OT-Security erfordert ein interdisziplinäres Expertenteam
Die IT/OT-Konvergenz bringt klassische Sicherheitskonzepte an ihre Grenzen. Moderne Cybersecurity muss die OT berücksichtigen mit darauf optimierten Produkten und Fachleuten, die zusätzlich zu IT-Security-Kenntnissen ein umfassendes Verständnis der OT-Strukturen und ihrer Automatisierungs-, Prozess- und Netzleittechnik besitzen.
Advertorial
Industrieanlagen und kritische Infrastruktur gegen Cyberangriffe zu schützen, ist nicht nur eine Frage der Technik. Es braucht vor allem ein interdisziplinäres Team, dass sich gleichermaßen fundiert auskennt im Bereich Cybersecurity wie in technischen Prozessen und industrieller Steuerungstechnik. Die personellen und fachlichen Ressourcen fehlen besonders im Mittelstand. Diese Lücke können externe Security Operations Center effektiv füllen – vorausgesetzt, sie haben die richtigen Experten an Bord.
Die Gefahr, Opfer eines Cyberangriffs zu werden, ist unverändert hoch. Ransomeware-Attacken auf Unternehmen gelten inzwischen als alltäglich. 80 Prozent der KRITIS-Betreiber und Unternehmen, die zur kritischen Infrastruktur wesentlich beitragen, wurden laut Claroty-Report im Jahr 2021 Opfer von Ransomware. In jedem zweiten Fall traf es Anlagen der Operational Technology (OT) sowie industrielle Steuerungssysteme (ICS). Der Schaden ist angesichts verschlüsselter Daten und Lösegeldforderungen sofort offensichtlich. Andere Angriffsvarianten verlaufen hingegen so verdeckt, dass betroffene Organisationen sie erst spät oder, im Fall erfolgreicher Industriespionage, eventuell nie bemerken, da das Know-how für die forensische Ermittlung fehlt. Die ursprünglich abgeschotteten OT-Netze werden im Zuge der Digitalisierung immer durchlässiger. Sind Hacker erst einmal eingedrungen, ist die Manipulation ein Kinderspiel, da viele Endgeräte Daten unverschlüsselt über allgemein bekannte Industrieprotokolle austauschen.
IT- und OT-Security unterscheiden sich erheblich
Ohne OT-Sicherheit wird die digitale Transformation nicht gelingen. Doch viele IT-Abteilungen in kleinen und mittelständischen Organisationen fühlen sich bereits wie im Hamsterrad und sind nicht in der Lage, zusätzlich noch präventive und reaktive Schutzinstrumente für die OT zu etablieren. Auch vielen der bisher mit IT-Sicherheit betrauten Dienstleister fehlt das Know-how, um Sicherheitsstrategien für die komplexen OT-Netze zu entwickeln und zu implementieren. Denn die Unterschiede zwischen IT- und OT-Security sind erheblich. Das liegt u. a. an unterschiedlich langen Lebenszyklen. Mit nur drei bis fünf Jahren wird IT regelmäßig aktualisiert, während die OT mit Laufzeiten von zehn bis 25 Jahre teils sehr alte Betriebssysteme verwendet ohne die Möglichkeit, Updates aufzuspielen. Außerdem lassen sich Sicherheitstools, die zum Schutz typischer IT-Produkte wie Server oder Router entwickelt wurden, nicht einfach auf die OT übertragen, da die Programme die Industrieprotokolle von ICS nicht verstehen.
Löst das SIEM aufgrund auffälliger Daten einen Alarm aus, analysieren die Experten im SOC, ob es sich um eine echte Bedrohung handelt.
SOC-Team mit interdisziplinärem Wissen
Die IT/OT-Konvergenz bringt klassische Sicherheitskonzepte an ihre Grenzen. Moderne Cybersecurity muss die OT berücksichtigen mit darauf optimierten Produkten und Fachleuten, die zusätzlich zu IT-Security-Kenntnissen ein umfassendes Verständnis der OT-Strukturen und ihrer Automatisierungs-, Prozess- und Netzleittechnik besitzen. Dieses interdisziplinäre Know-how hat sich telent während der langjährigen Betreuung von Kommunikations- und Datennetzen insbesondere in KRITIS-Umgebungen erworben und kombiniert es in einem neuen Security Operations Center (SOC) mit technischen Tools und speziellen Prozessen. Für ihre Auftraggeber integrieren, analysieren und überwachen die Experten alle sicherheitsrelevanten Systeme. Als technische Basis dient die Cybersecurity-Plattform des europäischen Spezialisten Radar Cyber Security, über die ein Security Information and Event Management (SIEM) und ein breites Spektrum an Managed Services realisiert werden.
Sicherheitsmodule ganz nach Bedarf
Die modular wählbaren Leistungen des SOC haben für Unternehmen, die nicht unter die strengen Vorgaben des KRITIS-Sektors fallen, den Vorteil, dass sie Schutzmaßnahmen stufenweise aufbauen und bereits vorhandene Module, etwa ein Schwachstellen-Management, integrieren können. Die verwendete SIEM-Lösung greift nicht nur – wie bislang üblich – auf alle IT-Assets zu, sondern auch auf die Logdaten von OT-Assets wie Prozess- und Steuerungstechnik oder Sensoren. Ein passives, rückwirkungsfreies OT-Monitoring unterstützt die typischen industriellen Kommunikationsprotokolle. „Industrial Network Behaviour Analysis“ erkennt Anomalien und Schwachstellen, sendet Logs an das IT-Security-Modul „Log Data Analytics“ (LDA), meldet Cyberangriffe und weist auf alles Neuartige hin, etwa technische Fehlerzustände. Das ist auch im Hinblick auf die Anlagenverfügbarkeit interessant.
Die Spezialsoftware ermöglicht es zudem „Vulnerability Management & Compliance“ (VMC), sich auf die Risikoanalyse und Reifegradbeurteilung der OT zu fokussieren. So erfahren Unternehmen in kürzester Zeit, ob industrielle Netzwerke Schwachstellen oder Sicherheitslücken aufweisen. Als übergeordnete Instanz führt „Advanced Correlation Engine“ (ACE) alle sicherheitsrelevanten Daten zusammen und korreliert sie auf Basis von laufend aktualisierten Regeln, Policies und selbstlernenden Algorithmen. ACE alarmiert bei einem Vorfall die Sicherheits-Analysten im SOC, die alle Daten auf der Oberfläche des Radar Risk & Security Cockpit sehen, und darüber die aktuelle Gefahrenlage für IT und OT bewerten können.
Auf die Kompetenz kommt es an
Die Masse der Angriffe steigt; die EU-Richtlinie NIS-2 verschärft spätestens 2024 die gesetzlichen Vorgaben; Fachleute bleiben Mangelware: SOC-as-a-Service bietet einen Ausweg aus dieser herausfordernden Situation mit dem Mehrwert, dass gut ausgebildete Spezialisten, die sich rund um die Uhr mit dem Thema beschäftigen, immer auf dem neuesten Stand sind. Doch um Industrieanlagen und KRITIS zu schützen, reicht Know-how in IT-Security nicht aus. Deswegen sollten Unternehmen, bevor sie sich an einen Partner binden, sehr genau prüfen, ob dieser auch das spezifische industrielle Fachwissen und eigene Erfahrung auf allen Ebenen in OT-Umgebungen besitzt. Denn diese Kompetenzen sind maßgeblich dafür, ob ein SOC die aktuelle und zukünftige Sicherheit von Anlagen und Fabriken erhöht.
Kontaktdaten Autor:
René Odermann, Account Director Cybersecurity
telent GmbH
Tel. +49 681 968 19 110
E-Mail: rene.odermann@telent.de
Weitere Infos zu telent: