Bewertung von Risikofaktoren in der OT-Cybersicherheit:Ein Leitfaden für Automatisierungsingenieure

Es wird oft gesagt:„Das Internet ist eine schlechte Nachbarschaft.“ Und so wahr das auch zu sein scheint, es gibt noch viele andere Risiken und Bedrohungen, die Automatisierungsingenieure berücksichtigen müssen und die sich auf Computersysteme auswirken können, die in der Automatisierung und Steuerung eingesetzt werden.

Unter Betriebstechnologie (OT) versteht man die physische Hardware und Software, die zur Überwachung und Steuerung von Industrieanlagen, Prozessen und Infrastruktur verwendet wird. Das sind die Dinge, mit denen wir als Automatisierungsingenieure täglich arbeiten.

In diesem Artikel werfen wir einen genauen Blick auf die Risikofaktoren der OT-Cybersicherheit und wie Sie diese Risiken reduzieren können.

Kritische Infrastrukturen wie Energieanlagen, Staudämme und Windparks sowie kritische Produktionsanlagen müssen sich der vielen Bedrohungen bewusst sein, denen ihre Systeme ausgesetzt sind. Bedrohungen können beispielsweise von einem verärgerten Mitarbeiter ausgehen, der das Netzwerk wissentlich mit einem Virus infiziert.

Bedrohungen können von einer externen Quelle ausgehen, beispielsweise aus dem Internet. Jede dieser Bedrohungsarten könnte der OT-Infrastruktur der Anlage erheblichen Schaden zufügen.

Vor welchen Risiken müssen sich Ihre Systeme schützen? Nur das zu tun, was andere tun, oder willkürlich Hardware und Software für die Cybersicherheit einzusetzen, reicht nicht aus, um die Sicherheit zu gewährleisten.

Ein systematischer Ansatz zur Cybersicherheit ist ein notwendiger wichtiger Schritt, um Risiken zu eliminieren und Ihre Systeme zu einer freundlicheren Umgebung zu machen.

Grundlagen der OT-Cybersicherheitsrisikobewertung

Unter OT-Risikobewertung versteht man den systematischen Prozess zur Identifizierung, Bewertung und Priorisierung von Bedrohungen und Schwachstellen. Es gibt mehrere einzigartige Merkmale von OT-Umgebungen, die sich von IT-Umgebungen unterscheiden.

Dazu gehören die Verbreitung von Legacy-Systemen, Verfügbarkeitsanforderungen rund um die Uhr und physische Integrationen in Maschinen, Aktoren und Sensoren, aus denen sich der Fertigungsprozess zusammensetzt.

Risikobewertungen müssen alle betroffenen Interessengruppen einbeziehen, einschließlich Betriebs-, Technik-, IT- und Managementpersonal. Wie ich bereits erwähnt habe, muss diese Risikobewertung einem systematischen Ansatz folgen, um erfolgreich zu sein.

Werfen wir also einen Blick auf die fünf Schritte dieser Bewertung.

Identifizierung und Inventarisierung von Vermögenswerten

Wenn eine Versicherungsgesellschaft gebeten wird, Ihr Haus zu versichern, möchte sie wissen, was sich im Haus befindet, damit sie weiß, was verloren gehen kann, oder mit anderen Worten, was von Verlust oder Beschädigung bedroht ist. Das Gleiche gilt für Risikobewertungen in der Cybersicherheit.

Die Bestandsaufnahme und Zuordnung aller Ihrer OT-Ressourcen ist der erste entscheidende Schritt. Im Inventar sollte alles aufgeführt sein, auch Hardware wie SPS, SCADA-Systeme und HMI-Stationen. Dieses Inventar muss die gesamte auf Ihren OT-Systemen installierte Software und Firmware umfassen.

Diese Vermögenswerte scheinen zwar nicht physischer Natur zu sein, sind jedoch gefährdet und für Hacker am einfachsten zu infizieren.

Wir müssen auch Netzwerkgeräte wie Switches und Kabel einbeziehen. Und vergessen Sie nicht externe Verbindungen wie bereitgestellte Datenports für den Lieferantenzugriff oder Verbindungen für die Fernwartung.

Eine vollständige Bestandsaufnahme ist von entscheidender Bedeutung, damit das Risikobewertungsteam die sogenannte „Bedrohungslandschaft“ vollständig verstehen kann.

Übersehene Elemente, wie z. B. Datenports, die für den Zugriff des Anbieters bereitgestellt werden, können ein einfacher Weg für eine Systeminfektion sein, selbst wenn sie nicht in böswilliger Absicht erfolgt.

Bedrohungs- und Schwachstellenerkennung

Sobald wir alle unsere Vermögenswerte aufgelistet haben, kennen wir alle Gegenstände, die angegriffen werden könnten. Als Nächstes müssen wir die Arten von Bedrohungen identifizieren, zu denen unsere Systeme führen können.

Bei diesen Bedrohungen kann es sich um interne Bedrohungen von Insidern handeln, wie z. B. das Abschöpfen von Geldern von Konten oder versehentliche Fehlkonfigurationen von Netzwerk-Switches, die die Umgehung von Benutzerauthentifizierungsanforderungen ermöglichen.

Die Bedrohungen können auch externer Natur sein und von Internetquellen, Malware, Hackern oder nationalstaatlichen Akteuren nach wertvollen Ressourcen wie Rezepten und Rezepten ausgehen.

Oft vergessen werden häufige Schwachstellen, die bei veralteter OT-Hardware und -Software auftreten können, wie z. B. fehlende Patches, schwache Authentifizierung und unsichere Protokolle.

Auswirkungsanalyse

Da wir nun unsere Bedrohungslandschaft kennen, müssen wir die Folgen abschätzen, wenn das System aufgrund eines Angriffs tatsächlich kompromittiert wird.

Diese Konsequenzen können viele Formen annehmen, wie zum Beispiel Sicherheitsrisiken für Personal oder Umwelt, Produktionsunterbrechungen, Betriebsunterbrechungen, finanzielle Verluste, Reputationsschäden sowie Verstöße gegen Vorschriften und Compliance.

Die Konsequenzen, denen Ihre Einrichtung ausgesetzt sein kann, hängen von Ihrer individuellen Situation ab und können viele andere Risiken beinhalten.

Wahrscheinlichkeitsbewertung

Der nächste Schritt ist der schwierigste – die Bestimmung der Wahrscheinlichkeit, dass diese Konsequenzen tatsächlich eintreten.

Um die Wahrscheinlichkeit einer Ausnutzung der Schwachstellen Ihres Systems zu ermitteln, müssen Sie vorhersagen, wie stark Sie Bedrohungen aus dem Internet ausgesetzt sind, bekannte Exploits und Fähigkeiten von Angreifern identifizieren und, was noch wichtiger ist, die Historie von Vorfällen ermitteln, die Systeme wie Ihres betroffen haben.

Stuxnet war beispielsweise ein allgegenwärtiger und schwächender Virus, der die Hardware eines bestimmten Anbieters angriff. Der Colonial Pipeline-Angriff war ein Ransomware-Cyberangriff, der zu einer Betriebsunterbrechung und erheblichen Treibstoffengpässen an der gesamten Ostküste führte. Was kann mit Ihrer Operation passieren und wie wahrscheinlich ist es, dass dies geschieht?

Die Risikomatrix

Der letzte Schritt besteht darin, für jeden Risikofaktor eine Risikomatrix zu erstellen. Die Risikomatrix listet typischerweise die Auswirkungen einer Cybersicherheitsverletzung im Verhältnis zur Wahrscheinlichkeit auf, dass die Verletzung auftritt. Hier ist eine Beispielmatrix mit Schwellenwerten für Auswirkung und Wahrscheinlichkeit als niedrig, mittel und hoch.

Das Risikobewertungsteam ist dafür verantwortlich, die beste Risikoverteilung für jedes Quadrat in der Matrix zu bestimmen. Ihr Team kommt möglicherweise zu dem Schluss, dass eine hohe Eintrittswahrscheinlichkeit mit mittlerer Auswirkung ebenfalls als hohes Risiko gilt. Die Rangfolge hängt ausschließlich von Ihrer individuellen Situation ab.

Warum diese Matrix generieren? Damit können Sie ganz einfach Risiken identifizieren, die eine sofortige Abhilfe erfordern, wie zum Beispiel alle Elemente mit hohem Risiko, sowie solche, die aufgeschoben werden können, wie zum Beispiel solche mit einem geringen Risiko.

Unternehmen verfügen über begrenzte Budgets für Cybersicherheit, daher sollten die Probleme mit dem höchsten Risiko zuerst angegangen werden.

Herausforderungen und Überlegungen bei der OT-Risikobewertung

Dieser Prozess ist normalerweise nicht einfach. Dinge wie das Verständnis aller Einschränkungen beim Patchen älterer Systeme können schwierig sein. Die Art einiger Bedrohungen ist möglicherweise nur begrenzt sichtbar.

Es kann organisatorische Hürden geben, alle Daten zu erhalten, die zur Beurteilung des Ausmaßes einiger Bedrohungen erforderlich sind. Möglicherweise bestehen Risiken in der Lieferkette und bei Dritten, die unbekannt sind.

Best Practices für eine effektive OT-Risikobewertung

Es gibt Best Practices, um einige dieser Einschränkungen zu überwinden und ein effektives Risikoprofil zu entwickeln. Das Wichtigste ist, dass alle Beteiligten in die Bewertung einbezogen werden und mitwirken.

Um diesen Prozess zu unterstützen, stehen zahlreiche Standards und Frameworks zur Verfügung, die Teams im Risikobewertungsprozess leiten, wie z. B. NIST CSF und IEC 62443.

Ein Schlüssel zu effektiven Programmen zur Risikobewertung im Bereich der Cybersicherheit besteht darin, die Bewertung regelmäßig anhand aktueller Daten zu aktualisieren.

Fazit

OT-Cybersicherheits-Risikobewertungen sind die Grundlage für die Schaffung einer wirksamen Verteidigung gegen interne und externe Bedrohungen. Durch die Einbeziehung aller Beteiligten in den Prozess kann ein möglichst vollständiges Bild der Bedrohungen und der Eintrittswahrscheinlichkeit ermittelt und in einer Risikomatrix dargestellt werden.

Anhand der Risikomatrix können die richtigen Entscheidungen für den Einsatz von Cybersicherheitsmaßnahmen getroffen werden. Da sich OT-Risiken weiterentwickeln, ist es für Einrichtungen wichtig, proaktiv zu sein und fortlaufende Risikobewertungen als Grundlage ihres OT-Cybersicherheitsprogramms durchzuführen.

‍