Risk Management in kritischen Infrastrukturen Risiko in KRITIS-Umgebungen schnell reduzieren

Autor / Redakteur: Yaniv Vardi / Peter Schmitz

Im Mai 2021 erlebten die USA die erste größere Abschaltung kritischer Infrastrukturen (KRITIS) aufgrund eines Cyberangriffs in der Geschichte des Landes. Durch den disruptiven Ransomware-Angriff auf Colonial Pipeline mit seinen verheerenden Folgen wurde die KRITIS-Sicherheit zu einem Mainstream-Thema. Millionen von Menschen waren betroffen, als der größte Benzin-, Diesel- und Erdgaslieferant der Ostküste die Öl- und Gaslieferungen einstellte.

Firmen zum Thema

Der Ransomware-Angriff auf Colonial Pipeline im Mai 2021 hatte massive Folgen für die Benzinversorgung der gesamten Ostküste der USA.
Der Ransomware-Angriff auf Colonial Pipeline im Mai 2021 hatte massive Folgen für die Benzinversorgung der gesamten Ostküste der USA.
(© aapsky - stock.adobe.com)

Seit Jahren warnen Regierungsbehörden weltweit vor gezielten Angriffen auf Regierungseinrichtungen und kritische Infrastruktursektoren, etwa die Bereiche Strom- und Wasserversorgung, Luftfahrt und kritische Fertigung. Im Juli 2020 gaben die National Security Agency (NSA) und die Cybersecurity and Infrastructure Security Agency (CISA) eine gemeinsame Warnung heraus, um auf die wachsende Zahl von Angriffen auf industrielle Netzwerke zu reagieren. Diese betraf alle 16 kritischen Infrastruktursektoren und enthielt ausführliche, detaillierte Empfehlungen zum Schutz von OT-Umgebungen.

Ende April veröffentlichte die NSA dann eine zweite Cybersecurity-Empfehlung über die Risiken der Verbindung von industriellen mit IT-Netzwerken. Und nach dem Angriff auf Colonial Pipeline gaben CISA und das FBI eine Warnung heraus, in der Eigentümer und Betreiber kritischer Anlagen aufgefordert werden, angesichts von Ransomware-Angriffen ihre Awareness zu erhöhen und verschiedene Kontrollen, wie eine robuste Netzwerksegmentierung zwischen IT- und OT-Netzwerken, regelmäßige Tests manueller Kontrollen und die Implementierung von isolierten Backups, zu implementieren.

Keine Zeit verlieren

Die Zeiten eines „Crawl, Walk, Run“-Ansatzes zur Verbesserung der Cybersicherheit sind eindeutig vorbei. Wir müssen direkt mit dem Laufen beginnen. Wir haben weder drei bis fünf Jahre Zeit noch verfügen wir über die Ressourcen, um Netzwerke physisch zu segmentieren, die über zahlreiche Produktionsstandorte auf der ganzen Welt verstreut sind. Auch der Versuch, die gut 15 IT-Sicherheitstools in einer OT-Umgebung zu implementieren, ist nicht nur enorm zeitaufwändig, sondern oft auch ineffektiv, unnötig und sogar riskant. Gleichzeitig entwickeln Angreifer ihre Ansätze weiter und eskalieren die Angriffe auf industrielle Netzwerke. Deshalb kommt es jetzt darauf an, was sich zeitnah umsetzen lässt, um das Risiko deutlich zu reduzieren. Diese drei Punkte helfen Unternehmen dabei, schnelle Fortschritte bei der industriellen Cybersicherheit zu machen.

Sorgen Sie für Transparenz!

Man kann nicht schützen, was man nicht sehen kann. Effektive industrielle Cybersicherheit muss folglich mit der Identifikation der zu schützenden Assets beginnen. Dies erfordert eine zentrale und stets aktuelle Bestandsaufnahme aller OT-, IT- und Industrial-Internet-of-Things-(IIoT)-Anlagen, -Prozesse und Konnektivitätspfade in die OT-Umgebung sowie das Wissen darüber, wie der Normalzustand aussieht. OT-Netzwerke sind darauf ausgelegt, viele Informationen zu kommunizieren und auszutauschen, wie beispielsweise die Software- und Firmwareversion oder Seriennummern. Diese Informationen können mit passiver Überwachung und anderen Techniken gesammelt werden, die den Betrieb wenig bis gar nicht beeinträchtigen. Mit diesem Einblick in die Anlagen können Sie inhärente kritische Risikofaktoren angehen, von Schwachstellen und Fehlkonfigurationen bis hin zu mangelnder Sicherheitshygiene und nicht vertrauenswürdigen Fernzugriffsmechanismen. Sie können auf diese Weise zudem eine Verhaltens-Baseline erstellen, anhand derer Sie die möglicherweise vorhandenen Schwachstellen, Bedrohungen und Risiken ermitteln und bewerten können.

Verhindern Sie mit virtueller Segmentierung die Ausbreitung von Ransomware!

Häufig ist eine unsachgemäße Segmentierung zwischen ehemals getrennten IT- und OT-Umgebungen der Auslöser für OT-Ransomware-Infektionen. Während Sie Ihr physisches Segmentierungsprojekt innerhalb der OT-Netzwerke durchführen (z. B. zur Segmentierung von Level 1 und Level 2 oder von DCS zu Safety Systems), implementieren Sie eine virtuelle Segmentierung für Zonen innerhalb des ICS-Netzwerks. Dadurch werden Sie sofort auf laterale Bewegungen aufmerksam gemacht, wenn Angreifer versuchen, eine Präsenz aufzubauen, Zonen zu überspringen und sich in der Umgebung auszubreiten. Darüber hinaus können so auch operative Probleme bei Prozessen identifiziert werden, wodurch Produktivität und Verfügbarkeit verbessert werden. In einigen Netzwerkebenen kann der Datenverkehr allerdings nicht komplett blockiert werden, da dies auch den physischen Prozess stoppen würde und zu Safety-Problemen führen könnte. Die virtuelle Segmentierung kann jedoch die Netzwerküberwachung und Zugriffskontrolle verbessern und die Reaktionszeit erheblich beschleunigen, was Kosten spart und Ausfallzeiten reduziert. Schließlich bietet virtuelle Segmentierung einen wertvollen Einblick in das gesamte Netzwerk und kann als Grundlage für die physische Segmentierung genutzt werden. Durch virtuelle Segmentierung reduziert man also nicht nur unmittelbar das Risiko, sondern beschleunigt und verbessert auch die längerfristigen physischen Segmentierungs­maßnahmen.

Verbessern Sie durch Transparenz und Risikobewertung die Bedrohungserkennung und -reaktion!

Risiken können nie vollständig eliminiert werden. Deshalb ist es von größter Bedeutung, frühzeitig Bedrohungen zu erkennen und auf sie zu reagieren. Eine kontinuierliche Bedrohungserkennung und -überwachung hilft dabei, Risiken sowohl durch bekannte als auch neu auftretenden Bedrohungen zu managen und zu mindern. Das ist auch deshalb wichtig, da auch in diesem Bereich Unternehmen verstärkt auf verteilte Arbeitsumgebungen setzen. Laut einer PwC-Umfrage erwarten 83 Prozent der Unternehmen, dass hybride Arbeitsumgebungen zur Norm werden. Wenn sich also immer mehr Mitarbeiter und Drittanbieter per Fernzugriff mit der OT-Umgebung verbinden, minimiert die Anpassung von Steuerungen mit sicheren Fernzugriffsfunktionen die erheblichen Risiken, die durch Remote-Mitarbeiter entstehen.

Die wesentlichen Elemente, um das Risiko für kritische Infrastrukturen zu reduzieren, sind bereits verfügbar, wodurch Unternehmen nicht erst krabbeln und gehen lernen müssen, sondern gleich zu laufen beginnen können. Durch die jüngsten Cybervorfälle stehen unterstützt durch die Geschäftsleitung in den meisten größeren Unternehmen Budgets zur Verfügung, um die Sicherheit ihrer OT-Netzwerke zu stärken. Auf diese Weise können industrielle Cybersicherheitsprogramme zügig aufgebaut und Produktionsanlagen gesichert werden. Unternehmen sollten die Ereignisse der letzten Wochen als Chance nutzen, um den Schutz industrieller Prozesse zu beschleunigen.

Über den Autor: Yaniv Vardi ist CEO von Claroty.

(ID:47743326)