F\u00fcr Industrieunternehmen besteht dringender Handlungsbedarf, um St\u00f6rungen und Ausf\u00e4lle \u2013 und damit verbundene finanzielle Sch\u00e4den und Reputationsverluste \u2013 durch Cyberattacken zu vermeiden. Die Absicherung der Operational Technology (OT) ist dabei von entscheidender Bedeutung. NTT DATA, ein weltweit f\u00fchrender Anbieter von KI-, digitalen Business- und Technik-Services, stellt eine klar strukturierte und in der Praxis bew\u00e4hrte Roadmap vor, mit der Unternehmen ihre Cybersecurity verbessern und ihre Resilienz st\u00e4rken k\u00f6nnen.\u200b<\/p>\n
Die zunehmende Verkn\u00fcpfung von OT, IoT und IT bringt erhebliche Sicherheitsrisiken mit sich, denn die OT ist damit s\u00e4mtlichen aus der IT-Welt bekannten Cybergefahren ausgesetzt \u2013 und in der Regel leicht angreifbar. Das liegt unter anderem an den vielen Altsystemen, die nur schlecht zu sch\u00fctzen sind, oder an den zahlreichen neuen IoT-Ger\u00e4ten, die Sicherheitsl\u00fccken aufweisen.\u00a0Die folgende von NTT DATA entwickelte Roadmap hilft bei der Umsetzung von OT-Security und sorgt in sechs Schritten f\u00fcr die Umsetzung einer robusten Sicherheitsstrategie.<\/p>\n
Der erste Schritt bei der OT- und IoT-Absicherung ist eine Asset Discovery, die alle Komponenten mit Netzwerkzugriff identifiziert und dokumentiert. Auf diese Weise entsteht ein Inventar mit Informationen zu Ger\u00e4tetypen, Firmware-Versionen und verwendeten Kommunikationsprotokollen. Dieser \u00dcberblick ist unerl\u00e4sslich, denn ein Unternehmen kann auch nur das sch\u00fctzen, was es kennt. Zu den OT-Komponenten geh\u00f6ren zum Beispiel Programmable Logic Controller (PLC), Human-Machine Interfaces (HMI) oder SCADA (Supervisory Control and Data Acquisition)-Systeme und zu den IoT-Komponenten etwa Sensoren oder Geb\u00e4udesteuerungen.<\/p>\n
Wenn alle Komponenten innerhalb der OT-Infrastruktur und ihre Kommunikationsbeziehungen bekannt sind, sollten Unternehmen eine Risikoanalyse durchf\u00fchren. Dabei werden m\u00f6gliche Bedrohungen identifiziert und hinsichtlich Schweregrad und Eintrittswahrscheinlichkeit bewertet. Dar\u00fcber hinaus m\u00fcssen Unternehmen kl\u00e4ren, welche Auswirkungen eine St\u00f6rung, ein Ausfall oder eine Manipulation h\u00e4tte \u2013 und wie lange die Wiederherstellung einer Komponente nach einem Cybervorfall dauern darf. Diese Informationen sind f\u00fcr die Entscheidung erforderlich, wie mit Risiken umgegangen werden soll und welche Sicherheitsma\u00dfnahmen zu ergreifen sind.<\/p>\n
Bereits parallel zu Schritt 2 ist es ratsam, dass Unternehmen einen individuellen Fahrplan zur Verbesserung ihrer OT-Security entwickeln, also Risiken priorisieren und Ma\u00dfnahmen einleiten, um sie zu beseitigen oder zumindest zu minimieren. Die Ma\u00dfnahmen betreffen sowohl technische als auch organisatorische Aspekte, also einerseits Techniken und L\u00f6sungen und andererseits Sicherheitsprozesse mit der Festlegung von Rollen und Verantwortlichkeiten. Wichtig ist, dass Industrieunternehmen OT-Security nicht als einmalige Ma\u00dfnahme, sondern als kontinuierliche Aufgabe verstehen. Sie ben\u00f6tigen ein Konzept, um Risiken kontinuierlich zu identifizieren, zu bewerten und zu bew\u00e4ltigen. Unterst\u00fctzung bei der Entwicklung und Umsetzung der OT-Sicherheitsstrategie bieten bew\u00e4hrte Normen und Frameworks wie ISO 27005 f\u00fcr das Risikomanagement in der Informationssicherheit und IEC 62443 f\u00fcr den Schutz industrieller Automatisierungs- und Steuersysteme.<\/p>\n
Die gr\u00f6\u00dften Risiken f\u00fcr OT-Umgebungen resultieren erfahrungsgem\u00e4\u00df aus veralteten Firmware- und Software-Versionen mit vorhandenen Schwachstellen sowie der Vergabe weitreichender Berechtigungen f\u00fcr die Zugriffe auf OT- und IoT-Ger\u00e4te, die unzureichend abgesichert und kontrolliert werden. Zur Entsch\u00e4rfung dieser Risiken bieten sich mehrere Sicherheitsma\u00dfnahmen an. Dazu z\u00e4hlen vor allem die Netzwerksegmentierung, die Sicherung der Fernzugriffe durch eine sorgf\u00e4ltige Berechtigungsvergabe, verschl\u00fcsselte Verbindungen, die Multi-Faktor-Authentifizierung (MFA) und die Nutzung einer Endpoint-Security-L\u00f6sung. Unverzichtbar ist zudem ein intelligentes Rechte- und Rollenmanagement, das hei\u00dft, alle Benutzer und Systeme sollten nur mit exakt den Berechtigungen ausgestattet werden, die sie tats\u00e4chlich ben\u00f6tigen.<\/p>\n
Nach der Minimierung der Top-Risiken m\u00fcssen Industrieunternehmen ihre Prozesse so gestalten, dass sie die OT-Security langfristig und kontinuierlich verbessern. So ben\u00f6tigen sie etwa standardisierte Abl\u00e4ufe f\u00fcr das sichere Onboarding neuer Ger\u00e4te und f\u00fcr die Meldung von Sicherheitsvorf\u00e4llen bei den zust\u00e4ndigen Beh\u00f6rden, falls die Umgebung unter regulatorische Anforderungen f\u00e4llt. Zudem m\u00fcssen sie die Verantwortlichkeiten zwischen OT-, IT- und Security-Teams kl\u00e4ren und eine Security-Kultur fest im Unternehmen etablieren. Dar\u00fcber hinaus ben\u00f6tigen Unternehmen eine robuste Strategie f\u00fcr Business Continuity, um den regul\u00e4ren Gesch\u00e4ftsbetrieb im Ernstfall aufrechtzuerhalten. Neben Notfallpl\u00e4nen umfasst Business Continuity auch Backup und Desaster Recovery, also die Sicherung wichtiger Daten und Systeme \u2013 und ihre Wiederherstellung nach einem Angriff.<\/p>\n
Eine hundertprozentige Sicherheit beim Schutz von OT-Umgebungen gibt es aber trotz aller Ma\u00dfnahmen nicht. Sie dienen aber dazu, die Angriffsfl\u00e4che zu verkleinern, das Risiko von Sicherheitsvorf\u00e4llen zu minimieren und deren Auswirkungen m\u00f6glichst gering zu halten. Aus diesem Grund m\u00fcssen Unternehmen auch die F\u00e4higkeit besitzen, Angriffe auf ihre Infrastrukturen zu erkennen und zu bew\u00e4ltigen. Die Basis f\u00fcr diese Angriffserkennung ist ein kontinuierliches Monitoring des Netzwerk-Traffics, des Verhaltens von OT- und IoT-Ger\u00e4ten sowie der Meldungen von Sicherheitsl\u00f6sungen. Dabei d\u00fcrfen einzelne Ereignisse nicht isoliert betrachtet werden. Schlie\u00dflich ergibt sich der Hinweis auf eine Bedrohung oft erst aus dem Kontext einer Aktion, etwa wenn ein Zugriff zu un\u00fcblichen Zeiten von einem ungew\u00f6hnlichen Ort aus stattfindet.<\/p>\n