Die Sicht eines CISOs auf Bedrohungen für OT-Umgebungen

Juli 2024, München

In einer zunehmend vernetzten Welt stehen Unternehmen vor der großen Herausforderung, ihre IT, aber auch die Operational Technology (OT) vor immer raffinierteren Cyber-Angriffen zu schützen. Die Hard- und Software, die zur Überwachung und Steuerung von physischen Prozessen, Geräten und Infrastrukturen eingesetzt wird, ist gezielten Angriffen von innen und außen ausgesetzt.

OT wird beispielsweise angewendet, um Roboter in einer Werkshalle zu steuern oder Beatmungsgeräte in Krankenhäusern zu überwachen. Werden die Geräte nicht ausreichend geschützt, können Schwachstellen ausgenutzt und Schadsoftware eingespielt werden. Auch über externe Hardware, Wechseldatenträger oder das Intranet kann Schadsoftware in die Betriebstechnologie gelangen.

In unserem Interview beleuchtet Guido Kraft, Field CISO bei WALLIX, die neuesten Entwicklungen, Strategien und Best Practices zur Stärkung der OT-Sicherheit.

Wie hat sich die Bedrohungslandschaft für OT (Operational Technology) in der letzten Zeit entwickelt?

Guido Kraft (GK): Die Bedrohungslandschaft für OT hat sich deutlich verändert, Bedrohungen deutlich zugenommen. Insbesondere im Bereich der kritischen Infrastrukturen (KRITIS) beobachten wir einen signifikanten Anstieg der Angriffe, die auch immer wieder politisch motiviert sind.

Beispielsweise zielen auch staatlich gelenkte russische Hackergruppierungen, die oft als die „Five Bears“ bezeichnet werden, kontinuierlich auf kritische Infrastrukturen, wie aber auch auf die Regierung, Behörden, Parteien und andere systemrelevante Bereiche ab. Der Bundestagshack von 2015 ist da ein prominentes Beispiel.

Wir registrieren mehrere tausend Angriffe pro Monat. Die geopolitische Lage und die veränderten globalen Machtverhältnisse spielen dabei eine entscheidende Rolle. Cyberwarfare ist längst Realität und wird parallel zu konventionellen Konflikten geführt, was unsere technischen Versorgungsinfrastrukturen wie Energie, Transport und medizinische Versorgung stark betrifft.

Gibt es bestimmte Felder oder Technologien, die besonders ins Visier genommen werden?

GK: Ja, insbesondere die industrielle Fertigung und die chemische Produktion sind häufige Ziele. Auch der Diebstahl von geistigem Eigentum und Betriebsgeheimnissen stellt eine zunehmende Bedrohung dar. Ältere Maschinen, die noch mit veralteten Systemen – teilweise sogar älter als Windows 2000 – betrieben werden, sind ebenfalls stark gefährdet, da diese oft nicht ausreichend gesichert sind. Mit der zunehmenden Vernetzung und Integration neuer Maschinen in OT-Netzwerke steigt auch die Anzahl potenzieller Angriffspunkte.

Welche Rolle spielen Deiner Meinung nach Technologien wie Machine Learning und KI – also Künstliche Intelligenz – in der OT-Sicherheit?

GK: KI und Machine Learning sind zweischneidige Schwerter. Einerseits können sie helfen, Anomalien im Benutzerverhalten zu erkennen und Netzwerke effizient zu überwachen. Andererseits stellen sie selbst eine Bedrohung dar, wenn Angreifer diese Technologien nutzen, um Schwachstellen in OT-Systemen auszunutzen. Auch KI aus intern verwendeten Programmen, beispielsweise zur Steuerung von Produktionsanlagen, sollte von der Cybersecurity-Abteilung strengstens beobachtet werden: welche Zugriffe und Berechtigungen erhalten diese Systeme?

Studien zeigen, dass die Mehrheit der Befragten KI-Angriffe als Bedrohung für ihre OT-Infrastruktur wahrnimmt. Der Schlüssel liegt darin, Use Cases sorgfältig auszuwählen und Kontrollmechanismen zu entwickeln, um die Risiken zu minimieren.

Und wie wirkt sich die Ausbreitung von Cloud- und SaaS-Technologien auf die OT-Sicherheit aus?

GK: Die Integration von Cloud- und SaaS-Technologien in OT-Umgebungen birgt meiner Meinung nach sowohl Chancen als auch Risiken. Während solche Technologien in der IT weit verbreitet sind, ist ihre Anwendung in OT-Umgebungen aufgrund der speziellen Anforderungen und Sicherheitsbedenken oft problematisch. Um diese Technologien sicher zu implementieren und gleichzeitig die Betriebsabläufe nicht zu beeinträchtigen, ist eine umfassende Strategie erforderlich.

Um diesen neuen Herausforderungen zu begegnen: Welche Maßnahmen können Unternehmen ergreifen?

GK: Es ist entscheidend, privilegierte Zugangssysteme zu etablieren, die nur autorisierten Personen den Zugang ermöglichen, oft abgesichert durch MFA, also eine Multi-Faktor-Authentifizierung. Ein mehrstufiger Genehmigungsprozess und die vollständige Auditierbarkeit sind ebenfalls wichtige Elemente. Standards wie IEC 62443 bieten hier eine solide Basis. Es geht darum, Zugriffe streng zu kontrollieren und sicherzustellen, dass nur die notwendigen Berechtigungen vergeben werden.

Welche Best Practices gibt es für Unternehmen, die ihre OT-Sicherheit verbessern wollen?

GK: Unternehmen sollten Zero Trust-Prinzipien in ihre Sicherheitsstrategie integrieren. Privileged Access Management- und Identity- und Access Governance-Lösungen sind hier essenziell, um Zugriffe strikt zu kontrollieren. Der Trend geht klar hin zur Präventivsicherheit. Ein Risikoklassenmodell kann beispielsweise helfen, verschiedene Systeme nach ihrem Risiko zu klassifizieren und entsprechend zu sichern. Es ist auch wichtig, branchenspezifische Vorschriften und Standards wie IEC 62443 und NIS2 zu berücksichtigen.

Compliance-Standards sollen die Sicherheit fördern, stellen Unternehmen bei der Einhaltung jedoch oft auch vor Herausforderungen. Wie kann Privileged Access Management oder kurz „PAM“ hier unterstützen?

GK: Vorrangig gilt es, sich einen Überblick zu verschaffen, welche Regularien für eine Organisation, oder die einzelnen Systeme darin, relevant sind. Unser Risikoklassenmodell ist ein Werkzeug zur Kategorisierung von Systemen und deren Schutzbedarf – von Hochrisikosystemen wie Datenservern bis hin zu weniger kritischen Komponenten. Ein solches Modell ermöglicht es, spezifische Sicherheitsmaßnahmen zielgerichtet einzusetzen. Beispielsweise kann in Hochrisikosystemen der Zugriff streng reguliert und mit Multi-Faktor-Authentifizierung abgesichert werden, während weniger kritische Systeme flexiblere Sicherheitsprotokolle nutzen können. Gemeinsam mit einer PAM-Lösungen können somit branchenspezifische und generelle Datenschutz-Vorschriften – von NIS2 über ISO 27001 – eingehalten werden.

Welche Hürden bei der Implementierung von PAM beziehungsweise von Identity- und Access Governance, kurz „IAG“, siehst Du bei Kunden häufiger?

GK: Die größte Hürde ist oft deren Komplexität. Viele Kunden schrecken vor der Implementierung zurück, weil sie diese als zu komplex und wartungsintensiv empfinden. Unsere Erfahrung zeigt jedoch, dass gut konzipierte Lösungen vergleichsweise einfach zu implementieren sind und eine nahtlose Integration in bestehende Sicherheitsinfrastrukturen ermöglichen. Trotzdem gibt es immer noch Herausforderungen, insbesondere bei der Anpassung an spezifische Unternehmensanforderungen und der Integration mit bestehenden Systemen, beispielsweise bei der Verwendung von SaaS-Lösungen.

Kann die Effektivität von PAM- und IAG-Lösungen gemessen und bewertet werden?

GK: Die Effektivität lässt sich schwer in Zahlen fassen, da der ROI von Sicherheitsmaßnahmen oft nicht direkt messbar ist. Wichtige Kennzahlen sind jedoch die Anzahl der verhinderten unautorisierten Zugriffe und die Zeit, die für die Reaktion auf Sicherheitsvorfälle benötigt wird. Ein Indikator für die Effektivität ist auch die Benutzerfreundlichkeit und Akzeptanz der Sicherheitsmaßnahmen im Unternehmen.

Abschließend, welche Trends sollten Unternehmen Deiner Meinung nach in den nächsten Jahren besonders im Auge behalten?

GK: Unternehmen sollten sich auf die zunehmende Vernetzung und die Integration von KI in OT-Systeme vorbereiten. Zero Trust-Sicherheitsmodelle werden immer wichtiger, ebenso wie die Einhaltung neuer Vorschriften und Standards. Es wird auch entscheidend sein, flexible und skalierbare Sicherheitslösungen zu implementieren, die sowohl alte als auch neue Systeme abdecken können. Die ständige Weiterbildung und Sensibilisierung der Mitarbeiter bleibt ebenfalls ein zentraler Aspekt der OT-Sicherheit.

Guido, vielen Dank für das Gespräch!

Guido Kraft, Field CISO bei WALLIX

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Die Sicht eines CISOs auf Bedrohungen für OT-Umgebungen

Verwandte Inhalte

Sicherheit industrieller Kontrollsysteme (ICS): Vorschriften

Verwandte Ressourcen

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS

Die Sicht eines CISOs auf Bedrohungen für OT-Umgebungen

Diesen Artikel teilen

Verwandte Inhalte

Verwandte Ressourcen

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS