Inwiefern führen die verschwimmenden Grenzen zwischen OT- und IT-Systemen zu potenziellen bereichsübergreifenden Sicherheitsbedrohungen und wie lassen sich die Herausforderungen durch veraltete OT-Technologie bewältigen. Diese beiden Fragen beantwortet Matt Middleton-Leal, Managing Director EMEA North bei Qualys.
Netzpalaver: Inwiefern führen die verschwimmenden Grenzen zwischen OT- und IT-Systemen zu potenziellen bereichsübergreifenden Sicherheitsbedrohungen?
Matt Middleton-Leal,: Als CISO sollten Sie sicherstellen, dass Ihre IT-Sicherheits- und OT-Teams miteinander kommunizieren. In manchen Unternehmen arbeiten diese Teams vollkommen getrennt und tauschen keine Informationen aus. Dadurch können Probleme entstehen, ohne dass ein Gesamtüberblick darüber existiert, wo genau die Ursache liegt und ob sie auf IT oder OT zurückzuführen ist.
Ein weiteres Problem ist, dass die typischen Sicherheitsmodelle für diese Infrastrukturgruppen sehr unterschiedlich sind. OT-Systeme verlassen sich oft auf sogenannte „Air Gaps“, um Probleme oder Angriffe zu verhindern. Das bedeutet aber auch, dass sie häufig nicht auf dem neuesten Stand sind, was Patches oder Softwareversionen betrifft. Bei traditionellen IT-Systemen werden monatliche Patches veröffentlicht, während Cloud-Ressourcen möglicherweise sofortige Updates benötigen. Jedes IT-Umfeld arbeitet also in einem eigenen Tempo und muss im jeweiligen Kontext betrachtet werden – jede Umgebung hat ihr eigenes Risikoprofil und muss entsprechend priorisiert werden.
Üblicherweise lautet die Empfehlung, Patches und Updates so schnell wie möglich einzuspielen. Die Anwendung von Updates hängt jedoch auch stark vom potenziellen Ausfallrisiko für das Unternehmen ab. OT-Systeme sind oft so wertvoll, dass sie nicht für Updates abgeschaltet werden, weil Ausfälle Umsatzeinbußen zur Folge haben könnten. Für Sicherheitsteams ist es daher entscheidend, das Ausmaß solcher Auswirkungen zu verstehen, um überzeugende Argumente für die Durchführung der Updates zu liefern. Je länger diese Änderungen hinausgezögert werden, desto größer wird das potenzielle Risiko im Laufe der Zeit.
Der erste Schritt zu einem effektiven langfristigen Risikomanagement besteht darin, die Teams zur Zusammenarbeit zu bewegen, die Netzwerktopologien und Protokolle zu verstehen und dann eine aktuelle Bestandsaufnahme der Assets sowohl in den IT- als auch in den OT-Netzwerken durchzuführen. Im Grunde genommen benötigen Sie einen vollständigen Überblick über alle Anlagen in Ihrem Betrieb – egal, ob es sich um Jahrzehnte alte Systeme oder um Software-Container handelt, die nur wenige Minuten existieren. Es ist unmöglich, Assets zu schützen, von deren Existenz man nichts weiß.
Netzpalaver: Viele OT-Umgebungen stehen vor Herausforderungen, die durch veraltete Technologie bedingt sind, wie etwa Altsysteme ohne integrierte Sicherheitsmechanismen. Wie können CISOs diese Sicherheitsprobleme bewältigen?
Matt Middleton-Leal: Die Härtung Ihrer Systeme über das gesamte Netzwerk hinweg ist von unschätzbarem Wert. Aber es ist einfacher gesagt als getan. Das größte Problem ist normalerweise die Kommunikation – wissen alle Teams im Unternehmen voneinander und wie sie arbeiten? Hat Ihr IT-Sicherheitsteam Einblick in Ihr IoT-Netzwerk oder wird es ausschließlich von Ihrem Netzwerk- oder Kommunikationsteam verwaltet? Ein CISO kann den größten Einfluss ausüben, indem er sicherstellt, dass diese Teams effektiv miteinander kommunizieren, ihre Ziele verstehen und bereits vor der Entscheidungsfindung für ausreichende Sicherheitsvorkehrungen sorgen, statt Sicherheitsmaßnahmen erst nachträglich einzuführen.
Zudem müssen regulatorische Vorgaben berücksichtigt werden. Unternehmen, die in kritische Infrastrukturen der Lieferkette eingebunden sind, unterliegen der NIS2-Richtlinie. Diese Vorschriften geben klare Anweisungen, welche Sicherheitsmaßnahmen sowohl in IT- als auch in OT-Netzwerken getroffen werden müssen.
NIS2 verfolgt einen risikobasierten Ansatz, sodass Unternehmen ihren Ansatz im Einklang mit der Größe ihrer Geschäftstätigkeit und der Wahrscheinlichkeit, von potenziellen Problemen betroffen zu sein, anpassen können. Dieser risikobasierte Ansatz ermöglicht es Unternehmen, ihre Ausgaben zu rechtfertigen und nachzuweisen, dass sie die Vorschriften einhalten. CISOs können diese Vorschriften zur Unterstützung ihrer Budgetierung und Sicherheitsplanung nutzen, müssen aber auch die allgemeine Unternehmensstrategie im Blick behalten und sicherstellen, dass die Sicherheitsmaßnahmen diese Ziele unterstützen.
Das Risikomanagement in diesen beiden Umgebungen stellt aus sicherheitstechnischer Sicht eine besondere Herausforderung dar. Es gilt zu berücksichtigen, wie wichtig diese OT-Altsysteme für das Unternehmen sind, da sie höchstwahrscheinlich für einen erheblichen Teil der Einnahmen verantwortlich sind. Änderungen an diesen Systemen vorzunehmen kann schwierig sein, da sie offline genommen werden müssen, um Aktualisierungen durchzuführen. Aus einer Risikoperspektive ist es entscheidend, die potenziellen Herausforderungen und Risiken mit dem Vorstand zu erörtern. Die Risikominderung ist eine Geschäftsentscheidung, nicht nur eine IT- oder Technologieentscheidung. Für CISOs und Sicherheitsverantwortliche ist es daher wichtig, geeignete Kontrollmaßnahmen für die jeweilige Umgebung zu implementieren. Während in traditionellen IT-Systemen möglicherweise ein Patch angewendet werden kann, könnte in OT-Umgebungen ein virtueller Patch oder eine andere Form der Risikominderung erforderlich sein.
Die Quantifizierung von Cyberrisiken (Cyber Risk Quantification, CRQ) ist ein wachsender Bereich für CISOs – jedoch handelt es sich um ein neues Feld, und nur wenige CISOs sind sich sicher, wie sie Risiken effektiv bewerten und managen können. Die richtige CRQ wird jedoch langfristig über Erfolg oder Misserfolg von Unternehmen in diesem Sektor entscheiden.
#Qualys