Cyber-Bedrohungen, die auf industrielle Kontrollsysteme abzielen, entwickeln sich schnell weiter. Angreifer konzentrieren sich nicht mehr nur darauf, die Electronic Security Perimeter (ESP) von kritischen Infrastrukturen zu überwinden. Stattdessen nutzen sie zunehmend benachbarte Systeme - Authentifizierungsdienste, Fernzugriffsplattformen, Ausweisleser und Virtualisierungsinfrastruktur - aus, um in Operational Technology (OT)-Netzwerke vorzudringen.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Beitrag über die Entschlüsselung der strategischen Ruhe der iranischen Cyber-Gruppen hier zu lesen.

Angesichts dieses Wandels hat die North American Electric Reliability Corporation (NERC) NERC CIP-015-2 eingeführt, eine vorgeschlagene Cybersicherheitsnorm, die die Anforderungen an Internal Network Security Monitoring (INSM) erheblich erweitert. Das Ziel ist einfach, aber wirkungsvoll: Die Sichtbarkeit kritischer Systeme zu erhöhen, die außerhalb des traditionellen ESP liegen, aber dennoch BES-Cyber-Assets beeinflussen.

Für Anlagenleiter, OT-Ingenieure und CISOs ist diese Änderung von Bedeutung. Viele Unterstützungssysteme, wie etwa Electronic Access Control or Monitoring Systems (EACMS) und Physical Access Control Systems (PACS), haben historisch außerhalb des primären Überwachungsbereichs funktioniert. Dennoch halten diese Systeme oft die „Schlüssel zum Königreich“ bereit, was Angreifern ermöglicht, sich als legitime Benutzer auszugeben oder physische Schutzmaßnahmen zu umgehen.

In diesem Artikel erklären wir NERC CIP-015-2 in einfacher Sprache. Wir erläutern, was sich geändert hat, warum es wichtig ist, wie die neuen Überwachungsanforderungen aussehen und wie sich Organisationen jetzt darauf vorbereiten können, kritische Infrastruktur zu schützen.

Warum NERC CIP-015-2 für die industrielle Cybersicherheit von Bedeutung ist

Seit Jahren konzentrierten sich die meisten Compliance-Programme stark auf den Perimeterschutz. Wenn der Electronic Security Perimeter geschützt war, ging man davon aus, dass interne Systeme relativ sicher seien.

Moderne Angriffe widerlegen dies jedoch.

Bedrohungsakteure nutzen nun vertrauenswürdige Systeme innerhalb oder angrenzend an OT-Umgebungen aus. Einmal drinnen, bewegen sie sich lateral-oft unentdeckt.

Kampagnen mit hohem Profil haben diesen Wandel verdeutlicht:

• Staatlich gesponserte Gruppen, die Energieinfrastrukturen ins Visier nehmen

• Lieferkettenkompromisse, die Management-Software betreffen

• Anmeldedatendiebstahl über Fernzugriffsdienste

• Physische Einbruchsversuche unter Ausnutzung von Schwachstellen im Ausweissystem

Diese Taktiken nutzen Lücken in der Sichtbarkeit der internen Überwachung aus.

Diese Lücke soll CIP-015-2 schließen.

Anstatt sich ausschließlich auf externe Bedrohungen zu konzentrieren, erweitert der neue Standard die Überwachung auf Systeme, die den Zugang zur kritischen Infrastruktur verwalten.

Verstehen der Grundlage: Internal Network Security Monitoring (INSM)

Bevor die Änderungen in CIP-015-2 untersucht werden, ist es wichtig, Internal Network Security Monitoring (INSM) zu verstehen.

INSM bezieht sich auf die kontinuierliche Überwachung von Netzwerkverkehr innerhalb einer geschützten Umgebung, um abnormales Verhalten, bösartige Aktivitäten oder unautorisierte Kommunikation zwischen Systemen zu erkennen.

Im Gegensatz zur traditionellen Perimeterüberwachung konzentriert sich INSM auf Ost-West-Verkehr - die Bewegung von Daten zwischen internen Systemen.

Warum Ost-West-Verkehr wichtig ist

Angreifer, die ein Netzwerk überwinden, greifen selten sofort kritische Systeme an. Stattdessen bewegen sie sich lateral, um Informationen zu sammeln und Privilegien zu eskalieren.

Ohne interne Überwachung bleiben diese Bewegungen oft unbemerkt.

Hauptziele von INSM

Effektive interne Überwachung ermöglicht es Organisationen:

• Lateralbewegungen innerhalb der OT-Netzwerke zu erkennen

• Kompromittierte Anmeldedaten oder privilegierte Konten zu identifizieren

• Kommunikationen zwischen kritischen Systemen zu überwachen

• Anormale Verkehrsmuster zu identifizieren

• Vorfälle schnell zu untersuchen

CIP-015-1 führte INSM innerhalb des Electronic Security Perimeter ein.

CIP-015-2 erweitert diesen Umfang erheblich.

Was hat sich in NERC CIP-015-2 geändert

Die größte Änderung in CIP-015-2 ist die Erweiterung der Überwachungsanforderungen über den ESP hinaus, um die kritische Unterstützungsinfrastruktur einzuschließen.

Bisher überwachten viele Organisationen nur den Verkehr innerhalb des Perimeters.

Angreifer zielen jedoch häufig auf Systeme außerhalb des ESP, die den Zugriff darauf steuern.

CIP-015-2 adressiert dieses Risiko, indem es die Überwachungsanforderungen auf drei Schlüsselbereiche erweitert:

1. Electronic Access Control or Monitoring Systems (EACMS)

2. Physical Access Control Systems (PACS)

3. Shared Cyber Infrastructure (SCI)

Diese Systeme befinden sich oft außerhalb des traditionellen Perimeters, interagieren jedoch mit BES-Cyber-Systemen.

Kernausweitung: Vom ESP zu EACMS und PACS

Electronic Access Control or Monitoring Systems (EACMS)

EACMS-Systeme verwalten den logischen Zugriff auf kritische Infrastrukturnetzwerke.

Beispiele umfassen:

• Authentifizierungsserver

• Jump-Hosts und Fernzugriffsportale

• Sicherheitsinformations- und Ereignisüberwachungstools

• Verwaltungssysteme für Fernzugriffe

• Verzeichnisdienste

Diese Plattformen befinden sich oft außerhalb des ESP, kontrollieren jedoch wer auf die OT-Umgebung zugreifen kann.

Wenn sie kompromittiert werden, ermöglichen sie Angreifern:

• Sich als legitime Benutzer zu authentifizieren

• Vertrauenswürdige Sitzungen zu etablieren

• Perimeterschutzmaßnahmen zu umgehen

Dies macht sie zu einem großen Ziel.

Warum die Überwachung von EACMS wichtig ist

Ohne die Überwachung dieser Systeme können Angreifer Authentifizierungsmechanismen oder Fernzugriffswege manipulieren, ohne bemerkt zu werden.

CIP-015-2 stellt sicher, dass diese Umgebungen auf demselben Netzwerküberwachungsniveau wie zentrale OT-Systeme überwacht werden.

Physical Access Control Systems (PACS)

Während Cybersicherheit oft auf digitale Bedrohungen fokussiert ist, ist physischer Zugang ebenso kritisch.

PACS-Systeme verwalten den Zutritt zu Anlagen, in denen sich kritische Systeme befinden.

Gängige PACS-Technologien umfassen:

• Ausweiskartenleser

• Türsteuerungen

• Sicherheitskameras und Zugangsprotokolle

• Verwaltungssysteme für Gebäudezutritt

Wenn Angreifer die Kontrolle über PACS-Systeme erlangen, könnten sie:

• Physische Zugangsbeschränkungen deaktivieren

• Zugangsprotokolle manipulieren

• Unbefugten Zutritt zu Anlagen erleichtern

Eine physische Kompromittierung von Kontrollzentren oder Umspannwerken kann schwerwiegende betriebliche Folgen haben.

CIP-015-2 erkennt an, dass physische Zugangssysteme Teil der Cybersicherheit sind.

Gemeinsame Cyber-Infrastruktur (SCI)

Die moderne OT-Umgebung verlässt sich zunehmend auf gemeinsame digitale Infrastrukturen.

Beispiele umfassen:

• Virtualisierungsplattformen

• Gemeinsame Speicherumgebungen

• Hypervisoren

• Virtuelle Netzwerkinfrastrukturen

Diese Systeme unterstützen mehrere Betriebstechnologien gleichzeitig.

Ein Kompromiss hier kann mehrere BES-Cyber-Systeme gleichzeitig beeinträchtigen.

Daher enthält CIP-015-2 Überwachungsanforderungen für den Verkehr, der mit dieser Infrastruktur verbunden ist.

Die Sicherheitslücke, die CIP-015-2 adressiert

Die Erweiterung in CIP-015-2 wird durch eine kritische Sichtbarkeitslücke angetrieben.

Viele Versorgungsunternehmen haben derzeit keinen Einblick in Kommunikationen zwischen Unterstützungssystemen und kritischer Infrastruktur.

Diese blinden Flecken schaffen ideale Bedingungen für Angreifer.

Wichtige Lücken, die der Standard adressiert

1. Angreifer-Pivotpunkte

Angreifer kompromittieren häufig zuerst die Identitätsinfrastruktur.

Sobald Anmeldedaten gestohlen sind, können sie legitim auf OT-Netze zugreifen.

2. Mangel an Ost-West-Sichtbarkeit

Ohne die Überwachung interner Netzpfade bleibt laterale Bewegung unsichtbar.

3. Kompromittierung von Unterstützungssystemen

Authentifizierungsserver, Virtualisierungs-Hosts oder Fernzugriffs-Gateways sind oft weniger geschützt als Kontrollsysteme.

Diese Schwächen machen sie zu idealen Einstiegspunkten.

Regulatorische Antriebskräfte hinter der Änderung

Die Erweiterung in CIP-015-2 wurde stark von Bundesregulierungsbehörden und sich entwickelnder Bedrohungsintelligenz beeinflusst.

Die Federal Energy Regulatory Commission (FERC) forderte NERC auf, die internen Überwachungsfähigkeiten zu verbessern, nachdem Beweise vorlagen, dass fortgeschrittene Bedrohungsakteure die unterstützende Infrastruktur angriffen.

Ein Antrieb, der in den regulatorischen Diskussionen genannt wurde, war das Auftreten hochentwickelter staatlicher Kampagnen gegen Energiesysteme.

Diese Kampagnen zeigten, dass Angreifer:

• Remote-Management-Systeme ins Visier nahmen

• Identitätsinfrastrukturen kompromittierten

• Zugangskontrollsysteme ausnutzten

Als Reaktion darauf kamen die Aufsichtsbehörden zu dem Schluss, dass die Überwachung nur innerhalb des ESP unzureichend war.

Wichtige technische Überwachungsanforderungen in CIP-015-2

Der vorgeschlagene Standard führt erweiterte Überwachungsanforderungen ein, die neue Netzwerksegmente und Kommunikationswege abdecken.

Organisationen müssen überwachen:

1. Netzwerksegmente, die mit EACMS außerhalb des ESP verbunden sind

Der ein- oder ausgehende Verkehr bei Authentifizierungssystemen muss überwacht werden.

2. Verkehrspfade zwischen EACMS und PACS, die sich außerhalb des ESP befinden

Kommunikationen zwischen logischen und physischen Zugangssystemen müssen sichtbar sein.

3. Interne Segmente innerhalb dieser externen Unterstützungssysteme

Selbst der Verkehr zwischen internen Unterstützungssystemen muss analysiert werden.

Praktische Herausforderungen, vor denen Versorgungsunternehmen stehen

Obwohl das Ziel von CIP-015-2 klar ist, wird die Umsetzung nicht einfach sein.

Viele Versorgungsunternehmen stehen vor mehreren Herausforderungen.

1. Sichtbarkeit über verteilte Infrastrukturen hinweg

Industrielle Netzwerke erstrecken sich oft über mehrere Anlagen:

• Umspannwerke

• Kontrollzentren

• Erzeugungsanlagen

• Fernüberwachungsstellen

Die Überwachung all dieser Standorte erfordert neue Architekturen.

2. Altsysteme in OT-Umgebungen

Viele industrielle Umgebungen betreiben Systeme, die nicht mit Cybersicherheitsüberwachung im Sinn entwickelt wurden.

Ältere Protokolle können Protokollierungs- oder Verschlüsselungsfunktionen fehlen.

Organisationen müssen daher spezielle Überwachungstools bereitstellen.

3. Komplexe hybride IT-OT-Netzwerke

EACMS und PACS befinden sich oft in hybriden Umgebungen, in denen sich IT- und OT-Netzwerke überschneiden.

Traditionelle IT-Sicherheitstools können zu übermäßigen Fehlalarmen führen, wenn sie auf OT-Verkehr angewendet werden.

4. Dokumentation der Compliance

Die Erfüllung der Überwachungsanforderungen ist nur ein Teil der Herausforderung.

Organisationen müssen auch:

• Überwachungsabdeckung dokumentieren

• Auditnachweise aufrechterhalten

• Fähigkeiten zur Vorfallsreaktion demonstrieren

Schritt-für-Schritt-Ansatz zur CIP-015-2-Bereitschaft

Versorgungsunternehmen sollten jetzt mit den Vorbereitungen beginnen, auch bevor der Standard verpflichtend wird.

Schritt 1: Kartieren Sie Ihre Zutrittskontrollinfrastruktur

Identifizieren Sie alle Systeme, die den logischen oder physischen Zugang verwalten.

Dazu gehören:

• Active-Directory-Dienste

• Fernzugriffsportale

• Ausweissysteme

• Türsteuerungen

• Identitätsmanagementplattformen

Das Verständnis, wo sich diese Systeme im Netzwerk befinden, ist entscheidend.

Schritt 2: Identifizieren Sie Kommunikationswege im Netzwerk

Kartieren Sie als nächstes die Kommunikationsflüsse zwischen:

• EACMS und BES-Systemen

• PACS und Anlagennetzen

• Gemeinsamen Infrastrukturbestandteilen

Diese Kommunikationswege fallen unter den erweiterten Überwachungsbereich.

Schritt 3: Implementieren Sie interne Überwachungsfähigkeiten

Organisationen sollten Tools implementieren, die OT-Netzwerkverkehr überwachen können, ohne den Betrieb zu stören.

Diese Tools bieten typischerweise:

• Passive Netzwerküberwachung

• Protokollanalyse

• Asset-Erkennung

• Anomalieerkennung

Schritt 4: Etablieren Sie Erkennungs- und Reaktionsprozesse

Überwachung ist nur nützlich, wenn Warnungen schnell untersucht werden.

Versorgungsunternehmen sollten definieren:

• Vorfallserkennungsabläufe

• Eskalationsverfahren

• Reaktionspläne

Schritt 5: Dokumentieren Sie die Compliance-Bereitschaft

Schließlich müssen Organisationen dokumentieren:

• Überwachungsarchitektur

• Anlageninventare

• Sicherheitskontrollen

Diese Dokumentation wird bei Compliance-Audits entscheidend.

Zeitleiste und Status der Industrie

NERCs Redaktionsteam veröffentlichte die CIP-015-2-Änderungen Ende 2025 im Rahmen von Projekt 2025-02.

Branchenbeteiligte haben bereits starke Unterstützung gezeigt.

Wichtige Meilensteine umfassen:

• Januar 2026: Branchenabstimmung mit 84,33 % Zustimmung bestanden

• 2026–2027: Standardverfeinerung und regulatorische Prüfung

• 2028–2029: Erwartete schrittweise Implementierung

High-Impact-Kontrollzentren und große Versorger werden wahrscheinlich früheren Compliance-Fristen gegenüberstehen.

Organisationen, die jetzt mit den Vorbereitungen beginnen, werden last-minute-Implementierungsherausforderungen vermeiden.

Schutz von BES-Cyber-Assets in der modernen Bedrohungslandschaft

Letztendlich geht es bei CIP-015-2 nicht nur um Compliance.

Es geht um den Schutz der Zuverlässigkeit des Bulk Electric System.

Elektrische Netze hängen von Tausenden von verbundenen Systemen ab.

Ein Kompromiss in der Zugangskontrollinfrastruktur kann sich auf das gesamte Netzwerk auswirken.

Moderne Angreifer verstehen dies.

Sie zielen auf das schwächste Glied - nicht immer die zentralen Kontrollsysteme.

Durch die Erweiterung der Überwachungssichtbarkeit gewinnen Versorgungsunternehmen die Fähigkeit,:

• Angreifer früher zu erkennen

• Lateralbewegungen zu verhindern

• die betriebliche Kontinuität zu schützen

Wie Shieldworkz Versorgungsunternehmen bei der Vorbereitung auf CIP-015-2 hilft

Die Vorbereitung auf CIP-015-2 erfordert tiefes Fachwissen in OT, ICS und industrieller Cybersicherheit.

Hier spielt Shieldworkz eine entscheidende Rolle.

Shieldworkz ist auf den Schutz industrieller Infrastrukturen in Sektoren wie:

• Energie und Versorger

• Öl und Gas

• Fertigung

• Bergbau

OT-spezifische Überwachungskompetenz

Shieldworkz hilft Organisationen dabei, internes Netzwerk-Monitoring für OT-Umgebungen zu implementieren, wodurch Compliance sichergestellt wird, ohne den Betrieb zu beeinträchtigen.

Anlagenübersicht in komplexen Netzwerken

Shieldworkz-Lösungen helfen Versorgungsunternehmen, zu identifizieren und zu überwachen:

• BES-Cyber-Assets

• EACMS-Systeme

• PACS-Infrastruktur

• geteilte OT/IT-Plattformen

Diese Sichtbarkeit ist entscheidend für das Verständnis des gesamten Überwachungsumfangs.

Vorfallserkennung und Bedrohungsinformationen

Shieldworkz bietet:                                                                      

• OT-Bedrohungserkennung

• Industrielle Netzwerk-Analytik

• Unterstützung bei der Vorfallsreaktion

Diese Fähigkeiten ermöglichen es Versorgungsunternehmen, Bedrohungen schneller zu erkennen und darauf zu reagieren.

Compliance-ausgerichtete Architektur

Shieldworkz hilft Organisationen, Überwachungsarchitekturen zu entwickeln, die mit sich entwickelnden Standards wie:

• NERC CIP-015

• NERC CIP-013

• NERC CIP-010

Dies stellt sicher, dass Organisationen compliant bleiben und gleichzeitig die Betriebssicherheit stärken.

Die Zukunft der internen Netzwerksicherheit in der OT

CIP-015-2 spiegelt einen breiteren Wandel in der industriellen Cybersicherheit wider.

Die Branche bewegt sich weg von Perimeter-zentrierter Sicherheit hin zu kontinuierlicher interner Überwachung.

Künftige regulatorische Standards werden wahrscheinlich weiterhin die Sichtbarkeitsanforderungen erweitern.

Organisationen, die frühzeitig in Überwachungsfähigkeiten investieren, werden erhebliche Vorteile gewinnen:

• Verbesserte Bedrohungserkennung

• Stärkere Widerstandsfähigkeit

• Schnellere Compliance-Bereitschaft

Schlussfolgerung

Der vorgeschlagene NERC CIP-015-2 Standard markiert eine bedeutende Weiterentwicklung darin, wie kritische Infrastrukturen ihre Betriebssysteme schützen.

Durch die Erweiterung des Internal Network Security Monitoring (INSM) über den Electronic Security Perimeter hinaus, um EACMS, PACS und gemeinsame Cyber-Infrastruktur einzuschließen, gehen die Regulierer ein bedeutendes Sichtbarkeitsproblem an, das Angreifer zunehmend ausnutzen.

Für Versorgungsunternehmen und industrielle Betreiber ist die Aussage klar:

Sicherheit muss über den Perimeter hinausgehen.

Organisationen, die heute mit der Kartierung ihrer Zugangskontrollsysteme, der Bereitstellung interner Überwachungstools und dem Aufbau von Vorfallreaktionsfähigkeiten beginnen, werden weit besser auf zukünftige Bedrohungen und Compliance-Anforderungen vorbereitet sein.

Shieldworkz hilft Versorgungsunternehmen und industriellen Betreibern, ihre OT-Umgebungen zu sichern und sich auf sich entwickelnde Standards wie NERC CIP-015-2 vorzubereiten.

Falls Ihre Organisation Hilfe benötigt bei:

• Interner Netzwerksicherheitsüberwachung

• OT-Bedrohungserkennung

• Compliance-Bereitschaft für NERC-Standards

• Schutz von BES-Cyber-Assets

Besuchen Sie shieldworkz.com oder kontaktieren Sie das Shieldworkz-Cybersicherheitsteam, um zu erfahren, wie wir Ihnen helfen können, eine widerstandsfähige industrielle Sicherheitsarchitektur zu entwickeln.

Buchen Sie eine kostenlose Beratung zu Sicherheitsstatus, Bedrohungsintelligenzmanagement, Infrastrukturüberwachung, OT-Sicherheit und IEC 62443-Compliance, hier.

Zusätzliche Ressourcen
NERC CIP-015-1 Compliance-Checkliste und KPI-Tracker

NERC CIP Evidenzpaket: Wie man SCADA-Patch- und Änderungsmanagement für Audits dokumentiert

NERC CIP-Roadmap für 2026: Praktische Schritte zum Schutz von SPS und RTUs in der Energieerzeugung