Zusätzliche OT-Sicherheitsmaßnahmen werden von verschiedenen Compliance-Vorgaben eingefordert. Auch die neue Cybersicherheitsrichtlinie NIS2 wirkt sich auf die Bedeutung und notwendige Stärkung der OT-Sicherheit aus. Zu den Konzepten der OT-Sicherheit sollte es also auch gehören, die Synergien aus verschiedenen Compliance-Vorgaben zu nutzen, wie der MVO und NIS2.
NIS2 und Maschinensicherheit
Die Bewältigung von Cyberrisiken in der Betriebstechnologie (OT) kann äußerst schwierig sein, insbesondere für Betreiber kritischer Infrastrukturen, die keine ausreichende Transparenz ihrer Assets und kein effektives Schwachstellenmanagement haben, erklärt zum Beispiel der Security-Anbieter Dragos. Die NIS-2-Richtlinie als EU-weiter Rechtsakt zur Cybersicherheit muss aber bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden und gilt dann für die unter NIS2 regulierten Organisationen.
Der Sicherheitsanbieter Dragos beobachtet, dass viele Unternehmen nun vor der Frage stehen, welche Maßnahmen sie zur Vorbereitung auf NIS2 und für mehr ICS/OT-Cybersicherheit umsetzen sollen. Passend dazu hatte das SANS-Institut fünf Maßnahmen für die Cybersicherheit von ICS/OT identifiziert, mit deren Hilfe Unternehmen eine Grundlage für ihren Schutz schaffen und sich gleichzeitig auf die kommenden Anforderungen der NIS2-Richtlinie vorbereiten können.
OT-Sicherheitsmaßnahmen für die Compliance
Mehr Cybersicherheit für MVO und NIS2
Als wichtige Maßnahmen für mehr OT-Sicherheit gelten demnach:
ICS Incident Response Plan: Im Rahmen der NIS2-Anforderungen für den Umgang mit Zwischenfällen sollte ein konkreter Plan mit den richtigen Ansprechpartnern erstellt werden, so Dragos. Welche Mitarbeiter verfügen in welchem Asset über welche Fähigkeiten und welche nächsten Schritte für Szenarien sind an welchen Standorten geplant? Dafür sollten zuerst verantwortliche Parteien, Benachrichtigungen und Eskalationsrichtlinien festgelegt und anschließend die Incident Response Pläne mit Tabletop-Übungen getestet und kontinuierlich verbessert werden.
Verteidigungsfähige Architektur: Die NIS-2-Richtlinie fordert Strategien und Verfahren zur Beurteilung von Cybersicherheits-Maßnahmen. Alle erfolgreichen OT-Sicherheitsstrategien beginnen mit der Härtung der Umgebung, wie Dragos betont. Dabei werden fremde OT-Netzwerkzugriffspunkte entfernt, strenge Richtlinienkontrollen an IT/OT-Schnittstellen beibehalten und Schwachstellen mit hohem Risiko entschärft. Noch wichtiger als eine sichere Architektur sind aber die Menschen und Prozesse, die sie aufrechterhalten. Die Ressourcen und technischen Fähigkeiten, die zur Bewältigung von neuen Schwachstellen und Bedrohungen erforderlich sind, dürfen nicht unterschätzt werden.
Transparenz und Überwachung von ICS-Netzwerken: Ein erfolgreiches OT-Sicherheitskonzept umfasst eine Bestandsaufnahme der Assets, eine Zuordnung von Schwachstellen zu diesen Assets (und Pläne zur Abhilfe) sowie eine aktive Überwachung des Datenverkehrs auf potenzielle Bedrohungen. Diese gewonnene Transparenz validiert die implementierten Sicherheitskontrollen in einer verteidigungsfähigen Architektur. Die Erkennung von Bedrohungen durch die Überwachung ermöglicht zudem eine Skalierung und Automatisierung für große und komplexe Netzwerke, so Dragos.
Sicherer Fernzugriff: Ein sicherer Fernzugriff ist für OT-Umgebungen von entscheidender Bedeutung. Man denke an die Fernwartung und das Tele-Monitoring. Die Multi-Faktor-Authentifizierung (MFA) ist ein seltener Fall einer klassischen IT-Maßnahme, die sich auch in OT-Umgebungen sinnvoll anwenden lässt und schafft zusätzliche Sicherheit für geringe Investitionen, wie Dragos betont. Wo MFA nicht möglich ist, sollten alternative Maßnahmen wie Jump-Hosts mit gezielter Überwachung in Betracht gezogen werden. Das Hauptaugenmerk sollte dabei auf Verbindungen in und aus dem OT-Netz liegen und nicht auf Verbindungen innerhalb des Netzes.
Risikobasiertes Schwachstellenmanagement: Für Informationssysteme schreibt die NIS2-Richtlinie Risikoanalysen und Sicherheitsmaßnahmen vor. Eine verteidigungsfähige Architektur zeichnet sich dadurch aus, dass Schwachstellen frühzeitig erkannt werden und ein Plan zu ihrer Behebung vorhanden ist. Das setzt voraus, dass korrekte Informationen und Risikobewertungen sowie alternative Abhilfestrategien zur Minimierung des Risikos im laufenden Betrieb vorliegen, unterstreicht der Sicherheitsanbieter Dragos.
Weiterführende Links:
- Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)
https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
- SANS Institute: The Five ICS Cybersecurity Critical Controls
https://www.sans.org/white-papers/five-ics-cybersecurity-critical-controls/