Sicherung kritischer Infrastrukturen vor APT-Gruppen während geopolitischer Ereignisse
Prayukth K V
⚠ ERHÖHTE BEDROHUNGSWARNUNG Geopolitische Spannungen sind direkt mit einem messbaren Anstieg der Aufklärungs- und Vorpositionierungsaktivitäten gegen die Energie-, Wasser-, Transport- und Telekommunikationssektoren korreliert. Behandeln Sie dies als kein Übungsszenario. |
Die Bedrohungslandschaft
Lassen Sie uns direkt sein. Wenn geopolitische Spannungen eskalieren, ein regionaler Konflikt ausbricht, Sanktionen verhängt werden, diplomatische Kanäle zusammenbrechen, tun die Cyber-Einheiten von Nationalstaaten normalerweise nicht das Erste, nämlich Raketen abfeuern. Sie aktivieren leise vorpositionierte Implantate innerhalb der operativen Technologie (OT)-Netzwerke von gegnerischen kritischen Infrastrukturen. Dies ist im Wesentlichen die neue Doktrin der erzwungenen Staatskunst.
Die Gegner, mit denen wir uns beschäftigen, sind keineswegs opportunistische Kriminelle. Sie sind beharrlich, geduldig und missionsgetrieben. Drei Bedrohungscluster dominieren die OT-Angriffslandschaft:
APT 44 alias Sandworm (Russland-GRU Einheit 74455)
Verantwortlich für die Stromnetzausfälle in der Ukraine 2015 und 2016 sowie den Angriff auf das polnische Netz im Jahr 20205, war diese Gruppe hinter den einzigen öffentlich bestätigten Cyberangriffen, die weitreichende Stromausfälle in der Zivilbevölkerung verursachten. Sie deployierten Industroyer/CRASHOVERRIDE, eine modulare Malware-Plattform, die nativ industrielle Protokolle spricht: IEC 104, IEC 61850, GOOSE und Modbus. Im Jahr 2022 zielte Industroyer2 auf die Hochspannungsumspannwerke der Ukraine, was eine kontinuierliche Investition in OT-native Payloads sowie ein anhaltendes Interesse an der aktiven Störung der ukrainischen kritischen Infrastruktur zeigte. Ihr TTP: Spear-Phishing des IT-Netzwerks, Schwenken zum OT DMZ, Aufzählung der Prozessumgebung, und Vorpositionierung zur Störung wird in der Regel nur dann ausgelöst, wenn politisch während bestimmter Fenster im Zusammenhang mit geopolitischen Ereignissen autorisiert.
Volt Typhoon (China-MSS Zugehörig)
Erstmals im Jahr 2023 gemeldet, bestätigt, dass es sich in der kritischen US-Infrastruktur über Wasserwerke, Energie und Kommunikation vorpositioniert hat. Es ist bekannt dafür, jahrelang unentdeckt zu bleiben. Ihr Ansatz ist absichtlich „Living off the land“ (LotL): Verwendung nativer OT- und IT-Tools, Vermeidung benutzerdefinierter Malware, Verschmelzung mit legitimen Wartungsverkehr. Das Ziel ist in den meisten Fällen nicht die sofortige Störung. Es ist strategischer Zugang. Diese Gruppe wartet geduldig darauf, Payloads zu aktivieren, falls Spannungen zwischen China und Taiwan in einen kinetischen Konflikt eskalieren. CISA bestätigte 2024, dass Volt Typhoon in einigen Zielen bis zu fünf Jahre lang anhaltenden Zugang hatte.
IRGC-Zugehörige Gruppen (Iran)
CyberAv3ngers zielten Ende 2023 auf Unitronics PLCs in US-Wassersystemen ab. Diese Gruppe ist opportunistisch, lautstark und für psychologische Effekte gedacht, anstatt physische Störungen. Allerdings haben IRGC-verbundene Gruppen im Nahen Osten (Angriffe auf Saudi Aramco, israelische Wasserinfrastruktur) anspruchsvollere OT-Fähigkeiten gezeigt. Weitere Details zu diesen Gruppen sind hier verfügbar.
REALITÄTSPRÜFUNG APT-Gruppen, die OT ins Visier nehmen, müssen Ihre Systeme nicht sofort zum Absturz bringen, wenn sie eintreten. Ihr Hauptziel während geopolitischer Spannungen in Friedenszeiten ist Zugang, Persistenz und Aufklärung. Die Schadensfähigkeit wird für später aufbewahrt. Das bedeutet, dass Sie wahrscheinlich keine dramatischen Warnungen oder blinkenden Bildschirme sehen werden. Sie werden es nicht einmal wissen, bis Sie aktiv nach ihnen suchen. |
Die inhärente Einzigartigkeit von OT-Umgebungen
Dies ist kein rhetorisches Vorwort. Wenn Sie aus einem IT-Sicherheitsumfeld kommen und gebeten wurden, den „Sicherheitsbereich“ auf die Produktionsebene auszuweiten, müssen Sie dies verstehen, bevor Sie etwas anderes tun.
Das CIA-Triad ist umgekehrt
In der IT-Sicherheit kommt die Vertraulichkeit zuerst. In OT hat die Verfügbarkeit oberste Priorität. Ein sicherheitsgerichtetes System (SIS), das aufgrund eines übertriebenen Sicherheitspatchs sicher scheitert, kann eine physische Notfallsituation verursachen. Integrität hat eine tiefgreifende Bedeutung – korrupte Prozesswerte oder Kammleiterschaltprogramme können zur Zerstörung von Ausrüstung oder Schlimmerem führen. Vertraulichkeit, obwohl wichtig, steht an dritter Stelle.
Patch-Zyklen werden in Jahren und nicht in Tagen gemessen
Ihr Siemens S7-PLC, das eine Turbine steuert, kann Firmware aus dem Jahr 2009 ausführen. Der Hersteller hat das Produkt möglicherweise eingestellt. Ausfallzeiten für Patching setzen ein geplantes Wartungsfenster voraus, das sechs Monate im Voraus geplant wird. Dies ist keine Nachlässigkeit – es ist betriebliche Realität. Sicherheitskontrollen müssen um diesen Zwang herum entworfen und nicht im Widerspruch dazu durchgeführt werden.
Proprietäre Protokolle sind überall
Modbus, DNP3, IEC 61850, PROFINET, EtherNet/IP, BACnet, OPC-UA. Diese Protokolle wurden für Zuverlässigkeit und Determinismus entworfen, nicht für Sicherheit. Viele fehlen jegliche Authentifizierung. Passives Monitoring ohne Verständnis dieser Protokolle ist blind. Ihre Sicherheitswerkzeuge müssen industrielle Protokolldatenpakete dekodieren und nicht nur TCP-Handshakes sehen.
Das Purdue-Modell hat reale Auswirkungen
Die Purdue Enterprise Reference Architecture (PERA), die Level 0 (Feldgeräte), Level 1 (PLCs/RTUs), Level 2 (SCADA/DCS), Level 3 (standortweite Operationen) und die IT/OT-DMZ umfasst, definiert Ihre Segmentierungsstrategie, Ihre Datenflüsse und Ihre Angriffswege. Jede APT, die OT erfolgreich kompromittiert hat, hat dies erreicht, indem sie von Level 4/5 (Enterprise IT) abwärts durch unzureichend durchgesetzte Zonenbarrieren ging.
KRITISCHE UNTERSCHEIDUNG Sicherheitstools, die in IT-Umgebungen wie EDR-Agenten, aggressiven Netzwerkscannern, automatisiertem Patching perfekt funktionieren, können in OT-Umgebungen Prozessstörungen oder Systemabstürze verursachen. Aktives Scannen eines industriellen Ethernet-Netzwerks wurde dokumentiert, um PLCs zum Absturz zu bringen. Alles hier erfordert einen OT-spezifischen Ansatz. |
OT-Verteidigungsmaßnahmen
Netzwerkssegmentierung und Zonendurchsetzung
Die einzelne wirkungsvollste Kontrolle, die Sie implementieren können, ist die strikte, erzwungene Segmentierung zwischen IT und OT. Keine logische Segmentierung. Physische oder kryptografische Durchsetzung (idealerweise beides).
→ Implementieren Sie eine gesicherte OT-DMZ zwischen Level 3 und Level 4. Alle Datenflüsse müssen durch diese DMZ verlaufen. Keine direkten vom IT- zum OT-routbaren Pfade.
→ Durchsetzen strenger Firewall-Regelsätze in der DMZ. Standardmäßig verweigern. Nur erforderliche prozessspezifische Kommunikation erlauben. Protokollbewusste Firewalls sollten durchsetzen, dass Modbus-Verkehr nur erwartete Funktionscodes trägt - blockieren und Alarm bei nicht autorisiertem Funktionscode 5 (Write Single Coil).
→ Beseitigen Sie Fernzugriffspfade, die die DMZ umgehen. Jedes VPN, Remote-Desktop oder Jump-Server im OT muss berücksichtigt, mit MFA gesichert und protokolliert werden. Alle, die nicht betrieblich gerechtfertigt sind, entfernen.
→ Mikrosegmentieren Sie innerhalb der OT-Zonen, wo betrieblich machbar. Ein Verstoß im Abwasserkontrollnetzwerk sollte nicht vom chemischen Dosiervorgang erreicht werden können.
→ Segmente sollten gemäß IEC 62443 erstellt werden.
Anlageninventar und -sichtbarkeit
Sie können keine Schatten-OT-Anlagen schützen. In den meisten OT-Umgebungen ist ein genaues und aktuelles Anlageninventar die tatsächliche Lücke und nicht die Tools, die darauf folgen.
→ Einsatz passiver OT-Vermögensaufdeckung mithilfe von Tools wie Shieldworkz. Passives Monitoring liest bestehenden Netzwerkverkehr — es erzeugt keinen Probendatenverkehr, der PLCs destabilisieren könnte.
→ Erstellen Sie ein lebendiges OT-Vermögensregister einschließlich: Anlagentyp, Anbieter, Firmware-Version, Kommunikationsprotokolle, verbundene Systeme, physischer Standort und Kritikalitätsklassifikation. Mindestens vierteljährlich überprüfen.
→ Verfolgen Sie abgelaufene (EOL) Vermögenswerte explizit. Diese können nicht gepatcht werden und erfordern kompensierende Kontrollen: physische Isolation, zusätzliche Überwachung oder Priorisierung des Ersatzes.
→ Mappen Sie Prozess-zu-Vermögens-Abhängigkeiten. Das Verständnis, mit welchen Level 1 PLCs Ihr Level 2 Historie kommuniziert, ermöglicht es Ihnen, „normal“ zu basieren – die Voraussetzung zum Erkennen von Anomalien.
Härtung des Fernzugriffs
Fernzugriff auf OT - sei es zur Wartung von Anbietern, im Ingenieurwesen oder im Betrieb - ist der am häufigsten ausgebeutete Initialzugangsvektor.
→ Erfordern MFA bei allen Remotezugriffen ohne Ausnahme. Hardware-Token oder zertifikatbasierte Authentifizierung bevorzugt. SMS-OTP ist unzureichend gegen staatliche Akteure mit SIM-Swapping-Fähigkeiten.
→ Implementierung privilegierter Zugriffsworkstations (PAWs) für OT-Fernzugriff - dedizierte Maschinen, gesperrt, kein Internet-Browsing, nur für OT-Verbindungen verwendet.
→ Verwenden Sie Jump-Server/Bastion-Hosts innerhalb der OT-DMZ. Alle Remote-Sitzungen sollten an der Bastion enden, nicht direkt am Zielgerät. Alle Sitzungen aus forensischen Gründen aufzeichnen.
→ Implementierung der Just-in-Time (JIT)-Zugangsbereitstellung für den Fernzugriff von Anbietern. Anmeldeinformationen sollten zeitlich begrenzt, auf das spezifische Gerät beschränkt und automatisch am Ende der Sitzung widerrufen werden.
→ Alle ruhenden Remotezugriffsanmeldeinformationen überprüfen und widerrufen. APT-Gruppen finden und reaktivieren häufig vergessene Anbieter-VPN-Konten, die während der Inbetriebnahme Jahre zuvor eingerichtet wurden.
Endpunkthärtung für OT-Arbeitsstationen
→ Anwendungswhitelisting ist die effektivste Kontrollmaßnahme auf Endpunkten in OT-Umgebungen.
→ Deaktivieren Sie USB-Ports physisch oder per Richtlinie auf allen OT-Arbeitsstationen. Stuxnets anfänglicher Infektionsvektor war ein USB-Laufwerk. Diese Angriffsfläche bleibt unterschätzt.
→ Entfernen Sie die Internetkonnektivität von OT-Ingenieur-Arbeitsstationen. Die OT-Arbeitsstation ist nicht für den allgemeinen Gebrauch gedacht.
Sichere Planung und Änderungsverwaltung
→ Implementierung der Hash-Verifizierung bei allen PLC/RTU-Firmware- und Logik-Downloads. Bevor eine Arbeitsstation eine Logikaktualisierung auf eine PLC drückt, überprüfen Sie die Binärdatei gegen einen bekannten guten Hash, der in Ihrem Änderungsverwaltungssystem gespeichert ist.
→ Durchsetzen eines signierten Änderungsverwaltungsprozesses für alle OT-Konfigurationsänderungen. Keine nicht autorisierten Änderungen an Sollwerten, Kammleiterschaltprogrammen oder Netzwerkkonfigurationen außerhalb eines genehmigten Änderungsfensters.
→ Offline-, luftdicht gesperrte Sicherungen aller PLC-Programme, HMI-Konfigurationen, Historiker-Datenbanken und Netzwerktopologiedokumentationen aufbewahren. Auf einmal beschreibbaren Medien in einem physisch gesicherten Ort lagern.
→ Sichern des Versorgungskette Herstellungsprozesses von Ingenieurlaptops. Anreisende Anbieter sollten sich nicht direkt mit dem OT-Netzwerk verbinden — ihnen einen netzüberwachten Jump-Host innerhalb Ihrer Umgebung bereitstellen.
Geopolitische Aufrüstreaktion: Härtungsmaßnahmen während aktiver Spannungen
Wenn geopolitische Indikatoren eskalieren, führen Sie eine vordefinierte Härtungshaltung aus. Warten Sie nicht auf einen bestimmten technischen Indikator.
Sofort (0–48 Stunden): Briefing des OT-Sicherheitsteams und der Führung. Überprüfung aller IT/OT-Segmentierungskontrollen. Suspendierung nicht wesentlicher Fernzugriffe. Umdrehen aller Remotezugriffsanmeldeinformationen. Alarmieren Sie das OT-Überwachungsteam, um die Watch-Häufigkeit zu erhöhen.
Kurzfristig (48–168 Stunden): Initiierung einer Bedrohungssuche im OT-Netzwerkbasis. Überprüfung aller Firewall-Regeln in der DMZ. Prüfung aller aktiven Remote-Sitzungen und Benutzerkonten. Briefing der standortweiten Betriebsteams zu relevanten IoCs.
Anhaltend (1–4 Wochen): Durchführung einer Tischübung. Überprüfung der Offline-Sicherungen. Zusammenarbeit mit Sektor-ISAC für den Austausch von Bedrohungsinformationen. Briefing der Betriebsmanagementleitungen bezüglich sicherem manuellem Betrieb im Falle einer Kompromittierung.
Erkennung und Reaktion
Passives Netzwerkmonitoring als primäres Erkennungsinstrument
Implementieren von Sensoren auf SPAN-Ports an kritischen Netzwerkstellen: der IT/OT-DMZ, Level 2-zu-Level 1-Grenzen und innerhalb kritischer Prozesszellnetze. Plattformen wie Shieldworkz erfassen industriellen Protokollverkehr und bieten Verhaltensbaselining, Protokollanomalie-Erkennung und Abgleich bekannter Bedrohungsakteur-TTPs.
Wie sich APT-Verhalten in OT-Netzwerken darstellt
→ Aufklärungsdatenverkehr: ARP-Scans, ungewöhnliche ICMP oder Protokollauflisunde Pakete von einer Arbeitsstation, die normalerweise nur mit einem SCADA-Server kommuniziert.
→ Ungewöhnliche Ingenieurprotokollaktivität: Eine Modbus-Leseanfrage an eine PLC von einer IP-Adresse, die noch nie mit ihr kommuniziert hat. Ein PROFINET DCP Identify-All Broadcast von einer unerwarteten Quelle.
→ Zeitliche Unregelmäßigkeiten außerhalb des Basiswerts: Ein Gerät, das alle 10 Sekunden kommuniziert, plötzlich alle 2 Sekunden kommuniziert — mögliches Indiz für eine Implantattrennung.
→ Unerlaubte Logik-Downloads: Eine PLC, die eine Konfigurationsschreibung außerhalb eines geplanten Wartungsfensters erhält. Behandeln Sie dies als einen Vorfall, bis das Gegenteil bewiesen ist.
→ Indikatoren für laterale Bewegungen: Erfolgreiche Authentifizierungsversuche von einer Arbeitsstation zu anderen Hosts, die sie normalerweise nicht erreicht. Suchen Sie besonders nach SMB-Bewegungen durch das OT-Netzwerk.
OT-spezifische Vorfallreaktion
→ Vorfallene „Isolationsgrenzen“ mit dem Betriebsmanagement definieren, bevor ein Vorfall auftritt. Welche Systeme können offline geschaltet werden? Was ist der manuelle Rückgriff? Dokumentieren und üben Sie dies.
→ Quarantinieren Sie OT-Geräte nicht automatisch. Zuerst den betrieblichen Einfluss bewerten. In einigen Fällen ist es die richtige Entscheidung, ein kompromittiertes, aber operatives System zu erhalten, während zusätzliche Überwachung bereitgestellt wird.
→ Forensische Beweise sichern, ohne den Betrieb zu stören. Memory-Bilder, Netzwerkpaket-Erfassungen und Ereignisprotokolle erfassen, bevor Remediationmaßnahmen ergriffen werden, wenn betrieblich möglich.
→ CISA CIRT sofort engagieren. Bei staatlichen Vorfällen gegen kritische Infrastrukturen stehen Bundesressourcen zur Verfügung — und eine rechtzeitige Benachrichtigung ist oft eine regulatorische Anforderung.
Risiko in der Lieferkette
Eine Vielzahl von OT-Sicherheitsvorfällen beinhalten einen Drittanbieter-Vektor, einschließlich Anbietern, Integratoren oder Remote-Support-Anbietern. APT-Gruppen wissen das. Anstatt einen verstärkten Versorgungsbetrieb direkt anzugreifen, kompromittieren sie den SCADA Software Anbieter, das Ingenieurbüro oder die Remote-Support-Plattform, die von ihrem Ziel verwendet wird.
→ Erhalten Sie eine aktuelle, überprüfte Liste aller Anbieter mit Fernzugriff auf OT-Systeme. Diese Liste sollte vom OT-Sicherheitsteam und nicht vom Einkauf verwaltet werden. Vierteljährlich überprüfen.
→ Erfordern Sie von Anbietern, ihre Software-Lieferkette offenzulegen. Open-Source-Komponenten in der industriellen Software müssen über eine Software-Materialliste (SBOM) verfolgt werden.
→ Durchführung von Sicherheitsfragebögen und periodische Überprüfungen kritischer OT-Anbieter — insbesondere solcher mit dauerhaftem Remote-Zugriff.
→ Überwachung auf eine Kompromittierung Ihrer Anbieter. Abonnieren Sie Bedrohungsintelligence-Feeds, die Anbieter-spezifische Kompromittierungen verfolgen. Wenn die Update-Infrastruktur Ihres HMI-Softwareanbieters kompromittiert ist, müssen Sie dies wissen, bevor Sie dieses Update in einem Werk implementieren.
FALLBEZUG — SOLARWINDS Der SolarWinds-Versorgungsangriff von 2020 kompromittierte 18.000 Organisationen, darunter kritische Infrastruktureinheiten, über ein Trojanisiertes Software-Update. Der Vektor — das vertrauenswürdige Software-Update-Mechanismus — bleibt eine priorisierte Angriffsfläche für staatliche Akteure. |
Regulatorische Compliance
Compliance ist keine Sicherheit — aber regulatorische Rahmenwerke bieten eine nützliche Grundlage und Auditstruktur. Wissen, welche Rahmenwerke für Ihren Sektor gelten, und darauf basierend Ihr Sicherheitsprogramm aufbauen — nicht anstelle von echter Sicherheit, sondern parallel dazu.
Wichtige Rahmenwerke
NERC CIP (Energy): CIP-002 (Asset-Kategorisierung), CIP-005 (Elektronische Sicherheitsperimeter), CIP-007 (System Security Management), CIP-010 (Konfigurationsmanagement), CIP-013 (Lieferkette Risiko Management).
NIST SP 800-82 Rev 3 (ICS): ICS-spezifische Sicherheitshinweise für alle Sektoren. Stimmt mit dem NIST Cybersecurity Framework überein und bietet ICS-adaptierte Kontrollanpassungen.
IEC 62443 (Industrielle Cybersicherheit): Definiert Sicherheitsstufen (SL0–SL4) pro Zone. 62443-3-3 behandelt System-Sicherheitsanforderungen. International anerkannt mit einem Zertifizierungsweg für Anbieter.
CISA CPGs (Sektorübergreifend): Cybersecurity Performance Goals (2022). Sektor-spezifische Shields Up-Leitlinien während erhöhter Bedrohungsbedingungen. Freie operationale Bedrohungsinformationen über das Automated Indicator Sharing (AIS)-Programm.
Compliance-Maßnahmen während einer geopolitischen Krise
→ Überprüfung Ihrer aktuellen NERC CIP- oder Sektorequivalenten Compliance-Position. Offene Feststellungen oder Ausnahmen identifizieren, die ausgenutzt werden könnten. Schließen oder kompensieren Sie diese vor der Krise — nicht währenddessen.
→ Abonnieren und aktivieren Sie CISA-Notfallanweisungen und Shields Up-Berichte. Während einer Eskalation, behandeln Sie diese als obligatorisch.
→ Dokumentieren Sie Ihre Kontrollabweichungen mit kompensierenden Kontrollen. Regulierer verstehen, dass einige OT-Systeme nicht gepatcht werden können. Proaktiv das Risiko und die implementierten kompensierenden Kontrollen dokumentieren.
→ Koordinieren Sie sich mit Ihrem Sektor-ISAC. Der E-ISAC (Energie), WaterISAC und sektorequivalente bieten rechtzeitige Bedrohungsinformationen. Wenn Sie kein Mitglied sind, beheben Sie das noch heute.
KPI für das Sicherheitsmanagement während einer geopolitischen Krise
Die folgenden KPI sind speziell für OT-Umgebungen unter erhöhten Bedrohungsbedingungen konzipiert. Jeder ist messbar, operativ sinnvoll und passt zu den oben beschriebenen Kontrollen. Überprüfen Sie die Kritik-bewerteten KPI wöchentlich während einer geopolitischen Krise, alle KPI monatlich im stabilen Zustand.
KPI | Messmethodik | Schwere | Ziel |
OT-Anlageninventar-Abdeckung Anteil der OT-Anlagen mit dokumentiertem Profil | Entdeckte im Vergleich zu dokumentierten Anlagenzahlen im OT-Anlagenmanagementsystem | Kritisch | ≥ 95% |
Unüberwachte OT-Netzwerksegmente Segmente ohne passive Überwachungsabdeckung | Anzahl der Level 1/2 Netzwerksegmente ohne NDR-Sensor | Kritisch | 0 |
IT-OT-Segmentierungsverletzungen Unautorisierte routenbare Pfade zwischen IT und OT | Firewall-Regel Audit-Feststellungen; ungeplante DMZ-Datenflüsse | Kritisch | 0 |
DMZ-Firewall-Regel Überprüfungsalter Tage seit der letzten DMZ-Regelsatzüberprüfung | Datum der letzten formellen Regelsatzüberprüfung vs. genehmigte Verkehrsmatrix | Hoch | ≤ 30 Tage |
Remotezugriff MFA-Abdeckung Anteil der Remotezugriffskonten mit erzwungener MFA | IAM-Audit: Konten mit valider MFA im Vergleich zu allen Fernzugriffskonten | Kritisch | 100% |
Aktive Anbieter-Fernzugriffssitzungen Anzahl der autorisierten Anbietersitzungen, die derzeit aktiv sind | Jump-Server-Sitzungsprotokolle im Vergleich zum genehmigten Wartungsplan | Hoch | Übereinstimmung mit dem Plan |
Verwaiste Remote-Credentials Unbenutzte Konten (30+ Tage) noch aktiv | IAM-Bericht: Konten ohne Login in 30 Tagen, noch aktiviert | Kritisch | 0 |
MTTD — OT-Anomalie Durchschnittliche Zeit von der Anomalie bis zur SOC-Warnung | NDR-Plattform wie Shieldworkz: Zeit bis zur Benachrichtigung über simulierte/realere Anomalieereignisse | Hoch | ≤ 1 Stunde |
Unerlaubte PLC/RTU Konfigurationsänderungen Konfigurationsänderungen außerhalb autorisierter Fenster | NDR/Integritätsüberwachungsalarme für nicht genehmigte Schreibvorgänge | Kritisch | 0 nicht überprüft |
OT-Bedrohungssuche Frequenz Abgeschlossene Bedrohungssuchen pro Monat (Krisenzeitraum) | Betriebslog für Suchvorgänge: Abgeschlossene Hypothesen im OT-Netzwerk | Hoch | ≥ 1/Monat |
Kritische Schwachstellenexposition OT-Anlagen mit CVSS 9.0+ nicht gemindert | Schwachstellenmanagement: kritische Feststellungen im Vergleich zum Kontrollstatus | Kritisch | 0 nicht gemindert |
EOL Vermögenswertzählung (nicht kompensiert) EOL-Vermögenswerte ohne kompensierende Kontrolle | Asset Register EOL-Flag im Vergleich zur Dokumentation kompensierender Kontrollen | Hoch | 0 |
OT-Konfigurationssicherungsaktualität PLC/HMI/SCADA-Konfigs innerhalb von 30 Tagen gesichert | Backup-Protokoll im Vergleich zum Asset Register: % mit aktuellem verifizierten Backup | Kritisch | 100% |
Wiederherstellungszeitziel Testergebnis Zuletzt getestete Wiederherstellungszeit für kritische OT-Systeme | Tabletop oder Live-Übung: Zeit vom Vorfall bis zur Wiederherstellung | Hoch | Innerhalb des RTO-Ziels |
OT Sicherheitsausbildung Abschluss % der OT-Mitarbeiter, die in aktuellen Bedrohungsszenarien geschult wurden | LMS-Schulungsabschluss: OT-spezifische Sicherheitsmodule | Mittel | ≥ 90% |
IR-Plan letztes Testdatum Tage seit der letzten OT-spezifischen IR-Tischübung/Übung | Übungsprotokoll: Datum der letzten OT-Incidence Response Simulationsübung | Hoch | ≤ 90 Tage |
ISAC-Intelligenzkonsum Prozent der ISAC-Berichte innerhalb von 24 Stunden überprüft und bewertet | ISAC-Bericht Log im Vergleich zum internen Überwachungssystem | Hoch | 100% innerhalb von 24 Stunden |
CISA-Beratung Reaktionszeit Zeit von der CISA-Veröffentlichung bis zur internen Reaktion/Schließung | Advisory-Verfolgung: Zeit bis zur Aktion seit der CISA-Veröffentlichung | Kritisch | ≤ 72 Stunden |
BERICHTERSTATTUNGSKADENZ Während einer geopolitischen Krise, Berichterstattung über die Kritik-bewerteten KPI wöchentlich an die Führung. Erstellen Sie ein einseitiges Red/Amber/Green-Dashboard. Die Leitung muss vier Dinge sehen: Sichtbarkeitsabdeckung, Zugriffsstatus, Erkennungskapazität und Wiederherstellungsbereitschaft. |
Hier ist die operative Wahrheit, die oft in den glänzenden Seiten von Bedrohungsberichten und Rahmenwerkinhalten verloren geht: Die Lücke zwischen dokumentierten und umgesetzten Kontrollen ist, wo sich die APT-Gruppen aufhalten und gedeihen. Nationale Akteure mit jahrelang vorpositioniertem Zugang dringen nicht dramatisch ein. Sie gehen durch Türen, die nie richtig geschlossen waren, die ein vergessenes Anbieter-Konto, eine unüberwachte Historikerverbindung, eine DMZ-Firewallregel, die während eines Notfalls vor drei Jahren hinzugefügt und nie überprüft wurde, sein könnten.
Geopolitische Ereignisse verkürzen Ihre Reaktionszeit und beseitigen Unklarheiten über die Bedrohung, und Sie können diese Klarheit nutzen. Wenn die Spannungen erhöht sind, haben Sie die organisatorische Erlaubnis, schwierige Fragen zu stellen, Zugangswege zu schließen, die „immer vorübergehend sein sollten“, und die Jagden und Audits zu priorisieren, die es nie ganz an die Spitze des Backlogs geschafft haben.
Die OT-Netzwerke, die Sie schützen, sind die Grundlage der physischen Welt, nämlich Strom in Häusern, Wasser in Rohren, Treibstoff in Verteilungsnetzen, Flugzeuge in der Luft, Züge auf den Schienen. Das ist keine Abstraktion. Schützen Sie es, als ob es wichtig wäre. Denn das ist es.
Weiterführende Lektüre und OT-Sicherheitschecklisten und KPI-Tracker
Sprechen Sie mit einem OT-Sicherheitsexperten von Shieldworkz.
Buchen Sie eine unverbindliche Demo.
NERC CIP-015-1 Compliance-Checkliste und KPI-Tracker
Insider-Bedrohungsschutz-Checkliste
Anleitung zur Verteidigungshaltung für Unternehmen im Nahen Osten
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
NERC CIP-015-2 Erklärt: Erweiterung von INSM auf EACMS und PACS
Team Shieldworkz
Entschlüsselung der strategischen Zurückhaltung iranischer Cybergruppen
Team Shieldworkz
Wie die Iran-Krise den Cyberspace beeinflusst
Team Shieldworkz
Cyber-Bedrohungen im Nahen Osten: Was Organisationen jetzt wissen müssen
Team Shieldworkz
Entwicklung eines OT-Cybersicherheitsprogramms mit IEC 62443 und NIST SP 800-82
Team Shieldworkz
Alles über den neuen EU-IKT-Lieferkettensicherheitstoolbox
Prayukth K V
