Die Bedrohung der kritischen Infrastrukturen stellt eine ernsthafte Gefahr dar. Laut dem Bericht Dragos 2023 Year in Review hat die Zahl der gemeldeten Vorfälle (70 % bei 638 Fällen) und der Einsatz von Erpressungstaktiken (50 %) gegen industrielle Systeme zugenommen. Das schwächt die operationelle Widerstandsfähigkeit. Phishing und die Ausnutzung von öffentlich zugänglichen Diensten sind gängige Methoden für das erste Einfallstor.
Um 2013 verlagerte die Dragonfly-Gruppe den Schwerpunkt ihrer Spionagekampagne auf europäische und US-amerikanische Energieunternehmen. Die Gruppe Volt Typhoon hatte 2021 ein Spionagenetzwerk in Unternehmen der Energie-, Wasser-, Transport- und Kommunikationsbranche infiltriert und aufgebaut. Dieses riesige Spionagenetz wurde 2023 aufgedeckt und 2024 teilweise zerstört.
Operationelle Widerstandsfähigkeit – Ziel seit den frühen 2000er Jahren
Bereits in den frühen 2000er Jahren versuchten Experten, kritische Infrastruktursektoren davon zu überzeugen, warum sie ihre Cybersicherheitslücken schließen müssen. Dies war und ist ein schwieriges Unterfangen, da viele dieser Organisationen mit dem Betrieb einer soliden und robusten Netzwerkinfrastruktur zu kämpfen haben – eine grundlegende Voraussetzung für Cybersicherheit. Angesichts von Ransomware und staatlich gesponserten Bedrohungen, fragen sich Unternehmen was sie alles nächstes tun müssen. Doch einige haben noch nicht einmal den ersten Schritt getan. Sie wissen nicht, wie sie Bedrohungen monitoren können, um sicherzustellen, dass die wichtigsten OT-Abläufe auch bei Cyberangriffen sicher bleiben.
Damit eine OT/ICS-Umgebung betrieblich belastbar ist, gilt es die grundlegenden Funktionsanforderungen kritischer Systeme zu verstehen. Dazu gehören die Integrität und Verfügbarkeit zur Aufrechterhaltung von Sicherheit und Kontrolle bei gleichzeitigem Gleichgewicht zwischen Menschen und Technologie sowie manuellen und automatisierten Systemen und Prozessen. Das Konzept der kritischen Systeme beginnt mit einem „Bottom-up“-Verständnis. Im Zusammenhang mit diesem Verständnis geht es darum zu verstehen, was produziert oder geliefert sowie den unmittelbaren Systemen, die zur Durchführung dieser Aktivitäten benötigt werden. In Verbindung mit einer Analyse des Betriebsrisikos und der Prozessrisiken führt dies zu einem besseren Verständnis dessen, was als kritisch einzustufen ist, aber auch, wo die betriebliche Ausfallsicherheit berücksichtigt werden muss. Natürlich gibt es sehr unterschiedliche Perspektiven, wenn man verschiedene Organisationen betrachtet.
Viele Sektoren sind mit steigenden Betriebskosten konfrontiert und müssen gleichzeitig neue Methoden und Technologien einführen, um wettbewerbsfähig oder wirtschaftlich lebensfähig zu bleiben. Hierin liegt die Herausforderung. Diese Unternehmen müssen ständig ein Gleichgewicht zwischen der Bereitstellung von Finanzmitteln für neue Technologien oder Architekturphilosophien finden, um die Rentabilität des Unternehmens zu gewährleisten.
Hinzu treten mehrere neue, aber notwendige Ansätze zur Regulierungssteuerung, die entweder bereits vorgelegt wurden oder sich noch in der Anfangsphase befinden. Die Regulierung hat ihren Sinn, wenn sie dazu dient, Ziele und Vorgaben ohne Vorschriften festzulegen, doch werden Vorschriften starr, wenn sie auf agile Gegner treffen. Die Eigentümer und Betreiber regulierter Systeme müssen flexibel bleiben, wenn sie entscheiden, wo und wie sie Cybersicherheit einsetzen, um die betriebliche Widerstandsfähigkeit zu stärken, wenn sich die Bedrohungslandschaft ändert.
Betrachtet man die Branche heute, so lässt sich jede Organisation für kritische Infrastrukturen zumindest teilweise in eine dieser drei Perspektiven einordnen:
- Einige Organisationen haben ihre IT-basierten Lösungen beibehalten, weil sie 1) eine robustere Netzwerkinfrastruktur benötigten und 2) nicht über das OT-Personal verfügten, das die Rolle der Cybersicherheit effektiv übernehmen konnte. Dies hat zu Konflikten, Unterbrechungen und einem Mangel an effektiven Reaktionsmöglichkeiten geführt. Diese Organisationen haben aufgrund der Größe und Komplexität ihrer Betriebsumgebungen Schwierigkeiten mit einem Bottom-up-Ansatz.
- Organisationen, die sich entweder auf eine vermeintliche Sicherheitslücke verlassen oder ihre OT-Systeme mit externen Systemen überfrachtet haben. Ich sage gefühlt, weil für die meisten Unternehmen ein OT/ICS mit Luftlücken nicht mehr machbar ist. Diese Unternehmen haben entweder nicht nachgeschaut oder verstehen die Lösungen, die sie eingesetzt haben, nicht. Vielleicht ist es die Perspektive, die Definition eines Airgaps oder das Vertrauen in ihre Dienstleister. Bei Unternehmen heute gibt es aufgrund der Herausforderungen bei der Produktivitätssteigerung in der Regel eine gewisse betriebliche Beziehung zwischen IT, OT und sogar der Cloud. In der Fertigung gab es schon eine enge Beziehung zwischen IT und OT, lange bevor der Begriff Konvergenz aufkam.
- Es gibt Organisationen, einschließlich kritischer Infrastrukturen, die noch nicht mit der Umsetzung von Cybersicherheit begonnen haben oder noch in den Kinderschuhen stecken. Oft sind sie mit unqualifiziertem Personal oder unzureichenden finanziellen Mitteln konfrontiert, um angemessene Cybersicherheitsmaßnahmen durchführen zu können. Für kleinere Versorgungsunternehmen stellt dies eine große Herausforderung dar, da sich ihre Kostenstruktur auf die Notwendigkeit konzentriert, den normalen, grundlegenden Betrieb außerhalb eines Cyber-Ereignisses aufrechtzuerhalten. Die Einführung zusätzlicher Sicherheitstools und -lösungen wird wahrscheinlich dazu führen, dass diese überhaupt nicht genutzt werden oder nicht ausreichend verwaltet werden, was sie angreifbar macht.
Absicherung von OT-Systemen
Unternehmen müssen sich darauf konzentrieren, Cybervorfälle zu verhindern. Sie müssen aber auch wissen, wie sie auf Vorfälle reagieren und – was ebenso wichtig ist – den Betrieb während eines Vorfalls aufrechterhalten können. Es muss eine enge Beziehung und Zusammenarbeit zwischen Sicherheitsoperationen und operativer Widerstandsfähigkeit bestehen. Die Regulierung schafft zwar eine Kultur und stellt Mittel bereit, kann aber zu einer Divergenz zwischen den Sicherheitszielen und der Einhaltung der Vorschriften führen, wodurch die Wirksamkeit der Finanzierung der Cybersicherheit eingeschränkt wird.
Es gibt viele Herausforderungen bei der Durchführung von IT-Schwachstellenmanagement-Programmen innerhalb von OT, beispielsweise:
- Eine automatisierte Einführung, die zu ungeplanten Ausfällen und Instabilitäten führt.
- Verwendung von IT-Methoden, die nicht mit dem ICS-Betrieb übereinstimmen. Die Finanzierung und der ROI übersteigen die Aufrechterhaltung der operationellen Widerstandsfähigkeit als Maßstab.
- Die Durchführung eines IT-Schwachstellenmanagementprogramms lenkt von der Durchführung notwendiger Cybersicherheitsaufgaben ab.
Schließlich müssen Implementierungslücken und operative Prioritäten ausgleichen, dass ICS nur über begrenzte Sicherheitsfunktionen und eine begrenzte Anpassungsfähigkeit an aktuelle Sicherheitsoperationen verfügen. Einsatzorientierte Prioritäten können dem gesamten Team aus Sicherheits- und Betriebsmitarbeitern operative Effektivität und flexible Sicherheitsfunktionen bringen. Einen Blick auf diese Entwicklung wirft auch der Expertenkreis, der sich zum ICS Summit in München Mitte Mai trifft.
Fazit
Unabhängig vom aktuellen Stand der Cybersicherheit einer Organisation müssen alle Mitarbeiter ihren operativen Auftrag und die vorhandenen Bedrohungen klar verstehen. Die Aufgabe eines jeden ICS-Verteidigers besteht darin, den Betrieb vor, während und nach einem Cybervorfall aufrechtzuerhalten. ICS-Teams, die sich mit dem Schutz kritischer Infrastrukturen befassen, drohen in einen Tunnelblick auf ihre alltäglichen Aktivitäten zu verharren. In vielen Fällen nehmen sich die Teams nicht die Zeit, sich in die Lage der anderen Teams hineinzuversetzen. Das ist bedauerlich, denn diese Praxis hilft, um Möglichkeiten zur Verbesserung der Effektivität und zur Härtung der Abwehrmaßnahmen zu ermitteln. Ein IT-Sicherheitsanalyst oder -architekt muss zum Beispiel kein ICS-Spezialist sein, um diese Systeme zu verteidigen. Da sie zum selben Verteidigungsteam gehören, kann der Analyst problemlos mit dem OT-Ingenieur ins Gespräch kommen. Maximale Effektivität wird erreicht, wenn jede Gruppe die Herausforderungen, Grenzen und Entscheidungsprozesse der anderen versteht.
Kritische Infrastruktursysteme sind ein komplexes Gefüge aus Menschen und digitalen und physischen Systemen. Alles an diesem Orchester ist ausgeklügelt; es ist auf eine primäre Funktion und einen Zweck ausgerichtet. Um Integrität und Zuverlässigkeit zu gewährleisten, verfügt die Branche über standardisierte Methoden und Technologien, die in allen Bereichen und von allen Mitarbeitern wiederverwendet und angepasst werden können. Das wissen jedoch auch die Angreifer, die dieses Wissen in ihre Fähigkeiten einfließen lassen. Unternehmen glauben manchmal, dass sie alle Angriffe abwehren und alle Schwachstellen schließen können, doch die Realität ist das Living-of-the-Land-Prinzip, also der Missbrauch bestehender Instrumente und Dienste, die normalerweise für betriebliche Zwecke eingesetzt werden.