Operational-Technology-Systeme, kurz OT-Systeme, stellen in vielen Unternehmen und erst recht in kritischen Infrastrukturen das technologische Rückgrat dar, ohne das der moderne Betrieb von Infrastrukturen oder Industrieumgebungen nicht realisierbar wäre. Obwohl viele OT-Systeme prinzipiell vulnerabel für Cyberangriffe sind, werden sie eher selten von den Cyberkriminellen direkt angegriffen. „Die meisten Cyberangriffe auf OT-Systeme erfolgen nicht an den OT-Systemen selbst“, sagt Chester Wisniewski, Global Field CTO beim Cybersecurity-Anbieter Sophos. „Sie beginnen fast immer mit einer Verletzung auf der IT-Seite. IT-Systeme sind dem Internet stärker ausgesetzt, wodurch sie zu einem leichteren Einstiegspunkt für Cyberangreifer werden. Deshalb hat der Schutz der IT oberste Priorität, wenn es darum geht, OT-Systeme sicher zu halten.“
Schutz der OT durch Network Detection and Response und Zero Trust
OT-Systeme in kritischen Infrastrukturen, der Fertigung oder im Transportwesen, die über Schwachstellen und Lücken in der klassischen IT durch Cyberattacken in Mitleidenschaft gezogen werden, können zu erheblichen Unterbrechungen und in der Folge großen finanziellen Verlusten führen. „Die größten OT-Störungsvorfälle, die wir durch Cyberattacken erlebt haben – beispielsweise durch NotPetya und WannaCry – waren keine gezielten OT-Angriffe. Es handelte sich um IT-basierte Infektionen, die sich auch in OT-Umgebungen ausbreiteten“, so Chester Wisniewski. Aus diesem Grund sind eine starke Segmentierung, Isolierung und Sicherheitsrahmenwerke wie ISA/IEC 62443 von entscheidender Bedeutung. Die beste Verteidigung sowohl für die Industrie als auch für kritische Infrastrukturen besteht darin, IT und OT so weit wie möglich voneinander zu trennen und das Netzwerk abzusichern.
Neben einer Netzwerksegmentierung, einem wirkungsvollen IT-Security-Ökosystem sowie einer aktiven Update- und Patch-Hygiene aller IT- und OT-Systeme können zwei weitere Cybersecurity-Komponenten den entscheidenden Unterschied beim Schutz der OT-Systeme ausmachen: Network Detection and Response (NDR) und Zero Trust Network Access (ZTNA).
Mit Hilfe von künstlicher Intelligenz erkennt NDR tief im Netzwerk schädliche Aktivitäten, die Endpoint-Schutzlösungen und Firewalls nicht sehen können. NDR analysiert den Datenverkehr kontinuierlich auf verdächtige Muster – beispielsweise auf ungewöhnliche Aktivitäten, die von unbekannten oder nicht verwalteten Geräten ausgehen, nicht autorisierte Assets, neue Zero-Day-Attacken und unerwartete Datenbewegungen. Duch ein hohes Maß an Automatisierung werden im Verdachtsfall umgehend Reaktionsmaßnahmen zur Isolierung der schädlichen Aktivitäten ausgelöst und gleichzeitig menschliche Analysten benachrichtigt, die den Fall untersuchen und die Gefahr im gesamten Netzwerk beseitigen.
Bei ZTNA gilt: Vertraue nichts und niemanden, überprüfe und authentifiziere jeden und alles. Dadurch wird ein sehr hohes Sicherheitsniveau bei jeglichem Zugriff auf Systemressourcen im eigenen Netzwerk erreicht. Jeder, der auf Ressourcen zugreifen möchte, wird verifiziert und es wird geprüft, ob das zugreifende Gerät in Ordnung ist. Zudem ist den Nutzenden ausschließlich genau der Zugriff auf die Ressourcen und Anwendungen gewährt, die für ihre Aufgaben benötigt werden. Diese Maßnahmen sorgen dafür, dass potenzielle Schleichfahrten eines Angreifenden im Netzwerk mit minimalem Aufwand und maximaler Effizienz unterbunden sind.
Schutz der OT durch Network Detection and Response und Zero Trust
OT-Systeme in kritischen Infrastrukturen, der Fertigung oder im Transportwesen, die über Schwachstellen und Lücken in der klassischen IT durch Cyberattacken in Mitleidenschaft gezogen werden, können zu erheblichen Unterbrechungen und in der Folge großen finanziellen Verlusten führen. „Die größten OT-Störungsvorfälle, die wir durch Cyberattacken erlebt haben – beispielsweise durch NotPetya und WannaCry – waren keine gezielten OT-Angriffe. Es handelte sich um IT-basierte Infektionen, die sich auch in OT-Umgebungen ausbreiteten“, so Chester Wisniewski. Aus diesem Grund sind eine starke Segmentierung, Isolierung und Sicherheitsrahmenwerke wie ISA/IEC 62443 von entscheidender Bedeutung. Die beste Verteidigung sowohl für die Industrie als auch für kritische Infrastrukturen besteht darin, IT und OT so weit wie möglich voneinander zu trennen und das Netzwerk abzusichern.
Neben einer Netzwerksegmentierung, einem wirkungsvollen IT-Security-Ökosystem sowie einer aktiven Update- und Patch-Hygiene aller IT- und OT-Systeme können zwei weitere Cybersecurity-Komponenten den entscheidenden Unterschied beim Schutz der OT-Systeme ausmachen: Network Detection and Response (NDR) und Zero Trust Network Access (ZTNA).
Mit Hilfe von künstlicher Intelligenz erkennt NDR tief im Netzwerk schädliche Aktivitäten, die Endpoint-Schutzlösungen und Firewalls nicht sehen können. NDR analysiert den Datenverkehr kontinuierlich auf verdächtige Muster – beispielsweise auf ungewöhnliche Aktivitäten, die von unbekannten oder nicht verwalteten Geräten ausgehen, nicht autorisierte Assets, neue Zero-Day-Attacken und unerwartete Datenbewegungen. Duch ein hohes Maß an Automatisierung werden im Verdachtsfall umgehend Reaktionsmaßnahmen zur Isolierung der schädlichen Aktivitäten ausgelöst und gleichzeitig menschliche Analysten benachrichtigt, die den Fall untersuchen und die Gefahr im gesamten Netzwerk beseitigen.
Bei ZTNA gilt: Vertraue nichts und niemanden, überprüfe und authentifiziere jeden und alles. Dadurch wird ein sehr hohes Sicherheitsniveau bei jeglichem Zugriff auf Systemressourcen im eigenen Netzwerk erreicht. Jeder, der auf Ressourcen zugreifen möchte, wird verifiziert und es wird geprüft, ob das zugreifende Gerät in Ordnung ist. Zudem ist den Nutzenden ausschließlich genau der Zugriff auf die Ressourcen und Anwendungen gewährt, die für ihre Aufgaben benötigt werden. Diese Maßnahmen sorgen dafür, dass potenzielle Schleichfahrten eines Angreifenden im Netzwerk mit minimalem Aufwand und maximaler Effizienz unterbunden sind.
