[datensicherheit.de, 21.09.2022] OTORIO zeigt nach eigenen Angaben in seinem „2022 OT Cybersecurity Survey Report“ die aktuelle Situation der OT-Sicherheit auf („OT“ steht für „Operational Technology“ und bezieht sich auf Betriebstechnologie zur Steuerung industrieller Anlagen und Kritischer Infrastrukturen). Infolge des fortschreitenden Zusammenwachsens von IT- und früher vollständig getrennter OT-Umgebungen und vor dem Hintergrund gezielter Angriffe gewinnt die OT-Sicherheit offensichtlich an Bedeutung.

Abbildung: OTORIO

OTORIO: Die wichtigsten Cyber-Sicherheitsherausforderungen 2022

IT-Überwachungstools stoßen an Grenzen, da OT anders funktioniert

53 Prozent der Umfrageteilnehmer sähen dabei Supply-Chain-Angriffe als eine ihrer drei größten Sorgen an. Die Angriffe auf Kaseya und SolarWinds sowie der groß angelegte Angriff auf das afrikanische Hafennetz seien nur einige Beispiele für große Angriffe dieser Art im Jahr 2021.

„So waren Hunderte von Unternehmen, von der Ausnutzung einer Schwachstelle bei einem Dienstleister betroffen. Dies zeigt erneut: Unternehmen sind nur so stark wie ihr schwächstes Glied.“ In einem betrieblichen oder industriellen Umfeld könne dies jeder Anbieter mit Fernzugriff auf die Produktionsumgebung sein, der möglicherweise nicht einmal für IT-Überwachungstools sichtbar sei, da OT anders funktioniere.

OT-Risiko verringern – Mikrosegmentierung und Zero Trust

99 Prozent der Befragten haben demnach in den letzten zwölf Monaten (zum Zeitpunkt der Befragung) die Auswirkungen eines Supply-Chain-Angriffs erlebt. 83 Prozent der Befragten gäben an, dass sie sehr besorgt über Angriffe seien, „die ihren Ursprung in der Lieferkette haben“.

Um das Risiko zu verringern, sollten Unternehmen Technologien wie Mikrosegmentierung implementieren und den Zugang von Drittanbietern zu ihrer Umgebung nach den Grundsätzen der geringsten Privilegien und von „Zero Trust“ beschränken.

Cyber-Zertifikat: Anforderung an OT-Anbieter

OTORIO habe die Umfrageteilnehmer gefragt, „ob sie von ihren Zulieferern ein Cyber-Zertifikat für ihre Hardware und/oder Software verlangen“. 64 Prozent gäben an, dass sie dies schon immer verlangt hätten, 32 Prozent verlangten es seit 2021 und fünf Prozent planten, es ab 2022 zu verlangen.

„Das bedeutet, dass in Zukunft jede Maschine, jedes System und jedes Gerät vor der Auslieferung auf Cyber-Sicherheit, gesetzliche und vertragliche Anforderungen geprüft werden muss.“ Um wettbewerbsfähig zu bleiben, müssten die Hersteller dieses Cyber-Zertifikat anbieten – oder sie riskierten, Aufträge zu verlieren.

Weitere Informationen zum Thema:

OTORIO
Discussing 2022 OT Cybersecurity Survey Report – On-Demand Webinar

[datensicherheit.de, 07.09.2022] OTORIO zeigt nach eigenen Angaben in seinem „2022 OT Cybersecurity Survey Report“ die aktuelle Situation der OT-Sicherheit auf. Demnach berichteten 98 Prozent der Befragten dabei über einen Anstieg der Cyber-Risiken in den letzten drei Jahren. „67 Prozent der Befragten gaben an, dass die Risiken ,erheblich zugenommen’ haben, und 31 Prozent antworteten, dass es einen ,leichten Anstieg’ gab.“ Diese Ergebnisse seien nicht überraschend, angesichts der Schlagzeilen des letzten Jahres, 2021, über spektakuläre OT-Cyber-Angriffe. Weltweite Angriffe der „Lockbit“-Ransomware, der Angriff auf Colonial Pipeline in den USA oder Angriffe auf den Mineralölvertrieb in Europa seien nur einige der prominentesten Beispiele.

An Behörden gemeldete Cyber-Vorfälle: Kluft zwischen Theorie und Praxis auch bei OT

Auf die Frage, wie viel Prozent der Unternehmen in den letzten zwölf Monaten (zum Zeitpunkt der Befragung) Cyber-Sicherheitsvorfälle an staatliche Behörden gemeldet haben, hätten alle Unternehmen angegeben, dass sie dies generell machten.

„Im Betriebsalltag melden allerdings 58 Prozent mindestens 20 Prozent ihrer Vorfälle nicht, während nur vier Prozent tatsächlich alle ihre Vorfälle lückenlos melden.“ Das bedeutet laut OTORIO, dass die Vorfälle, die es in die Schlagzeilen schaffen, nur einen Bruchteil des wahren Ausmaßes der OT-Cyber-Attacken in der Industrie darstellten.

Wichtigste Bereiche der OT-Sicherheit 2022

Die wichtigsten Bereiche, auf die sich die OT-Cyber-Sicherheit derzeit konzentriere, seien die Verbesserung der Sichtbarkeit und der Bestandsaufnahme der Anlagen (39%), der Erkennungsmöglichkeiten (23%) und der Reaktionsfähigkeit (20%). Viele Unternehmen konzentrierten sich dabei darauf, das Bestehende zu optimieren.

Es lohne sich jedoch, auch darüber nachzudenken, „ob nicht vielleicht ein neuer Ansatz mehr ihrer Herausforderungen lösen würde“. Eine Möglichkeit, dies zu tun, bestehe darin, Risiken proaktiv zu erkennen und sie zu mindern, „bevor sie zu Sicherheitsvorfällen werden“. Der Ansatz-Wechsel von „Indication of Compromise“ (IoC) zu „Indication of Exposure“ (IoE) mache die OT-Sicherheit einfacher und wesentlich effizienter.

99% der Unternehmen möchten OT-Cyber-Sicherheitsbudgets in diesem Jahr erhöhen

99 Prozent der Unternehmen gäben an, ihre OT-Cyber-Sicherheitsbudgets in diesem Jahr zu erhöhen, wobei mehr als die Hälfte (54%) eine Erhöhung um mehr als 50 Prozent plane. 92 Prozent würden es um mindestens zehn Prozent erhöhen. Dies sei angesichts eines deutlichen Anstiegs der Cyber-Kriminalität, mehr Vorschriften als je zuvor, der Digitalen Transformation und des Übergangs zu einer vernetzten Produktion verständlich.

OT-Sicherheit sei mittlerweile ein fester Bestandteil der „Roadmap“ von industriellen Unternehmen und Betreibern Kritischer Infrastrukturen. Jetzt gelte es, die richtigen Weichen zu stellen und die erhöhten Budgets in effektive OT-Sicherheitslösungen zu investieren.

Weitere Informationen zum Thema:

OTORIO
2022 OT Cybersecurity Survey Report / Start 2022 with more insights on how to stay secure

datensicherheit.de, 26.07.2021
Ransomware-Attacken: Lehren aus dem Vorfall bei Colonial Pipeline / Cyber-Kriminelle wollen möglichst schnell und einfach möglichst viel Gewinn erzielen – Ransomware-Angriffe zumeist opportunistisch

[datensicherheit.de, 16.08.2022] „Wenn es um Sicherheit geht – sowohl bei der IT (Informationstechnologie) als auch der OT (Prozesstechnologie), weiß man nie, was alles passieren könnte“, betont Michael Benis, „Security Architect“ und „Chief Information Security Officer“ bei OTORIO, in seiner aktuellen Stellungnahme. Deshalb sei es wichtig, regelmäßig eine Risiko-Bewertung hinsichtlich der Cyber-Sicherheit durchzuführen – „bevor etwas passiert“. Eine Risiko-Bewertung sei jedoch eine Sache, die tatsächliche Risiko-Minderung eine ganz andere. Oftmals machten sich Unternehmen nicht einmal die Mühe, es zu versuchen. „Sie ergreifen einfach Vorsichtsmaßnahmen und hoffen auf das Beste. Wenn Unternehmen keine regelmäßigen Bewertungen der Cyber-Sicherheitsrisiken durchführen, setzen sie sich einem Risiko aus.“ Benis erläutert zentrale Aspekte einer Cyber-Sicherheitsrisiko-Bewertung und wie daraus Schlüsse gezogen werden können:

Foto: OTORIO

Michael Benis: Eine Risiko-Bewertung besteht aus drei Hauptkomponenten: Bedrohung, Anfälligkeit und Auswirkungen

4 Risiko-Haupttypen: Umwelt-, Personal-, physische und finanzielle Sicherheitsrisiken

Eine Risiko-Bewertung besteht demnach aus drei Hauptkomponenten: Bedrohung, Anfälligkeit und Auswirkungen. „Hierbei geht es darum, die Bedrohungen für das Unternehmen zu ermitteln und dann zu bewerten, wie diese Bedrohungen ausgenutzt werden könnten.“ Darüber hinaus gelte es, alle potenziellen Schwachstellen bei Mitarbeitern (Personal), Prozessen und Technologien, wie z.B. IT-Systeme, Betriebstechnologie (OT)-Systeme und Einrichtungen, zu ermitteln. Schließlich müssten Unternehmen die Auswirkungen möglicher Sicherheitsverletzungen berücksichtigen.

Es gebe vier Haupttypen von Sicherheitsrisiken: Umweltrisiken, Personalrisiken, physische Sicherheitsrisiken und finanzielle Risiken. Umweltbezogene Risiko-Bewertungen befassten sich mit den Risiken, „die durch Umweltfaktoren wie Wetterbedingungen entstehen“. Bei der Bewertung von Sicherheitsrisiken im Bereich der Personalressourcen werde untersucht, wie anfällig die Mitarbeiter für Ausnutzung oder Diebstahl sind. Bei den physischen Sicherheitsrisiken werde die physische Sicherheit des Betriebsgeländes bewertet, einschließlich der Zugangskontrollmaßnahmen und der Verfahren zum Verschließen des Gebäudes. Bei den finanziellen Risiken werde geprüft, „wie das Unternehmen in der Lage ist, seinen finanziellen Verpflichtungen nachzukommen und sein Vermögen vor Gläubigern zu schützen“.

Ordnungsgemäße Risiko-Bewertung erfordert Sammlung verschiedener Daten

„Sobald alle oben genannten Komponenten einer Cyber-Sicherheitsrisiko-Bewertung ermittelt sind, ist es an der Zeit, eine tatsächliche Analyse durchzuführen“,so Benis. Für eine ordnungsgemäße Risiko-Bewertung sei es erforderlich, verschiedene Daten zu sammeln: über die Zielgruppe (Kunden), die Zielumgebung (die Orte, an denen sich die Kunden wahrscheinlich aufhalten), die Vermögenswerte (Eigentum oder Geld, das gefährdet sein könnte), die Verbindlichkeiten (wer für Schäden aufkommt, wenn etwas schiefgeht) und die Betriebsabläufe (wie man vorgeht, wenn etwas schiefgeht).
Benis führt weiter aus: „Wenn diese Informationen zur Verfügung stehen, ist es Zeit für die Planung.“ Verantwortliche müssten einen Aktionsplan erstellen, welcher die einzelnen Schritte aufzeigt, „damit sie diese auch tatsächlich erfolgreich durchführen können“.

Sicherheitsrisiko-Bewertung setzt Plan-Erstellung voraus

Um eine Sicherheitsrisiko-Bewertung durchzuführen, müssten die Beteiligten zunächst einen Plan erstellen. Dieser Plan sollte Folgendes enthalten:

• Welche Informationen werden in die Risiko-Bewertung einbezogen?
• Welche Risiken werden bewertet und wie wahrscheinlich ist es, dass sie eintreten?
• Wie können diese Risiken minimiert oder beseitigt werden?
• Wer ist für die Durchführung der Bewertung verantwortlich und über welche Qualifikationen verfügt er?
• Welche Maßnahmen werden ergriffen, um Vorfälle in Zukunft zu verhindern?

Das Risiko muss gemildert, übertragen, vermieden oder akzeptiert werden können

„Sobald ein Unternehmen seinen Bewertungsplan erstellt hat, ist es an der Zeit, die richtigen Lösungen für die Cyber-Sicherheit zu finden. Dazu muss es herausfinden, welche Arten von Sicherheitsservices es benötigt und ob diese im finanziellen Rahmen liegen oder nicht“, erläutert Benis.

Außerdem gelte es, die mit den einzelnen Diensten verbundenen Risiken zu bewerten und sicherzustellen, „dass sie gemildert, übertragen, vermieden oder akzeptiert werden können“. Sobald all diese Informationen vorliegen, sei es an der Zeit, die ausgewählten Sicherheitslösungen zu implementieren.

Bewertung der Sicherheitslösungen wesentlicher Bestandteil der Risikomanagement-Strategie

Sobald der Bewertungsplan steht, sei es an der Zeit, zu ermitteln, wie gut jede Lösung funktioniert. „Sicherheitsverantwortliche möchten dafür sorgen, dass während der Bewertung kein Zwischenfall eintritt, aber auch, dass es keine Auswirkungen auf das Unternehmen oder die Kunden gibt, die nicht vorhergesehen wurden.“

Die Bewertung der Sicherheitslösungen sei ein wesentlicher Bestandteil der Erstellung einer Risikomanagement-Strategie. Benis unterstreicht: „Eine Sicherheitsrisiko-Bewertung ist wichtig für Unternehmen jeder Größe. Wenn Unternehmen die Risiken verstehen und potenzielle Bedrohungen erkennen, können sie fundierte Entscheidungen für Schutzmaßnahmen treffen.“

Mittels Sicherheitsrisiko-Bewertung allgemeine Sicherheitslage verbessern und potenzielle Schwachstellen verringern

Mithilfe einer Sicherheitsrisiko-Bewertung könnten Unternehmen die allgemeine Sicherheitslage verbessern und potenzielle Schwachstellen verringern. „Indem sie die Risiken des Unternehmens verstehen und angehen, können sie außerdem eine sichere Geschäftsumgebung, ihre Mitarbeiter und die Kunden schaffen.“

Benis Fazit: „Eine Cyber-Sicherheitsrisiko-Bewertung ist ein wertvolles Instrument für Unternehmen unabhängig von deren Größe. Durch die Erstellung eines Bewertungsplans und die Bewertung der Sicherheit können Unternehmen fundierte Entscheidungen darüber treffen, wie sie sich vor potenziellen Bedrohungen schützen können.“ Darüber hinaus könne eine Risiko-Bewertung der Cyber-Sicherheit dazu beitragen, das Unternehmen insgesamt zu verbessern, „indem optimierungsbedürftige Bereiche identifiziert werden“.

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2021
Netzwerkverkehr: Transparenz zur Risikominderung / Heim-Arbeitsplätze schaffen zusätzliche Angriffsvektoren für betrieblichen Netzwerkverkehr

datensicherheit.de, 18.05.2021
Cybersecurity-Risikoprozess: Leitfaden für IT-Entscheider / Kudelski Security gibt IT-Experten Tipps für systematische Absicherung kritischer Daten-Assets in Unternehmen