Die Priorisierung von Investitionen in die Cybersicherheit kann in jeder Umgebung großes Kopfzerbrechen bereiten. Noch größer sind die Herausforderungen im industriellen Umfeld, für kritische Infrastrukturen oder andere Umgebungen, in denen IT-Installationen langfristig eingesetzt werden. Diese Operational Technology-Umgebungen (OT-Umgebungen) verfügen in der Regel über eine Vielzahl an hochspezialisierten, außergewöhnlichen und teuren Geräten.
Beim Kauf von Business-Ausrüstung, wie beispielsweise neuen Laptops, ist eine Einsatzzeit von drei bis vier Jahren im Unternehmen erwartbar. Ganz anders sieht das bei unternehmerischen (oder staatlichen) Großinvestitionen für neue Züge, Gaspipelines, Produktionsanlagen, Kraftwerke oder Flugsicherungssysteme aus. Die Beschaffung solcher Systeme und Anlagen ergibt nur dann einen rechnerischen Sinn, wenn die getätigten Investitionen über mehrere Jahrzehnte genutzt werden.
In OT-Umgebungen sind unterschiedliche und enorm teure Hardwaresysteme in Gebrauch, die zumindest bis zu einem gewissen Grad über veraltete und anfällige Software gesteuert werden. Aus Hackerperspektive handelt es sich dabei um äußerst attraktive Angriffsziele. Einziger Nachteil für potenzielle Angreifer: Die Wahrscheinlichkeit ist sehr hoch, dass Regierungs- und Sicherheitsbehörden die Attacken insbesondere auf kritische Infrastrukturen mit höchster Priorität nachverfolgen und sanktionieren.
Aus Sicht der Cybersicherheit bestand in der Vergangenheit der beste Schutz darin, OT-Umgebungen komplett abzuschotten. Dies galt insbesondere für Umgebungen, die sich durch bauliche Maßnahmen von der Außenwelt trennen ließen. So mussten beispielsweise Kraftwerke schon immer hohe regulatorische Anforderungen bei organisatorischen und technischen Schutzmaßnahmen erfüllen — die geforderten Zonen bei der Gebäudesicherheit erleichterten es auch, die eigenen Netzwerke von ALLEN externen Datenverbindungen zu isolieren. Diese Strategie lässt sich inzwischen schwerer umsetzen, weil Eindringlinge auch geschlossene Netzwerke mit einem mobilen 5G-Gerät infiltrieren können und sich Verbindungen nach außen mit Geschwindigkeiten von bis zu 20 Gigabit pro Sekunde aufbauen lassen.
Die Liste der Best-Practice-Empfehlungen für die Cybersicherheit von Operational Technology ist lang – und die Liste der Lösungsvorschläge ist noch länger. Die zentrale Frage aber ist die folgende: Welche Investitionen in die Cybersicherheit sollten in OT-Umgebungen priorisiert werden?
Es wäre zu einfach, den Schutz von OT-Umgebungen als unmögliche Aufgabe einzustufen. In meinem On-Demand-Webinar When Operational Technology Cybersecurity Goes Wrong untersuche ich die wichtigsten Security-Trends und Herausforderungen für OT-Umgebungen, mit denen sich Cybersicherheitsverantwortliche befassen sollten. Als Auditor und Sicherheitsmanager greife ich dabei auf meine eigenen Erfahrungen mit Operational Technology zurück und analysiere zwei bemerkenswerte Ausfälle von OT-Systemen.
Was war schiefgelaufen und wie konnte es dazu kommen? Gab es einen ganz spezifischen Fehler oder eine Reihe von Sicherheitslücken? Was würden die betroffenen Organisationen Im Rückblick jetzt anders machen?
Nach Untersuchung und Analyse dieser Ereignisse: Gibt es Lehren und Erkenntnisse für Unternehmen, welche Prioritäten bei Investitionen in die Cybersicherheit getroffen werden sollten? Spoiler-Alarm: Ja – die gibt es.
Wie sich herausstellte, hatten die untersuchten Umgebungen eines gemeinsam. Schauen Sie sich jetzt das Webinar an und erfahren Sie, was die betroffenen Organisationen leider übersehen haben.
Raef Meeuwisse, DevOps & Cybersecurity Expert
Raef Meeuwisse holds multiple certifications for information security and authored the security control framework for a Fortune 20 company. He also created AdaptiveGRC, the world's first single data source / zero replication governance, risk management and compliance suite. He is an interim CISO for hire and an entertaining international speaker.