Eine der größten Cyberbedrohungen für die Prozessindustrie ist und bleibt Ransomware. Indem Cyberkriminelle Systeme verschlüsseln und sensible Daten abgreifen, können sie die Produktion lahmlegen und dem Unternehmen nachhaltig schaden. Für die Bedrohungsakteure geht es dabei in erster Linie ums Geld, denn Ransomware ist ein florierendes Geschäftsmodell. Die Hacker wählen bevorzugt Ziele, die einfach und kostengünstig angreifbar sind. Beides trifft auf OT-Komponenten zu, die mit veralteten Betriebssystemen arbeiten und sich nur schwer oder gar nicht patchen lassen. Für viele der Schwachstellen sind Exploits bereits verfügbar. Bis vor Kurzem gab es zudem kaum geeignete Sicherheitslösungen, die auf die speziellen Performance- und Verfügbarkeits-Anforderungen von Produktionsumgebungen abgestimmt waren. Trotz dieser Herausforderungen ist die Prozessindustrie den Cyberkriminellen aber nicht hilflos ausgeliefert. Gefragt ist eine mehrstufige Cyber-Defense-Strategie, die sowohl bestmögliche Prävention als auch Bedrohungserkennung und Incident Response umfasst. Wie sollten Unternehmen am besten vorgehen?
Erkennen, bewerten, priorisieren
Cyber-Risiken erkennen, bewerten und priorisieren
Man kann nur schützen, was man kennt. Der erste Schritt besteht daher darin, Transparenz zu gewinnen. Welche IT- und OT-Komponenten gibt es und wie interagieren sie miteinander? Indem Unternehmen ihre Assets sichtbar machen, können sie Schwachstellen aufdecken und adressieren. Dabei ist es wichtig, die größten Risiken zuerst zu mindern. Cyber-Risikobewertung muss immer individuell erfolgen und erfordert die kontinuierliche Analyse und Korrelation von internen und externen Security-Informationen. Industrietaugliche Endpunkt-Security und Netzwerk-Security-Lösungen liefern zum Beispiel die nötigen Daten aus der OT-Umgebung. Diese sollten in einer zentralen Plattform mit Daten aus der IT und aus externen Sicherheitsforschungs-Quellen zusammenfließen. Moderne Technologie wie Attack Surface Risk Management (ASRM) ermöglicht eine kontinuierliche Cyber-Risikobewertung unter anderem durch eine automatische Erfassung der Risiken, eine zentrale Darstellung sowie direkte Mitigationsmöglichkeiten.
Die Angriffsfläche reduzieren
Transparenz und Cyber-Risikomanagement schaffen die Grundlage, um die Angriffsfläche zu reduzieren. Gerade in der OT wird es jedoch immer Schwachstellen geben, die sich nicht schließen lassen. Für nicht-patchbare Systeme und solche, auf denen keine Endpunkt-Security-Lösung installiert werden kann, empfehlen sich Maßnahmen auf Netzwerkebene. Sehr hilfreich ist zum Beispiel Virtual Patching, eine Technologie, die in industrietauglichen IPS-Systemen zum Einsatz kommt. Sie verhindert, dass eine Schwachstelle von außen sichtbar ist und angegriffen werden kann. Außerdem zählt Netzwerksegmentierung zu den wichtigen Sicherheitsvorkehrungen: Die Einteilung in verschiedene Zonen ermöglicht zusätzliche Kontrollen und schränkt die Bewegungsfreiheit von Angreifern ein.
Schnell erkennen und stoppen
Bedrohungen schnell erkennen und stoppen
Trotz optimaler Prävention müssen Unternehmen immer damit rechnen, dass einmal ein Angreifer durchdringt. Zu einer effektiven Cyber-Defense-Strategie gehört daher unbedingt eine leistungsfähige Detection und Response. Diese muss sich über alle Vektoren der OT/IT-Umgebung erstrecken. Wie schon bei der Cyber-Risikobewertung ist auch hier eine fundierte Datengrundlage entscheidend. Häufig scheitert die Visibilität aber an Silos. Laut einer Studie des SANS Institutes in Zusammenarbeit mit Trend Micro fließen bei fast der Hälfte der Produktionsunternehmen noch keine OT-Daten in die Bedrohungserkennung ein. Um Silos aufzubrechen und umfassende Transparenz zu schaffen, eignet sich XDR (Extended Detection & Response). Diese Technologie sammelt die Security-Informationen aller angeschlossenen Systeme in einem zentralen Data Lake und korreliert und analysiert sie KI-gestützt. So werden Cyberangriffe über die gesamte OT- und IT-Umgebung sichtbar und Security-Teams können schneller reagieren. Den größten Mehrwert erzielen Unternehmen mit einer Plattform, die sowohl ASRM- als auch XDR-Technologie vereint, sodass beide Komponenten perfekt zusammenspielen.
Sich auf den Ernstfall vorbereiten
Mit effektivem Cyber-Risikomanagement und einer leistungsfähigen, übergreifenden Detection & Response lassen sich die meisten Cyberangriffe rechtzeitig stoppen. Die letzte Stufe im Cyber-Defense-Konzept adressiert das Restrisiko: Was passiert, wenn es zum Cybervorfall kommt? Um Schaden einzugrenzen und schnell wieder betriebsfähig zu sein, brauchen Unternehmen Zugriff auf ein professionelles Incident Response Team (IR). Da solche Experten stark nachgefragt sind, empfiehlt es sich, bei einem IR-Dienstleister einen Retainer über ein festes Tage-Kontingent mit verbindlichen Reaktionszeiten zu buchen. Außerdem sollten Unternehmen einen detaillierten Notfallplan aufstellen, der abteilungsübergreifend Verantwortlichkeiten und Prozesse definiert. Alle Stakeholder müssen einbezogen werden, darunter die Rechtsabteilung, der Datenschutzbeauftragte sowie die PR- und Marketing-Abteilung. Unternehmen sollten ihren Notfallplan regelmäßig testen, aktualisieren und so ablegen, dass er jederzeit schnell griffbereit ist und nicht selbst verschlüsselt werden kann.
Hilfe annehmen, wo es nötig ist
Eine ganzheitliche Cyber-Defense-Strategie kann die Eintrittswahrscheinlichkeit und das Schadensausmaß eines Cybervorfalls minimieren. Dabei gibt es viel zu tun. Unternehmen sollten abwägen, welche Aufgaben sie selbst übernehmen können und wo sie externe Unterstützung benötigen. Ein eigenes SOC (Security Operations Cener) aufzubauen und zu betreiben ist nur selten rentabel. Viele Unternehmen entscheiden sich daher, Managed Detection & Response Services von einem Dienstleister zu beziehen. Bei der Wahl der Technik empfiehlt es sich, auf einen Plattform-Ansatz, Automatisierung und KI-Unterstützung zu achten. Das steigert die Effizienz, reduziert Komplexität und entlastet Security-Teams. Was am Ende zählt, ist das optimale Zusammenspiel aus moderner Security-Technologie, Menschen und Prozessen.
Trend Micro Deutschland GmbH, Garching
Autor: Robert Wortmann
Principal Security Strategist,
Trend Micro
