Bereiten Sie sich auf die Zukunft vor, indem Sie einen risikobasierten Ansatz verfolgen. Die Befolgung dieser fünf Schritte kann helfen.

Die Rolle der CISO ändert sich rasant und umfasst nun auch das Management von Sicherheitsrisiken sowie den Schutz sensibler Informationen, so ein kürzlich veröffentlichter Gartner-Bericht. Dieser Wandel wird durch den Einsatz cyber-physikalischer Systeme (CPS) vorangetrieben, wie z.B. Geräte für das Internet der Dinge (Internet of Things, IoT), die in Gebäudemanagementsystemen und Gesundheitseinrichtungen verwendet werden, sowie Geräte für die Betriebstechnik (OT), die in Fertigungsanlagen, Öl- und Gasanlagen, Energie- und Wasserversorgungsunternehmen, im Transportwesen, im Bergbau und in anderen kritischen industriellen Infrastrukturen eingesetzt werden.

Da CPSs sowohl die digitale als auch die physische Welt umfassen, sind sie primäre Ziele für Gegner, die größere Sicherheits- und Umweltvorfälle und/oder Betriebsunterbrechungen verursachen wollen. Beispiele hierfür sind der TRITON-Angriff auf Sicherheitssysteme in einer petrochemischen Anlage, die Angriffe auf das ukrainische Stromnetz, NotPetya und die Lösegeldanschläge von Norsk Hydro.

Darüber hinaus berichtete Microsoft im August letzten Jahres, dass es eine staatlich geförderte russische Bedrohungsgruppe beobachtet habe, die intelligente IoT-Geräte als Zugangspunkte zu Unternehmensnetzwerken benutzte, von wo aus sie versuchte, ihre Privilegien zu erhöhen, um weitere Angriffe zu starten. In jüngerer Zeit haben wir auch beobachtet, wie Angreifer IoT-Zugangskontrollsysteme kompromittieren, um tiefer in Unternehmensnetzwerke einzudringen.

Branchenanalysten schätzen, dass demnächst weltweit etwa 50 Milliarden IoT-Geräte eingesetzt werden, wodurch sich die Angriffsfläche dramatisch vergrößert. Da diese eingebetteten Geräte nicht durch agentenbasierte Technologien geschützt werden können – und oft nicht gepatcht oder falsch konfiguriert sind – benötigen CISOs neue Strategien, um das IoT-Sicherheitsrisiko zu mindern. Ansonsten ist es nicht schwer, sich vorzustellen, dass Regulierungsbehörden und Unternehmenshaftungsrechtler bald Führungskräfte der C-Level fahrlässig – und sogar persönlich haftbar – machen werden, weil sie sicherheitsbezogene Sicherheitskontrollen nicht implementiert haben.

Fünf Schritte zur Minderung des CPS- und IoT-Risikos

Die Idaho National Labs (INL) haben eine Methodik für den Umgang mit CPS- und IoT/OT-Risiken entwickelt, die als CCE (Consequence-driven cyber-informed engineering) bezeichnet wird. Auf der Grundlage dieses INL-Ansatzes sind hier fünf Schritte aufgeführt, deren Priorisierung alle Organisationen in naher Zukunft in Betracht ziehen sollten:

Identifizierung von Kronjuwelen-Prozessen: Man kann nicht immer alles schützen, aber man kann die wichtigsten Dinge die meiste Zeit schützen. Daher ist eine rücksichtslose Priorisierung der Funktionen, deren Ausfall zu größeren Sicherheits- oder Umweltvorfällen oder Betriebsstörungen führen würde, von entscheidender Bedeutung. Identifizieren Sie in Gesprächen mit Geschäftsinhabern, Infrastrukturmanagern und OT-Personal die Dinge, die Sie am dringendsten schützen müssen, im Voraus.

Kartieren Sie das digitale Gelände: Identifizieren und kategorisieren Sie alle verbundenen Anlagen in der Organisation, unabhängig davon, ob sie als IT, IoT, Gebäudemanagementsysteme (BMS), OT oder intelligente persönliche Geräte wie Alexa und Spielsysteme betrachtet werden. Dazu gehört auch zu verstehen, wie sich Informationen durch Ihr Netzwerk bewegen und wer die Geräte berührt, einschließlich Drittanbieter und Wartungsunternehmen mit Fernzugriffsverbindungen.

Beleuchten Sie die wahrscheinlichsten Angriffspfade: Analysieren Sie Risiken und Schwachstellen in Ihrem Netzwerk, um die wahrscheinlichsten Angriffsvektoren auf Ihre Kronjuwelen-Anlagen und -Prozesse zu bestimmen. Dies kann sowohl mit Hilfe automatisierter Bedrohungsmodellierung als auch mit Hilfe von Übungen des roten Teams erfolgen, um andere Eintrittspunkte wie Social Engineering und physischen Zugang zu Ihren Einrichtungen zu identifizieren.

Entschärfen und schützen: Sobald Sie eine Vorstellung von den wahrscheinlichsten Angriffspfaden haben, entwickeln Sie einen priorisierten Ansatz zur Risikominimierung. Dazu können Schritte gehören wie die Reduzierung der Anzahl der über das Internet zugänglichen Zugangspunkte, die Verwendung von Zero-Trust-Richtlinien zur Mikrosegmentierung, um IoT- und OT-Geräte von anderen Netzwerken zu trennen, und die Behebung kritischer Schwachstellen, die in den wahrscheinlichsten Angriffspfaden vorhanden sind. Bei den laufenden Ausgleichskontrollen geht es in erster Linie darum, die kontinuierliche Überwachung der Netzwerksicherheit und die agentenlose Sicherheit zu nutzen, um verdächtiges oder unbefugtes Verhalten sofort zu erkennen – wie z.B. eine CCTV-Kamera beim Durchsuchen von Active Directory.

Entfernen von Silos zwischen IT, OT, IoT und CPS: Als CISO bedeutet die Sicherung des Unternehmens, für die gesamte digitale Sicherheit verantwortlich zu sein – unabhängig davon, ob es sich um IT, OT, IoT oder CPS handelt. Die Schaffung einer einheitlichen Sicherheitsüberwachung und -steuerung erfordert einen ganzheitlichen Ansatz in Bezug auf Menschen, Prozesse und Technologie. Zu den technischen Aspekten gehören die Weiterleitung aller IoT/OT-Sicherheitswarnungen an die Sicherheitsbetriebszentrale und die Nutzung vorhandener Sicherheitsinformationen und des Ereignismanagements (SIEM), der Automatisierung und Reaktion der Sicherheitsorchestrierung (SOAR) sowie von Präventionsmechanismen (Firewalls und Netzwerkzugangskontrollsysteme), um schnell auf IoT/OT-Vorfälle reagieren zu können, z. B. durch die rasche Quarantäne von Geräten, die als Quellen böswilligen Datenverkehrs erkannt wurden.

Proaktive Vorbereitung auf die Zukunft

Die heutigen Gegner – von Nationalstaaten bis hin zu Cyberkriminellen und Hacktivisten – sind motiviert, entschlossen und in hohem Maße in der Lage, Störungen und Zerstörungen zu verursachen.

Branchenexperten sind sich einig, dass entschlossene Angreifer schließlich einen Weg in Ihr Netzwerk finden werden. Eine bessere Strategie ist es daher, sie bereits in den frühen Aufklärungsphasen der Tötungskette durch Überwachung zu entdecken, um Angriffe abzuschwächen, bevor sie nennenswerten Schaden anrichten können. Beim TRITON-Angriff auf die Sicherheitskontroller in einer petrochemischen Anlage zum Beispiel waren die Gegner mehrere Jahre lang innerhalb des Netzwerks, bevor sie aufgrund eines Fehlers in ihrer Malware entdeckt wurden, der die Anlage versehentlich für eine Woche stilllegte.

Für Vorstände und Managementteams ist es unerlässlich, die neuen Sicherheitsrisiken zu erkennen, die von IoT- und CPS-Systemen ausgehen – und sich mit einem risikobasierten Ansatz proaktiv darauf vorzubereiten.