NIS2 und die wichtigsten Maßnahmen der ICS/OT-Cyber-SicherheitOT-spezifische Incident Response Pläne gefordert
20. Juni 2024Die Bewältigung von Cyber-Risiken in der Betriebstechnologie (OT) kann äußerst schwierig sein, insbesondere für Betreiber kritischer Infrastrukturen, die keine ausreichende Transparenz ihrer Assets und kein effektives Schwachstellenmanagement haben. In diesem Jahr kommt als weitere Herausforderung die NIS-2-Richtlinie hinzu: der erste EU-weite Rechtsakt zur Cyber-Sicherheit, der bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss.
Viele Unternehmen stehen nun vor der Frage, welche Maßnahmen sie zur Vorbereitung auf NIS2 und für mehr ICS/OT-Cyber-Sicherheit umsetzen sollen. Zu diesem Zweck hat das SANS-Institut fünf Maßnahmen für die Cyber-Sicherheit von ICS/OT identifiziert, mit deren Hilfe Unternehmen eine Grundlage für ihren Schutz schaffen und sich gleichzeitig auf die kommenden Anforderungen der NIS2-Richtlinie vorbereiten können.
- ICS Incident Response Plan: Im Rahmen der NIS2-Anforderungen für den Umgang mit Zwischenfällen sollte ein konkreter Plan mit den richtigen Ansprechpartnern erstellt werden. Welche Mitarbeiter verfügen in welchem Asset über welche Fähigkeiten und welche nächsten Schritte für Szenarien sind an welchen Standorten geplant? Dafür sollten zuerst verantwortliche Parteien, Benachrichtigungen und Eskalationsrichtlinien festgelegt und anschließend die Incident Response Pläne mit Tabletop-Übungen getestet und kontinuierlich verbessert werden.
- Verteidigungsfähige Architektur: Die NIS-2-Richtlinie fordert Strategien und Verfahren zur Beurteilung von Cyber-Sicherheits-Maßnahmen. Alle erfolgreichen OT-Sicherheitsstrategien beginnen mit der Härtung der Umgebung. Dabei werden fremde OT-Netzwerkzugriffspunkte entfernt, strenge Richtlinienkontrollen an IT/OT-Schnittstellen beibehalten und Schwachstellen mit hohem Risiko entschärft. Noch wichtiger als eine sichere Architektur sind die Menschen und Prozesse, die sie aufrechterhalten – die Ressourcen und technischen Fähigkeiten, die zur Bewältigung von neuen Schwachstellen und Bedrohungen erforderlich sind, dürfen nicht unterschätzt werden.
- Transparenz und Überwachung von ICS-Netzwerken: Ein erfolgreiches OT-Sicherheitskonzept umfasst eine Bestandsaufnahme der Assets, eine Zuordnung von Schwachstellen zu diesen Assets (und Pläne zur Abhilfe) sowie eine aktive Überwachung des Datenverkehrs auf potenzielle Bedrohungen. Diese gewonnene Transparenz validiert die implementierten Sicherheitskontrollen in einer verteidigungsfähigen Architektur. Die Erkennung von Bedrohungen durch die Überwachung ermöglicht zudem eine Skalierung und Automatisierung für große und komplexe Netzwerke.
- Sicherer Fernzugriff: Ein sicherer Fernzugriff ist für OT-Umgebungen von entscheidender Bedeutung. Die Multi-Faktor-Authentifizierung (MFA) ist ein seltener Fall einer klassischen IT-Maßnahme, die sich auch in OT-Umgebungen sinnvoll anwenden lässt und schafft zusätzliche Sicherheit für geringe Investitionen. Wo MFA nicht möglich ist, sollten alternative Maßnahmen wie Jump-Hosts mit gezielter Überwachung in Betracht gezogen werden. Das Hauptaugenmerk sollte dabei auf Verbindungen in und aus dem OT-Netz liegen und nicht auf Verbindungen innerhalb des Netzes.
- Risikobasiertes Schwachstellenmanagement: Für Informationssysteme schreibt die NIS2-Richtlinie Risikoanalysen und Sicherheitsmaßnahmen vor. Eine verteidigungsfähige Architektur zeichnet sich dadurch aus, dass Schwachstellen frühzeitig erkannt werden und ein Plan zu ihrer Behebung vorhanden ist. Das setzt voraus, dass korrekte Informationen und Risikobewertungen sowie alternative Abhilfestrategien zur Minimierung des Risikos im laufenden Betrieb vorliegen.
In Zukunft werden OT-spezifische Incident Response Pläne für industrielle Umgebungen ein zentrales Thema sein. Traditionelle, präventive Ansätze gehören der Vergangenheit an: Diese fünf Maßnahmen konzentrieren sich auf die aktive Verteidigung und entsprechen damit nicht nur dem risikobasierten Ansatz der NIS2-Richtlinie, sondern bieten auch eine schnelle und zuverlässige Reaktion als Eckpfeiler der ICS/OT-Cyber-Sicherheit.
Kai Thomsen ist Director of Global Incident Response Services bei Dragos.