BSI-Lagebericht: Mehr Resilienz gegen eine immer bedrohlichere Sicherheitslage
Redaktion Digital Chiefs
Der im November 2024 vorgelegte BSI-Lagebericht zur Cybersicherheit in Deutschland zeigt weiter steigende ...
Zum BeitragWährend der Vernetzungs- und Digitalisierungsgrad in der Industrie 4.0 steigt, erhöht sich auch das Risiko von Cyber-Angriffen. So lautet die Frage nicht, ob man angegriffen wird, sondern vielmehr wann. Wie können Unternehmen sich effektiv schützen? Was ist ein SOC? Und warum kommt es bei zunehmender IT/OT-Konvergenz auf einen ganzheitlichen Cyber-Security-Ansatz an?
Zwar macht der 2020 State of Operational Technology and Cybersecurity Report deutlich, dass Operational Technology (OT) Teams für den Unternehmenserfolg eine entscheidende Rolle spielen. Er zeigt aber noch deutlicher auf, dass das Thema OT Security einem internen Tauziehen gleicht:
So ist klar: Obwohl Produktionsanlagen und Maschinen zunehmend online und mit IT-Systemen vernetzt sind, wird es Cyberkriminellen allzu oft nicht allzu schwer gemacht. Der schlagzeilenträchtige Hackerangriff auf die größte Ölpipeline der USA hat das schmerzhaft ins öffentliche Bewusstsein gerückt. Dass das Bewusstsein für Gefahren in den Chefetagen dennoch steigt, verdeutlicht eine weitere Umfrage: Nach Aussagen von Gartner ist bis 2025 damit zu rechnen, dass in 40 % der Unternehmen ein Cybersecurity-Management-Team aufgebaut wird.
Obwohl die IT und OT zwei der schützenswertesten Assets im Unternehmen sind und immer mehr verschmelzen, besteht sicherheitstechnisch wie auch menschlich noch eine Kluft, die eine der größten Herausforderungen der digitalen Transformation darstellt. Aber zunächst zu den Definitionen:
IT (Informational Technology) bezeichnet das gesamte Spektrum und damit alle Technologien zur Datenverarbeitung – inklusive der dazugehörigen Hardware und Kommunikationstechnologie, wobei eingebettete Systeme (Embedded Systems) bewusst ausgeklammert sind. Die Sicherheitspriorität liegt vor allem in der Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
OT (Operational Technology) umfasst die Systeme, die zur Steuerung und Überwachung physischer Geräte wie Maschinen oder industrieller Anlagen nötig sind. Die Priorität liegt auf der Verfügbarkeit der Hardware-nahen und vernetzten Geräte. Auch liefern sie die Daten, die die Basis für optimierte Produktionsabläufe oder neue Geschäftsmodelle bilden.
IT/OT-Konvergenz steht für die Integration beider Systeme – so kommt Informationstechnologie zum Einsatz, um die Datenverarbeitung und -analysen produktiver Prozesse in Echtzeit zu ermöglichen. Diese Konvergenz sorgt für effizientere Systeme und ermöglicht neue Lösungen wie die Steuerung der Prozesse aus der Ferne, direkte Machine-to-Machine-Kommunikation (M2M), Einbindung des Industrial Internet of Things (IIoT), Predictive Maintenance und vieles mehr.
Die IT/OT-Konvergenz bringt allerdings auch Herausforderungen mit: Maschinen und Anlagen werden durch die Vernetzung und die Abkehr von geschlossenen, proprietären Systemen von außen angreifbar.
Dabei ist das Gefahrenpotential in der OT unterschiedlich strukturiert:
Bei zunehmender Konvergenz ist eine getrennte Betrachtung beider Welten nicht mehr sinnvoll. Wenn aber weder IT- und OT-Security-Teams allein das Know-how besitzen, gestalten sich nicht nur die Zusammenarbeit, sondern auch die Absicherung schwierig.
Hier kommt das Security Operations Center (SOC) ins Spiel: Die zentrale Leitstelle verantwortet nicht nur alle sicherheitsrelevanten Services der IT, sondern als spezialisiertes IT/OT SOC auch die der Operational Technology. So werden vernetzte Sensoren, Maschinen, Anlagen und Geräte von Unternehmen 24/7 überwacht, Security-Muster sowie -Anomalien analysiert und Schutzmaßnahmen eingeleitet, um potenzielle Angriffe abzuwehren. Dabei arbeiten Security-Experten aus verschiedenen Bereichen mit abgestimmten Prozessen und speziellen Tools zusammen.
People: Die Security-Experten sind der wichtigste Bestandteil eines SOCs. Es handelt sich um hochspezialisierte Fachkräfte, die jeweils ein bestimmtes Gebiet verantworten: Manager, Techniker, Industrie-Experten, Analysten, Pentester, digitale Forensiker, ethische Hacker etc.
Prozesse: Im Fokus liegen die Erkennung, Analyse und Reaktion auf noch unbekannte Angriffsmethoden. Prozesse werden auf Basis sogenannter „Security Playbooks“ definiert und es wird mit Threat Intelligence Feeds sowie Malware-Information-Security-Plattformen im 7x24h-Service gearbeitet.
Tools: Als technische SOC-Grundlage nutzt ein SIEM (Security Information and Event Management) unterschiedliche Log-Files, um Vorfälle zu identifizieren und frühzeitig Informationen zu möglichen Bedrohungen zu liefern. Weitere Tools sind Threat Intelligence & IoC, das Vulnerability Assessment, die OT-Visiblitiy & Anomaly Detection, User Behavior Analytics, Incident handling & Response etc.
Durch die gebündelten Kompetenzen sollte ein SOC immer in der Lage sein, auch komplexe und mehrstufige Attacken zu erkennen und abzuwehren. So ermöglicht es die proaktive und präventive Suche nach Schwachstellen über alle IT- und OT-Ebenen hinweg und gewährleistet gleichzeitig eine durchgängige Reaktionsbereitschaft bei tatsächlichen Attacken.
Die zunehmende vertikale Integration und damit IT/OT-Konvergenz erfordert also einen ganzheitlichen Cyber-Security-Ansatz über alle Ebenen. Denn genau sowenig wie die IT die produktionsnahen Herausforderungen meistern kann, vermag es die OT, die Sicherheitsanforderungen allein zu meistern. Mit dem IT/OT SOC schließt sich der Kreis.
Unternehmen halten mit dem Hirn und Herzstück rund um alle sicherheitsrelevanten Themen den Sicherheitsschlüssel für ihre kritischen Systeme in der Hand. Gleichzeitig ermöglicht er es, die langfristigen Vorteile der IT/OT- Konvergenz zu erschließen: Verbesserungen der Leistung und Produktivität, eine größere Transparenz der betrieblichen Abläufe und Senkung der Produktionskosten, um nur einige davon zu nennen.
Klar ist: Wer die Vorteile der IT/OT-Konvergenz sicher nutzen und für die vernetzte Industrie der Zukunft gerüstet sein will, muss die Cyber Security ganzheitlich betrachten. Klar ist aber auch, dass es dafür interne Ressourcen und spezielle Skills braucht, die in Zeiten des Fachkräftemangels oft nicht vorhanden sind.
Hier kann ein Managed Security Service Provider (MSSP) wertvolle Dienste leisten, indem er den SOC Betrieb mit erfahrenen Spezialisten rund um die Uhr übernimmt. Und wenn die sich mit den Besonderheiten der IT/OT Integration auskennen, können sich profitieren Unternehmen von einer zentralen Cyber-Security-Leitstelle, die sich um alle sicherheitsrelevanten Vorfälle aus beiden Welten kümmert. Mit individuell festgelegten Leistungen, fest eingebunden in interne Workflows und im günstigsten Fall sogar mit einer erhöhten Kosteneffizienz.
Quelle Titelbild: VINCI Energies.