Rückmeldung von CRITIS 2021
Die Konvergenz der beiden Welten OT und IT macht von sich reden. Industrielle Systeme werden immer mehr mit anderen Systemen verbunden, die sich innerhalb oder ausserhalb des Unternehmensnetzes befinden können. Diese neuen Verbindungen sind wie neue Türen und Fenster in Netzwerken und haben natürlich Konsequenzen. Leider wird die Realität zur Fiktion: hier ein Krankenhaus[2], das nicht mehr in der Lage ist, Patienten aufzunehmen, dort Flugzeuge, die wegen einer stillgelegten Pipeline[3] am Boden bleiben müssen; anderswo Geschäfte, die wegen einer defekten Registrierkasse[4] schliessen. Sogar der Weltraum[5] ist nicht cyber-sicher!
OT - Was versteht man unter OT?
Für die Menschen ist die OT im Vergleich zur IT einzigartig und sensibler als die IT. Die beiden häufigsten Aspekte sind:
OT- und IT-Netze werden immer stärker miteinander verbunden und verbinden zwei unvereinbare Welten. Wirklich?
- Die Hauptschwachstelle von OT-Geräten ist die Software-Veralterung. Die Software oder die Betriebssysteme von Gesundheitsüberwachungssystemen, Wasserpumpensteuerungen oder Luftsensoren sind weder auf dem neuesten Stand, noch sind sie gut mit einer Systemhärtungskonfiguration ausgestattet. Viele OT-Geräte basieren immer noch auf Windows XP oder ME... Das liegt sowohl an den Herstellern als auch an den Benutzern. Erstere bieten keine Patches an - die Zweiten haben zu viel Angst, etwas zu kaputt zu machen, das funktioniert, oder die Garantie zu verletzen, und setzen keine Patches ein, wenn es sie gibt. Eine ähnliche Situation wie in der IT vor ein paar Jahren...
OT-Netze sind kritischer als IT-Netze: Eine auch nur vorübergehende Abschaltung ist keine Option. Wirklich?
- Wenn eine Infrastruktur für das Funktionieren einer Gesellschaft und Wirtschaft unerlässlich ist, dann gilt sie als kritisch. Es ist klar, dass die Wasserversorgung, ein Krankenhaus und die Stromnetze der Bahn kritisch sind. Wenn der Betrieb auch nur für kurze Zeit unterbrochen wird, können Menschenleben betroffen sein. Aber auch Banken, Finanzinstitute, Versicherungen und staatliche Stellen sind betroffen. Können Sie sich vorstellen, dass Sie kein Bargeld abheben oder Ihre Sozialversicherungsbeiträge nicht erhalten können?
OT ist ein Bündel verschiedener Technologien, weniger standardisiert als die IT, die sich häufig auf die Sicherheit auswirken. Strukturelle Ähnlichkeiten zwischen OT und IT. Diese Ähnlichkeiten sollten als Grundlage für die Sicherung der gesamten OT- und IT-Architektur genutzt werden. Die OT entwickelt sich in ähnlicher Weise wie die IT vor einigen Jahren. Diese Entwicklung ist sehr schnell und in einer Welt, die stark von der Technologie abhängt. Diese Entwicklung verändert das Risikouniversum der Unternehmen völlig.
Die Verknüpfung von OT-Systemen mit der IT vergrössert, ebenso wie die Öffnung der IT-Netze in der Vergangenheit, die Angriffsfläche. Mit anderen Worten: Die Einstiegspunkte für Unternehmen werden immer zahlreicher. Die Vielfalt der Technologien erhöht die Komplexität der Überwachung und Kontrolle der Netze.
Die Geräte werden immer intelligenter: Ihre Armbanduhr kann übermitteln, wo Sie sich wann aufgehalten haben, und einen Bericht an Ihre Versicherung senden, die diese Daten nutzt, um Ihre Versicherungspolice fast in Echtzeit anzupassen. Eine Folge davon ist, dass die angeschlossenen Geräte der Kunden das Netz des Unternehmens nicht verunreinigen, während der Schutz der gesammelten Daten eine andere ist.
Die Automatisierung von Autos führt zu weiteren Veränderungen in der Risikolandschaft der Automobilhersteller. Das autonome Auto trifft wahrscheinlich eigenständig gute oder schlechte Entscheidungen. Die Verantwortlichkeiten aller Beteiligten müssen geklärt und formalisiert werden. Stellen Sie sich vor, das Auto wird gehackt und als Waffe eingesetzt, um in eine Menschenmenge zu fahren und Menschen zu verletzen oder zu töten.
Diese Beispiele sind bei weitem nicht umfassend und zeigen, dass die trivialsten Dinge das Universum der Risiken für Unternehmen verändern können, unabhängig davon, ob es sich um Lieferanten oder Nutzer von technischen Lösungen handelt.
Zusammenfassend lässt sich sagen, dass bewährte IT-Sicherheitspraktiken wie die NIST auch auf die OT angewendet werden können. Im Folgenden finden Sie eine Auswahl von Lösungen zur Verbesserung des OT-Sicherheitsniveaus und der Widerstandsfähigkeit kritischer Infrastrukturen.
Als Erstes muss man von seinem Ökosystem lernen, um zu verstehen, was das Unternehmen schützen muss, vor wem und vor was.
Kennen Sie den Wert des Unternehmens: Was ist für das Unternehmen wertvoll? Was macht das Unternehmen wertvoll? Die Antworten auf diese Fragen sind für jede Organisation spezifisch. Es kann sich um die Konfiguration von Produktionslinien, Produktrezepte, Prototypen, Daten, Know-how usw. handeln.
Wenn man weiss, was wertvoll ist, kann man auch wissen, was geschützt werden muss, welche Bedingungen für die Verteidigung gelten und welche Technologien am besten geeignet sind.
Die Bedrohungen durch den Gegner kennen: Die Zahl der Hacker nimmt zu. Ihre Beweggründe sind vielfältig. Sie müssen wissen, mit wem Sie es zu tun haben, ihre Kapazitäten und Motivationen einschätzen, um Ihre Schutz-, Verteidigungs- und Reaktionsstrategie anzupassen.
Seine gegnerischen Bedrohungen zu kennen, um zu verstehen, wie sie arbeiten, ihre Motivationen, um Ihre Verteidigungsstrategie angemessen anzupassen.
Gleichzeitig muss innerhalb und ausserhalb des Unternehmens eine Sicherheitskultur aufgebaut werden. Alle müssen in die Sicherheit einbezogen und zur Verantwortung gezogen werden. Sie ist für das Überleben jeder Organisation unerlässlich.
Förderung einer Sicherheitskultur, die alle Sicherheitsakteure einbezieht, unabhängig davon, ob sie aktiv oder passiv sind. Dies ist das Modell der Flughafensicherheit, die sich darauf verlässt, dass jeder im Zweifelsfall oder bei Nichteinhaltung der Sicherheitsvorschriften Alarm schlägt. Ständige Aufklärung und Sensibilisierung für die Risiken der Preisgabe von Unternehmensinformationen, des ungeschickten Anklickens eines Links oder der gemeinsamen Nutzung eines Benutzerkontos.
Förderung einer Sicherheitskultur, die auf klaren Regeln und Grundsätzen beruht, um eine Erkennungs- und Reaktionsfähigkeit im Falle eines Angriffs aufzubauen.
Aufbau einer Win-Win-Beziehung mit Dritten: Arbeiten Sie mit Herstellern, Anbietern und Konstrukteuren zusammen, um sicherzustellen, dass die Produkte von Anfang an ein hohes Mass an Sicherheit und Konformität aufweisen (Security by Design und by Default). Aufbau einer langfristigen Beziehung, um sicherzustellen, dass diese Geräte in einem sicheren Zustand gehalten werden. Durch Transparenz und Weitergabe aller festgestellten Anomalien und aller relevanten Informationen an die Drittpartei.
Aufbau einer Win-Win-Beziehung mit Drittanbietern, um sicherzustellen, dass die Produkte während ihres gesamten Lebenszyklus in einem guten Sicherheitszustand sind und den Bedürfnissen und Anforderungen entsprechen.
Alle Massnahmen, egal wie relevant sie sind, sind nur mit einer angemessenen und etablierten Governance effizient. Eine gute Governance impliziert klare Rollen und Verantwortlichkeiten.
Zuweisung von Zuständigkeiten: Wenn man die Umgebung kennt und versteht, kann man feststellen, was in die Zuständigkeit von IT und OT fällt, und die Angriffswege erklären, die die verschiedenen Umgebungen des Unternehmens durchqueren können. Eine greifbare Sichtbarkeit der Angriffsrisiken wird es jedem ermöglichen, angemessene Sicherheitskontrollen zu ergreifen. Diese Kontrollen können dank der Beteiligten an die Technologie, die Organisation und die Geschäftsanforderungen angepasst werden.
Zuweisung von Rollen und Verantwortlichkeiten, die es jedem ermöglichen, sich verantwortlich zu fühlen und effektiv zu handeln.
Aufbau und Förderung einer funktionsübergreifenden Organisation, die kritische Infrastrukturen als integrierten Teil des Unternehmens und nicht als isoliertes und losgelöstes Element betrachtet. Organisationsgrenzen halten Hacker nämlich nicht auf. Ohne klare Zuständigkeiten zwischen OT und IT und ohne etablierte und angepasste Kommunikationskanäle können die beiden Umgebungen nicht reibungslos zusammenarbeiten. Dies ist das Rezept, um das gemeinsame Ziel der Sicherheit zu erreichen.
Schaffen und fördern Sie eine Organisation, die die Zusammenarbeit zwischen OT- und IT-Teams fördert, um ein einziges, gemeinsames Ziel zu erreichen: ein angemessenes Sicherheitsniveau.
All diese Massnahmen werden dazu beitragen, die Widerstandsfähigkeit des Unternehmens zu verbessern. Eine Reaktion ist nur möglich, wenn wir wissen, dass wir angegriffen werden. Wir können nur dann richtig reagieren, wenn wir uns vorbereitet und geübt haben. All diese Massnahmen haben ein Ziel: einen Angriff zu erkennen, zu verstehen, darauf zu reagieren und darauf zu antworten.
Eraneos empfiehlt, wie auch viele OT-Fachleute, dass:
- Die Sicherheit sollte bereits in der frühesten Projektphase bei der Konzeption von Produkten und Lösungen berücksichtigt werden - unabhängig von deren Art und Funktion. Die Zusammenarbeit zwischen Experten, Anwendern und Anbietern würde die Flexibilität erhöhen und das durchschnittliche Sicherheitsniveau von Unternehmen und Verwaltungen verbessern.
- Sicherheit sollte nicht länger ein nachträglicher Gedanke in einer Risikokarte sein. Sondern ein Thema, das für die Verwaltungsräte sinnvoll ist. Ein Thema, das auf höchster Ebene in einer Weise behandelt wird, die an den Kontext des Unternehmens angepasst ist, um allen Beteiligten Fortschritte zu ermöglichen.
Eraneos unterstützt Sie mit seinen fünf Kernkompetenzen von der Strategie bis zur Umsetzung:
- Digitale Strategie & Innovation: Gemeinsam mit Ihnen entwickeln wir eine passende Strategie und datenbasierte Geschäftsmodelle.
- Data Analytics & Artificial Intelligence: Mit Robotic Process Automation und künstlicher Intelligenz digitalisieren und automatisieren wir Verwaltungsprozesse.
- Projektmanagement & Transformation: Programm- und Projektmanagement sowie Business Process Engineering unterstützt erfolgreiche Projekt-Umsetzungen.
- IT-Advisory: Als Experten für neue Technologien und Plattformen helfen wir zu erkennen, wie Sie einen Mehrwert für Ihr Unternehmen zu schaffen.
- Cyber Security & Privacy: Unsere Cyber Security-Spezialisten sorgen dafür, dass Ihre Daten jederzeit optimal geschützt und sicher sind.
CRITIS 2021 zielt darauf ab, Forscher und Fachleute aus dem akademischen Bereich, Betreiber kritischer (Informations-)Infrastrukturen, Industrie, Verteidigung und Regierungsorganisationen zusammenzubringen, die auf dem Gebiet der Sicherheit kritischer (Informations-)Infrastrukturen arbeiten. Auf diese Weise will CRITIS 2021 junge und aufgeschlossene Forscher in diesem anspruchsvollen multidisziplinären Forschungsbereich ermutigen und inspirieren.
Quelle: https://critis2021.org/
Welche neuen Fähigkeiten und Skills braucht es für den Aufbau einer Unternehmens-IT, die Innovationen als Teil der unternehmerischen Wertschöpfung begleitet und aktiv vorantreibt?
DevOps ist das breit eingesetzte Schlagwort für eine weitreichende Transformation der IT-Organisation in Unternehmen. In diesem ersten Artikel widmen wir uns dem Kernaspekt von DevOps: Einer neuen Kultur in der IT.
Das Eraneos E-Paper zur erfolgreichen Einführung von Microsoft Teams innerhalb der Eraneos Group.
Berichte zu unseren Projekten, Wissenswertes aus den verschiedenen Kompetenz- und Kundenbereichen als auch Informationen über unser Unternehmen haben wir hier für Sie zusammengetragen.
Unsere offenen Stellen
[2] https://thehackernews.com/2020/09/a-patient-dies-after-ransomware-attack.html
[3] https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password
[4] https://www.24heures.ch/les-hackers-reclament-septante-millions-de-dollars-698669187966
[5] https://eandt.theiet.org/content/articles/2021/09/national-space-strategy-outlines-long-term-hope-for-uk-space-sector/