Aktuelles, Branche - geschrieben von am Donnerstag, November 25, 2021 14:44 - noch keine Kommentare

KRITIS: Modernisierung erfordert Umgestaltung der IT-Sicherheit

Palo Alto Networks erläutert KRITIS-Sicherheitsanforderungen in der Technik und Konzeption

[datensicherheit.de, 25.11.2021] 2021 hat sich offensichtlich bereits als „ein Jahr der Angriffe auf Kritische Infrastrukturen erwiesen“. Die erfolgreichen Cyber-Angriffe auf Colonial Pipeline, JBS USA Holdings Inc. und die Wasseraufbereitungsanlage in Oldsmar (Florida) hätten dazu geführt, dass sich Betreiber Kritischer Infrastrukturen (KRITIS) weltweit in erhöhter Alarmbereitschaft befänden, um ihren laufenden Betrieb zu schützen. Darüber hinaus erwarteten sie eine Verschärfung der gesetzlichen Vorschriften, so Palo Alto Networks in einer aktuellen Meldung.

Absicherung der heutigen KRITIS und OT von größter Bedeutung…

Die Absicherung der heutigen KRITIS und der Betriebstechnologie (OT) sei von größter Bedeutung. Führungskräfte müssten das Sicherheitsrisiko im Zusammenhang mit der nächsten Welle von Infrastrukturen beachten, „die in Planung sind oder bereits online sein könnten“.
Obwohl die Digitale Transformation im Bereich KRITIS/OT nicht so schnell voranschreite wie im IT-Bereich, werde der Wandel von zwingenden geschäftlichen Faktoren bestimmt, wie z.B. der Verbesserung der Serviceverfügbarkeit und Sicherheit sowie der Senkung der Betriebskosten.
Betriebs-, IT- und Sicherheitsteams hätten in der Vergangenheit bei OT-Projekten vielleicht nicht zusammengearbeitet, aber jetzt sei es unerlässlich, dass sie eng zusammenarbeiteten, „um sicherzustellen, dass die Sicherheit bereits im Planungsprozess der digital transformierten KRITIS/OT berücksichtigt wird, anstatt zu versuchen, sie nachträglich einzubauen“.

Palo Alto Networks stellt Konzepte Zero Trust und den Plattformansatz für KRITIS/OT-Sicherheit vor

Palo Alto Networks geht nach eigenen Angaben der Frage nach, „warum eine erfolgreiche Digitale Transformation von KRITIS/OT die Zusammenarbeit der Führungsebene erfordert, um sicherzustellen, dass die Sicherheitstransformation im Einklang mit der OT-Modernisierung erfolgt“.
Außerdem stellt Palo Alto Networks die Konzepte „Zero Trust“ und den „Plattformansatz“ für die KRITIS/OT-Sicherheit vor und erläutert, „warum sie für die Gewährleistung erfolgreicher Geschäftsergebnisse von zentraler Bedeutung sind“.

KRITIS und OT sind hochattraktive Ziele für Cyber-Angriffe

Die zunehmende Häufigkeit von Angriffen auf KRITIS/OT sollte nicht überraschen, „wenn man bedenkt, welche potenziell lähmenden Auswirkungen diese Cyber-Angriffe auf Versorgungsunternehmen, Betreiber von Energieleitungen, Schifffahrtsunternehmen oder Hersteller haben können“.
Die Angreifer wüssten, welchen Einfluss sie hier ausüben könnten. So hätten Cyber-Kriminelle beispielsweise erkannt, dass sie von ihren Opfern beträchtliche Lösegelder erpressen könnten, und Nationalstaaten könnten rivalisierende Länder durch die Demonstration ihrer Fähigkeiten im Bereich der Cyber-Kriegsführung effektiver einschüchtern.
Bei den Angriffen auf Colonial und JBS seien zusammen 15 Millionen US-Dollar Lösegeld gezahlt worden. Die Angreifer hätten es nicht nur zunehmend auf KRITIS/OT abgesehen, sondern investierten auch verstärkt in die Verbesserung ihrer Fähigkeiten, diese Organisationen zu kompromittieren. Palo Alto Networks habe Fälle beobachtet, „in denen KRITIS/OT-spezifische Angriffe, wie ,Crash Override‘ und ,Triton‘, entwickelt wurden“.

Verwundbarkeit der KRITIS wichtiger Aspekt bei Risikokalkulation

Auf der anderen Seite der Angriffe stehe die Verwundbarkeit unserer KRITIS. Dies sei ein wichtiger Aspekt bei der Risikokalkulation. Es gebe viele Quellen für Schwachstellen, darunter die typischerweise nicht segmentierten Netzwerke, offene Richtlinien und die Softwareschwachstellen in den oft ungepatchten / unpatchbaren Altsystemen selbst (z.B. HMI, PLC, ICS, SCADA, DCS, MES).
Häufig mangele es auch an der Zusammenarbeit zwischen IT- und OT-Personal, was zu schwachen, unkoordinierten Sicherheitsprogrammen, unzureichender Finanzierung und geringem Risikobewusstsein führe.
In Anbetracht der Tatsache, dass viele Angriffe auf KRITIS von der IT aus- und dann auf die OT übergingen, könne ein mangelndes Bewusstsein nicht ignoriert werden. Zusammenfassend lasse sich sagen, „dass die zunehmende Zahl von Angriffen und die historisch schlechte Sicherheitslage von KRITIS die Verantwortlichen für den Schutz der heutigen Kritischen Infrastrukturen vor immer größere Herausforderungen stellt“.

Potenzieller Blinder Fleck bei Digitalen Transformation von KRITIS und OT

Fairerweise müsse man sagen, dass in den letzten Jahrzehnten viel geschehen sei, um die Lücken in der KRITIS-Sicherheit zu schließen. „Dabei handelte es sich in erster Linie um eine Nachrüstung, bei der bessere Sicherheitsvorkehrungen an Stellen getroffen wurden, an denen nur minimale oder gar keine Sicherheitsvorkehrungen vorhanden waren.“
KRITIS-spezifische Vorschriften und Standards (z.B. NERC CIP, NIST Cybersecurity Framework, die NIS-Richtlinie und ISA 62443) seien ebenfalls zum Schutz Kritischer Infrastrukturen eingeführt worden – „und es werden wahrscheinlich noch weitere hinzukommen, wenn weitere Ereignisse eintreten“.
Darüber hinaus lernten IT- und OT-Teams, besser zusammenzuarbeiten, während eine stärkere Sensibilisierung der Führungsebene zu einer besseren „Governance“ führe.

KRITIS-Organisationen implementieren nächste Erweiterung ihrer Infrastruktur als Teil Digitaler Transformationsinitiativen

Diese Bemühungen um die Beseitigung der Unzulänglichkeiten der OT in der Vergangenheit sind nach Meinung von Palo Alto Networks „durchaus bewundernswert“, aber bei der Erfüllung der Sicherheitsanforderungen der entstehenden und zukünftigen OT-Infrastruktur komme es auch zu Unstimmigkeiten.
Viele KRITIS-Organisationen hätten damit begonnen, die nächste Erweiterung ihrer Infrastruktur als Teil ihrer Digitalen Transformationsinitiativen zu implementieren, die Namen wie „Industrie 4.0“, „Smart Grids“ und „Digital Oilfields“ trügen.
Diese intelligenten Infrastrukturen sollten die Vorteile von industriellen Automatisierungstechnologien der nächsten Generation wie IoT-Sensoren und Robotik, „Cloud“, „Digital Twins“, 5G und SD-WAN voll ausschöpfen und gleichzeitig die Lieferketten weiter integrieren.

KRITIS-Pilotprojekte oft noch ohne Einbeziehung der Sicherheitsteams

Die Unternehmen seien oft sehr schnell dazu übergegangen, Pilotprojekte und sogar Produktionsimplementierungen zu starten, ohne die Sicherheitsteams einzubeziehen. Sicherlich seien die geschäftlichen Vorteile dieser Technologien überzeugend genug, um die Zeit bis zum ROI zu verkürzen.
Die Einführung dieser neuen Technologien und die zunehmende Konnektivität mit der „Cloud“ und Drittanbietern könnte jedoch viele Schwachstellen mit sich bringen, „wenn sie nicht richtig verwaltet werden“.
Ironischerweise bestehe ein sehr reales Risiko, dass die Fehler der Vergangenheit, als OT ohne Rücksicht auf die Sicherheit gebaut worden sei, sich wiederholen könnten.

Digitale Transformation der KRITIS erfordert auch Transformation der Sicherheit

Palo Alto Networks hält es für unerlässlich, „dass Eigentümer und Betreiber Kritischer Infrastrukturen die Bemühungen zur Umgestaltung von KRITIS nicht von der Cyber-Sicherheit abkoppeln“. Das Risiko, dass diese neuen Angriffsflächen unkontrolliert bleiben, sei zu hoch.
Ein Schlüsselbereich der Sicherheitstransformation sei der organisatorische Bereich, in dem sich die Rahmenbedingungen dafür ändern müssten, wie IT-, OT- und Sicherheitsteams zusammenkommen könnten, um einen gemeinsamen Plan zu diskutieren und zu erarbeiten. Immer häufiger gebe es Konflikte zwischen diesen Teams aufgrund von „Schatten-OT“, „wenn das Unternehmen eine Infrastruktur einrichtet, die nicht von anderen Interessengruppen wie IT und Sicherheit beeinflusst wurde“. Auf der anderen Seite könne das Unternehmen das Gefühl haben, dass die IT/Sicherheit den Kernbetrieb bedrohe und die Kernaufgabe, nämlich die Bereitstellung von Dienstleistungen und/oder die Steigerung der Einnahmen, nicht unterstütze.
Die Motive der Unternehmensleiter mögen gut gemeint sein, aber die Risiken des unkontrollierten Einsatzes dieser fortschrittlichen Technologien seien zu hoch. Ein Teil des erforderlichen Wandels liege daher in der Art und Weise, „wie Unternehmen zusammenarbeiten, um sicherzustellen, dass die Modernisierung von KRITIS/OT auch die RACI-Stakeholder einbezieht, insbesondere Sicherheit und IT“.

KRITIS/OT-Sicherheitsumstellung auch eine Mentalitätsfrage

Ein weiterer wichtiger Aspekt der erforderlichen KRITIS/OT-Sicherheitsumstellung liege in der Denkweise. Viele Unternehmen betrachteten OT als eine von der IT abgeschottete Umgebung – „und alles hinter dieser Mauer ist vertrauenswürdig“. Vielleicht betrachteten sie auch jeden Benutzer, „der sich erfolgreich für den Zugang zu OT authentifiziert hat“, als vertrauenswürdig. Dieses Vertrauensmodell habe sich als fehlerhaft erwiesen.
Man könne bis zum „Stuxnet“-Angriff im Jahr 2010 zurückgehen, als ein wirklich abgeschottetes System durch einen kompromittierten Anbieter angegriffen worden sei. Stattdessen müssten Unternehmen eine „Zero Trust“-Mentalität und -Architektur einführen, die nicht von Vertrauensstufen ausgehe, sondern zusätzlichen Kontext innerhalb des Netzwerkverkehrs erfasse und dann auf der Grundlage dieser Informationen Entscheidungen darüber treffe, „was erlaubt oder verweigert werden soll“.
„Zero Trust“ habe zwar seine Wurzeln in der IT, lasse sich aber auch auf CI/OT übertragen und biete enorme Vorteile bei der Verbesserung der Transparenz und der Verringerung von Cyber-Risiken in Infrastrukturen wie Anlagen und Kontrollzentren.

Auch Angreifer beginnen, sich die Cloud, KRITIS und Automatisierung zunutze zu machen

Darüber hinaus beinhalte die Umgestaltung der Sicherheit von KRITIS/OT die Verbesserung der Effektivität und Effizienz von Sicherheitsmaßnahmen durch einen „Plattformansatz“. Es sind nach Meinung von Palo Alto Networks „neue Fähigkeiten erforderlich, um modernisierte Anlagen zu sichern, die über IoT, Robotik und Verbindungen mit 5G und SD-WANs zu Cloud-Anwendungen wie ,Historians‘ und ,Predictive Maintenance‘ verfügen können“. Ein neuer Sicherheits-Stack sei nötig, um die Funktionalität zur Sicherung dieser neuen Infrastruktur zu adressieren.
Anstatt dies durch das Hinzufügen von punktuellen Lösungen zum Sicherheits-Stack zu lösen, müssten Unternehmen einen Sicherheitsplattform-Ansatz in Betracht ziehen, „bei dem die Sicherheitsfunktionen als Dienste in einer Firewall-Plattform bereitgestellt werden, die das Netzwerk über die erweiterte KRITIS hinweg sichern kann“. Unternehmen sollten nach Plattformen Ausschau halten, welche diese Netzwerk-Sicherheitsinformationen mit „Cloud“- und Endpunktdaten korrelieren könnten, so dass Maschinelles Lernen zur Automatisierung des Erkennungs- und Behebungsprozesses eingesetzt werden könne.
Im Idealfall sei die Plattform in der gesamten IT und OT allgegenwärtig. Es gebe konsistente Sicherheitsansätze, gemeinsame Sicherheitsinformationen und unternehmensweite betriebliche Effizienz. „Die Kehrseite sind unzusammenhängende Einzellösungen, die Informationssilos und manuelle Prozesse aufweisen.“ Diese reichten nicht aus, um mit den ausgeklügelten Angriffen Schritt zu halten, die nur noch ausgeklügelter werden dürften, „da Angreifer beginnen, sich die ,Cloud‘, KRITIS und Automatisierung zunutze zu machen“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.09.2021
IT-Sicherheitsgesetz 2.0: KRITIS benötigt mehr Schutz / Angriffsflächenmanagement kann IT-Sicherheit der KRITIS stärken

datensicherheit.de, 20.07.2021
KRITIS im Visier: Hacker-Angriffe auf das Allgemeinwohl / Bürger im Landkreis Anhalt-Bitterfeld z.B. direkt geschädigt, kommentiert Patrick Englisch



Kommentieren

Kommentar

Theiners Talk

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung