige dieser Verbindungen für Fernwartung, Diagnostik und Effizienz unerlässlich sind, stellen sie einen der bedeutendsten und oft übersehenen Angriffsvektoren dar.

Das Management des Drittanbieter- und Lieferantenrisikos (und des Risikopotenzials) ist nicht nur eine IT-Compliance-Übung. Vielmehr ist es eine Kernanforderung zur Gewährleistung der betrieblichen Resilienz, Betriebszeit und physischen Sicherheit. Es gibt heute viele OT-Betreiber, die Drittanbietern zusätzliche Privilegien in ihrem Netzwerk gewährt haben. Es ist für solche Betreiber unerlässlich, die Risiken zu verstehen, die aus einer solchen Situation entstehen, und Maßnahmen zu ergreifen, um diese Risiken zu bekämpfen und zu mindern. 

Bevor Sie weitermachen, vergessen Sie nicht, unseren Vorfallbericht über den Asahi Brewery Cyberangriff hier zu lesen.

Warum OT-Lieferantenrisiken bedacht werden sollten 

OT-Lieferantenrisiken auf die gleiche Weise wie IT-Lieferantenrisiken zu behandeln, ist ein kritischer Fehler. Die Einsätze sind grundsätzlich unterschiedlich, ebenso wie der Kontext.

  • Lieferantenbeziehungen können durch die Übernahme von von ihnen spezifizierten Praktiken neue Risiken einführen. Dies könnte die Wirksamkeit bestehender Sicherheitsmaßnahmen mindern oder Gelegenheit für einen Schurken innerhalb bieten, zu agieren.

  • Auswirkung: Ein IT-Verstoß kann Datenverlust verursachen. Ein OT-Verstoß hingegen kann zu Produktionsstillstand, katastrophalen Umweltschäden oder schweren Sicherheitsvorfällen führen. Sie könnten auch regulatorische Aufmerksamkeiten in Form von Geldstrafen anziehen.

  • Zugriffsebene: Ein Lieferant, der sich anmeldet, um einen PLC (Programmable Logic Controller) oder ein HMI (Human-Machine Interface) zu aktualisieren, hat „die Schlüssel zum Königreich“ - direkten Zugriff auf den industriellen Kontrollprozess selbst.

  • Altsysteme: Viele OT-Anlagen laufen mit 20-jährigen Lebenszyklen und wurden nie für Remote-Konnektivität ausgelegt. Sie laufen oft ungepatcht auf veralteten Betriebssystemen, was sie unglaublich fragil macht.

  • Die „Vertrauenswürdige“ Verbindung: Die Fernzugriffverbindung (VPN, RDP), die von einem „vertrauenswürdigen“ Lieferanten eingerichtet wird, ist die perfekte Tarnung für einen Angreifer. Wenn der Laptop des Lieferanten kompromittiert ist, kann der Angreifer Ihre Perimeter-Verteidigungen umgehen und direkt in Ihr Steuerungsnetzwerk spazieren.

Ein Rahmenwerk für das OT-Lieferantenrisikomanagement (VRM)

Ein robustes OT-VRM-Programm basiert auf einem Modell des „Vertrauens, aber Überprüfens“. Nachfolgend ist ein praktisches Rahmenwerk aufgeführt, um den Einstieg zu erleichtern.

Identifizieren und klassifizieren Sie alle Lieferanten und deren Privilegien

Sie können nicht schützen, was Sie nicht kennen. Der erste Schritt ist eine vollständige Bestandsaufnahme.

  • Wer: Listen Sie jede dritte Partei auf, die mit Ihrer OT-Umgebung interagiert. Dazu gehören OEMs, Systemintegratoren, Wartungsdienstleister und sogar Anbieter von Managed Services (wie etwa ein cloudbasierter Historian).

  • Was: Auf welche spezifischen Vermögenswerte muss jeder Lieferant zugreifen und wie kritisch ist dieser Zugriff? (etwa greift Lieferant A auf den Turbinensteuerungs-PLC für Diagnosen zu)

  • Wie: Wie verbinden sie sich? (wie etwa ein gemeinsamer VPN, ein dediziertes Modem, ein Vor-Ort-Techniker mit einem Laptop.)

  • Einordnung: Klassifizieren Sie die Lieferanten basierend auf Kritikalität und Risiko. Ein Anbieter mit 24/7 Fernzugriff auf Ihr Sicherheitsinstrumentiertes System (SIS) ist Kritisch. Ein Anbieter, der nur Ersatzteile liefert ohne Netzwerkzugriff, ist Niedrig. Konzentrieren Sie Ihre Ressourcen auf die kritischen und Hochrisikostufen.

  • Kennen Sie ihre Geschichte: Hat ein Lieferant in der Vergangenheit Sicherheits- oder Governance-Normen verletzt?

Haben Sie einen Governance-Touchpoint mit allen Lieferanten

Stellen Sie sicher, dass Sie mit allen Lieferanten einen kalendarisierten Touchpoint haben, um Sicherheits- und Governance-Status, den Zustand der Risikominderung zu überprüfen und alle offenen Punkte aus früheren Meetings zu diskutieren.

Integrieren Sie OT-Sicherheit in Beschaffung und Verträge

Sicherheit muss beginnen bevor ein Lieferant an Bord genommen wird. Zu warten, bis nach Vertragsunterzeichnung, ist zu spät.

  • Stellen Sie einige wesentliche Fragen: Gehen Sie über standardmäßige IT-Fragebögen hinaus. Stellen Sie spezifische OT-Sicherheitsfragen:

    • „Wie sichern Sie Ihre Fernzugriffstools und die Laptops Ihrer Techniker?“

    • „Folgen Sie sicheren Softwareentwicklungslebenszyklen (wie IEC 62443-4-1) für Ihre Produkte?“

    • „Können Sie ein Softwarestückelung (SBOM) für Ihr HMI/Software bereitstellen?“

    • Wie erfüllen Sie unsere Sicherheitsnormen und -vorgaben?

    • Wann wurde eine IEC 62443-basierte Bewertung bei Ihnen vor Ort durchgeführt?

  • Dokumentieren Sie alles: Ihre Verträge sind Ihr größtes Durchsetzungsinstrument. Legen Sie spezifische Sicherheitsanforderungen fest, einschließlich:

    • Das Recht, die Sicherheitspraktiken des Lieferanten zu prüfen.

    • Strikte Anforderungen an die Vorfallmeldung (Benachrichtigen Sie uns innerhalb von 4 Stunden nach einem vermuteten Kompromiss).

    • Einhaltung der Multi-Faktor-Authentifizierung (MFA) für alle Fernzugriffe.

Durchsetzen granularer „Zero Trust“ Zugriffskontrolle

Das alte Modell, einem Lieferanten ein permanentes VPN zu geben, das ihm vollen, „flachen“ Netzwerkzugang gewährt, ist nicht mehr akzeptabel. Verfolgen Sie einen Zero Trust-Ansatz, der davon ausgeht, dass keine Benutzer oder Verbindungen automatisch vertrauenswürdig sind.

  • Keine gemeinsamen VPNs mehr: Jeder Lieferant und jeder Techniker muss einen einzigartigen, überprüfbaren Login haben.

  • Minimaler Zugriff: Ein Lieferant sollte nur auf den spezifischen Vermögenswert zugreifen können, für den er zugelassen ist, und auf nichts anderes. Wenn er da ist, um HMI-1 zu warten, sollte er nicht einmal PLC-5 sehen können.

  • Zugriff Just-In-Time (JIT): Der Zugriff sollte nicht rund um die Uhr sein. Gewähren Sie Zugriff für ein bestimmtes, vorab genehmigtes Wartungsfenster (Dienstag von 14 Uhr bis 16 Uhr) und entziehen Sie den Zugriff danach automatisch.

  • Durchsetzung von MFA: Dies ist eine unverhandelbare Grundlage. Jeder Fernzugriff auf die OT-Umgebung muss MFA erfordern.

Überwachen, protokollieren und auditieren Sie alle Drittanbieteraktivitäten

„Vertrauen, aber überprüfen“ ist das Mantra. Sie müssen die Möglichkeit haben, genau zu erkennen, was Ihre Lieferanten tun, wenn sie mit Ihrem Netzwerk verbunden sind.

  • Netzwerksichtbarkeit: Stellen Sie eine OT-bewusste Netzwerküberwachungslösung wie Shieldworkz bereit. Dadurch können Sie das „normale“ Verhalten als Basislinie festlegen und sofort auf Anomalien hinweisen, z. B. wenn ein Lieferant auf einen nicht genehmigten Vermögenswert zugreift oder ein gefährliches Protokoll verwendet (wie ein Firmware-Update).

  • Sitzungsaufzeichnung: Für riskanten Zugriff nutzen Sie Werkzeuge, die Videoaufzeichnungen oder „über die Schulter“ Überwachung der Sitzung des Lieferanten bieten. Dies schafft eine unbestreitbare Prüfspur.

  • Protokollüberprüfung: Überprüfen Sie regelmäßig die Zugriffprotokolle. Suchen Sie nach fehlgeschlagenen Anmeldeversuchen, Zugriffe außerhalb der genehmigten Zeiten oder Versuche das Netzwerk zu scannen.

  • Nutzen sie eine Mediensucheinrichtung: Grundlegende Sicherheitspraktiken sind sehr wichtig und deuten auf das Sicherheitsniveau des Anbieters hin.

Planen Sie für einen durch den Lieferanten verursachten Vorfall

Ihre Abwehrmaßnahmen könnten versagen. Ein Lieferant wird schließlich kompromittiert. Ihr Vorfallreaktionsplan (IR) muss auf dieses Szenario vorbereitet sein.

  • Erstellen Sie ein Vorfall-Playbook für Lieferanten: Haben Sie ein spezifisches IR-Playbook mit dem Titel „Kompromiss durch Dritte“. Was sind die sofortigen Schritte? Der erste Schritt sollte sein, sofort allen Zugriff für den kompromittierten Lieferanten zu entziehen.

  • Probieren Sie es aus: Schließen Sie Ihre kritischen Lieferanten in Ihre jährlichen Tabletop-Übungen ein. Stellen Sie das Szenario: „Lieferant A hat gerade angerufen und gesagt, dass sein Fernzugriffstool durch Ransomware kompromittiert wurde. Was tun wir jetzt sofort?“

Das Risikomanagement von Lieferanten ist nicht nur eine Frage von Checklisten und Verträgen; es geht darum, ein sicheres Ökosystem aufzubauen. Behandeln Sie Ihre Lieferanten als Partner in Ihrer Verteidigung, nicht als Gegner. Sie können damit beginnen, Ihrem Team eine einfache Frage zu stellen: „Wer hat gerade Fernzugriff auf unser Steuerungsnetzwerk und was machen sie?“

Haben Sie ein gemeinsames Compliance/Governance-Modell

Streben Sie danach, den Lieferanten zu bewegen, einen gemeinsamen Kodex von Sicherheitsprinzipien und -praktiken zu übernehmen, mit Möglichkeiten, diesen zu messen.

Kommunizieren Sie schließlich Ihre Sicherheitserwartungen klar und arbeiten Sie mit Lieferanten zusammen, um Ihr gemeinsames Ziel zu erreichen: die Sicherheit, Zuverlässigkeit und Resilienz Ihrer kritischen Operationen sicherzustellen.

Erfahren Sie mehr darüber, wie Sie Ihre OT-Sicherheitsrisikoniveaus innerhalb von 5 Wochen in akzeptable Grenzen bringen können. Präsentation von Shieldworkz Launchpad, das einzige OT-Sicherheitsprogramm, das Sie benötigen.

 

Wöchentlich erhalten

Ressourcen & Nachrichten

Dies könnte Ihnen auch gefallen.

Wie iranische Bedrohungsakteure ohne Konnektivität operieren

Prayukth K V

Während globale Konflikte eskalieren, ändern sich die APT-Strategien leise.

Prayukth K V

Iranische Bedrohungsakteure kehren zurück; eigentlich waren sie nie weg

Prayukth K V

NERC CIP-015-2 erklärt

NERC CIP-015-2 Erklärt: Erweiterung von INSM auf EACMS und PACS

Shieldworkz-Logo

Team Shieldworkz

Sicherung kritischer Infrastrukturen vor APT-Gruppen während geopolitischer Ereignisse

Prayukth K V

Entschlüsselung der strategischen Zurückhaltung iranischer Cybergruppen

Team Shieldworkz

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern