Die Sicht eines CISOs auf Bedrohungen für OT-Umgebungen

Juli 2024, München

In einer zunehmend vernetzten Welt stehen Unternehmen vor der großen Herausforderung, ihre IT, aber auch die Operational Technology (OT) vor immer raffinierteren Cyber-Angriffen zu schützen. Die Hard- und Software, die zur Überwachung und Steuerung von physischen Prozessen, Geräten und Infrastrukturen eingesetzt wird, ist gezielten Angriffen von innen und außen ausgesetzt.

OT wird beispielsweise angewendet, um Roboter in einer Werkshalle zu steuern oder Beatmungsgeräte in Krankenhäusern zu überwachen. Werden die Geräte nicht ausreichend geschützt, können Schwachstellen ausgenutzt und Schadsoftware eingespielt werden. Auch über externe Hardware, Wechseldatenträger oder das Intranet kann Schadsoftware in die Betriebstechnologie gelangen.

In unserem Interview beleuchtet Guido Kraft, Field CISO bei WALLIX, die neuesten Entwicklungen, Strategien und Best Practices zur Stärkung der OT-Sicherheit.

Wie hat sich die Bedrohungslandschaft für OT (Operational Technology) in der letzten Zeit entwickelt?

Guido Kraft (GK): Die Bedrohungslandschaft für OT hat sich deutlich verändert, Bedrohungen deutlich zugenommen. Insbesondere im Bereich der kritischen Infrastrukturen (KRITIS) beobachten wir einen signifikanten Anstieg der Angriffe, die auch immer wieder politisch motiviert sind.

Beispielsweise zielen auch staatlich gelenkte russische Hackergruppierungen, die oft als die „Five Bears“ bezeichnet werden, kontinuierlich auf kritische Infrastrukturen, wie aber auch auf die Regierung, Behörden, Parteien und andere systemrelevante Bereiche ab. Der Bundestagshack von 2015 ist da ein prominentes Beispiel.

Wir registrieren mehrere tausend Angriffe pro Monat. Die geopolitische Lage und die veränderten globalen Machtverhältnisse spielen dabei eine entscheidende Rolle. Cyberwarfare ist längst Realität und wird parallel zu konventionellen Konflikten geführt, was unsere technischen Versorgungsinfrastrukturen wie Energie, Transport und medizinische Versorgung stark betrifft.

Gibt es bestimmte Felder oder Technologien, die besonders ins Visier genommen werden?

GK: Ja, insbesondere die industrielle Fertigung und die chemische Produktion sind häufige Ziele. Auch der Diebstahl von geistigem Eigentum und Betriebsgeheimnissen stellt eine zunehmende Bedrohung dar. Ältere Maschinen, die noch mit veralteten Systemen – teilweise sogar älter als Windows 2000 – betrieben werden, sind ebenfalls stark gefährdet, da diese oft nicht ausreichend gesichert sind. Mit der zunehmenden Vernetzung und Integration neuer Maschinen in OT-Netzwerke steigt auch die Anzahl potenzieller Angriffspunkte.

Welche Rolle spielen Deiner Meinung nach Technologien wie Machine Learning und KI – also Künstliche Intelligenz – in der OT-Sicherheit?

GK: KI und Machine Learning sind zweischneidige Schwerter. Einerseits können sie helfen, Anomalien im Benutzerverhalten zu erkennen und Netzwerke effizient zu überwachen. Andererseits stellen sie selbst eine Bedrohung dar, wenn Angreifer diese Technologien nutzen, um Schwachstellen in OT-Systemen auszunutzen. Auch KI aus intern verwendeten Programmen, beispielsweise zur Steuerung von Produktionsanlagen, sollte von der Cybersecurity-Abteilung strengstens beobachtet werden: welche Zugriffe und Berechtigungen erhalten diese Systeme?

Studien zeigen, dass die Mehrheit der Befragten KI-Angriffe als Bedrohung für ihre OT-Infrastruktur wahrnimmt. Der Schlüssel liegt darin, Use Cases sorgfältig auszuwählen und Kontrollmechanismen zu entwickeln, um die Risiken zu minimieren.

Und wie wirkt sich die Ausbreitung von Cloud- und SaaS-Technologien auf die OT-Sicherheit aus?

GK: Die Integration von Cloud- und SaaS-Technologien in OT-Umgebungen birgt meiner Meinung nach sowohl Chancen als auch Risiken. Während solche Technologien in der IT weit verbreitet sind, ist ihre Anwendung in OT-Umgebungen aufgrund der speziellen Anforderungen und Sicherheitsbedenken oft problematisch. Um diese Technologien sicher zu implementieren und gleichzeitig die Betriebsabläufe nicht zu beeinträchtigen, ist eine umfassende Strategie erforderlich.

Um diesen neuen Herausforderungen zu begegnen: Welche Maßnahmen können Unternehmen ergreifen?

GK: Es ist entscheidend, privilegierte Zugangssysteme zu etablieren, die nur autorisierten Personen den Zugang ermöglichen, oft abgesichert durch MFA, also eine Multi-Faktor-Authentifizierung. Ein mehrstufiger Genehmigungsprozess und die vollständige Auditierbarkeit sind ebenfalls wichtige Elemente. Standards wie IEC 62443 bieten hier eine solide Basis. Es geht darum, Zugriffe streng zu kontrollieren und sicherzustellen, dass nur die notwendigen Berechtigungen vergeben werden.

Welche Best Practices gibt es für Unternehmen, die ihre OT-Sicherheit verbessern wollen?

GK: Unternehmen sollten Zero Trust-Prinzipien in ihre Sicherheitsstrategie integrieren. Privileged Access Management- und Identity- und Access Governance-Lösungen sind hier essenziell, um Zugriffe strikt zu kontrollieren. Der Trend geht klar hin zur Präventivsicherheit. Ein Risikoklassenmodell kann beispielsweise helfen, verschiedene Systeme nach ihrem Risiko zu klassifizieren und entsprechend zu sichern. Es ist auch wichtig, branchenspezifische Vorschriften und Standards wie IEC 62443 und NIS2 zu berücksichtigen.

Compliance-Standards sollen die Sicherheit fördern, stellen Unternehmen bei der Einhaltung jedoch oft auch vor Herausforderungen. Wie kann Privileged Access Management oder kurz „PAM“ hier unterstützen?

GK: Vorrangig gilt es, sich einen Überblick zu verschaffen, welche Regularien für eine Organisation, oder die einzelnen Systeme darin, relevant sind. Unser Risikoklassenmodell ist ein Werkzeug zur Kategorisierung von Systemen und deren Schutzbedarf – von Hochrisikosystemen wie Datenservern bis hin zu weniger kritischen Komponenten. Ein solches Modell ermöglicht es, spezifische Sicherheitsmaßnahmen zielgerichtet einzusetzen. Beispielsweise kann in Hochrisikosystemen der Zugriff streng reguliert und mit Multi-Faktor-Authentifizierung abgesichert werden, während weniger kritische Systeme flexiblere Sicherheitsprotokolle nutzen können. Gemeinsam mit einer PAM-Lösungen können somit branchenspezifische und generelle Datenschutz-Vorschriften – von NIS2 über ISO 27001 – eingehalten werden.

Welche Hürden bei der Implementierung von PAM beziehungsweise von Identity- und Access Governance, kurz „IAG“, siehst Du bei Kunden häufiger?

GK: Die größte Hürde ist oft deren Komplexität. Viele Kunden schrecken vor der Implementierung zurück, weil sie diese als zu komplex und wartungsintensiv empfinden. Unsere Erfahrung zeigt jedoch, dass gut konzipierte Lösungen vergleichsweise einfach zu implementieren sind und eine nahtlose Integration in bestehende Sicherheitsinfrastrukturen ermöglichen. Trotzdem gibt es immer noch Herausforderungen, insbesondere bei der Anpassung an spezifische Unternehmensanforderungen und der Integration mit bestehenden Systemen, beispielsweise bei der Verwendung von SaaS-Lösungen.

Kann die Effektivität von PAM- und IAG-Lösungen gemessen und bewertet werden?

GK: Die Effektivität lässt sich schwer in Zahlen fassen, da der ROI von Sicherheitsmaßnahmen oft nicht direkt messbar ist. Wichtige Kennzahlen sind jedoch die Anzahl der verhinderten unautorisierten Zugriffe und die Zeit, die für die Reaktion auf Sicherheitsvorfälle benötigt wird. Ein Indikator für die Effektivität ist auch die Benutzerfreundlichkeit und Akzeptanz der Sicherheitsmaßnahmen im Unternehmen.

Abschließend, welche Trends sollten Unternehmen Deiner Meinung nach in den nächsten Jahren besonders im Auge behalten?

GK: Unternehmen sollten sich auf die zunehmende Vernetzung und die Integration von KI in OT-Systeme vorbereiten. Zero Trust-Sicherheitsmodelle werden immer wichtiger, ebenso wie die Einhaltung neuer Vorschriften und Standards. Es wird auch entscheidend sein, flexible und skalierbare Sicherheitslösungen zu implementieren, die sowohl alte als auch neue Systeme abdecken können. Die ständige Weiterbildung und Sensibilisierung der Mitarbeiter bleibt ebenfalls ein zentraler Aspekt der OT-Sicherheit.

Guido, vielen Dank für das Gespräch!

Guido Kraft, Field CISO bei WALLIX