Anzeige

OT-Security

Um die gesamte Bedrohungsfläche lückenlos abzudecken, ist ein Masterplan für die OT-Cybersicherheit nötig. Dieser sollte die folgenden Elemente umfassen:

  1. Bereitstellung von OT-Cybersicherheitsschulungen: Fachleute gilt es mit Fähigkeiten auszustatten, um Cyberangriffe auf ICS-Einrichtungen zu bewältigen.
     
  2. Threat Intelligence Sharing, also der regelmäßige Austausch von Daten zu einzelnen Bedrohungen: Je mehr Zusammenarbeit stattfindet, desto schneller lassen sich Bedrohungen erkennen, bevor sie Schaden verursachen. Beim Threat Intelligence Sharing müssen keine sensiblen Informationen aufs Spiel gesetzt werden. Stattdessen konzentrieren sich die Anstrengungen auf das Teilen von Kompromittierungsindikatoren (IOCs) und cyberkriminellen Profilen, was hilft, Risiken zu priorisieren.
     
  3. Umsetzung staatlicher Verordnungen wie BSI-KritisV: Von großer Bedeutung für Versorgungsunternehmen ist die am 3. Mai 2016 in Kraft getretene BSI-Kritis-Verordnung (BSI-KritisV) zur Bestimmung kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung und Informationstechnik und Telekommunikation (IKT). Wenn jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig sind, fällt die jeweilige Anlage unter die Meldepflicht. Die BSI-KritisV beschreibt, welche Anlagen in den jeweiligen Sektoren als kritisch gelten und fordert von den jeweiligen Betreibern einen Nachweis über den Schutz ihrer Informationstechnik.
     
  4. „Security by Design“ bei der Evaluierung neuer OT- und IT-Systeme berücksichtigen: Bevorzugt werden sollten OT-Gerätehersteller und Serviceprovider, bei denen Cybersicherheitsmaßnahmen bereits in der Entwicklungsphase implementiert wurden.

Best Practices für die Implementierung von OT-Sicherheit

Der Masterplan für OT-Cybersicherheit zeigt auf, dass OT-Cybersicherheit nicht nur technische Fragen, sondern auch Menschen und Prozesse betrifft.

Innerhalb eines Unternehmens sollte ein effektives OT/IT-Sicherheitsprogramm sowohl risikobasiert sein als auch Prioritäten setzen und sich auf Schwachstellen konzentrieren, die ein hohes Risiko haben, ausgenutzt zu werden. Eine risikobasierte Priorisierung spart Zeit und Ressourcen, um sich auf kritische Bereiche zu konzentrieren. Dies erfordert, dass ein Versorgungsunternehmen versteht, wo es gefährdet ist, indem es einige der zuvor beschriebenen technischen Maßnahmen anwendet. Sicherheitsverantwortliche können dann spezifische Schwachstellen aufschlüsseln und Kontrollmaßnahmen auswählen, um die Risiken am effektivsten zu reduzieren. Ein ausgereiftes und effektives Programm für das Schwachstellenmanagement dient dazu, Schwachstellen zu sichten, zu validieren und zu priorisieren. Es trägt vor allem dazu bei, den Kontext dieser Risiken zu verstehen.

Eine Studie von McKinsey Consulting aus dem Jahr 2019 kommt zu dem Ergebnis, dass ein risikobasiertes Schwachstellenmanagement das Risiko reduziert, „indem die geeigneten Kontrollen für die kritischsten Schwachstellen aufgebaut werden, um die wichtigsten Bedrohungen abzuwehren – diejenigen, die auf die kritischsten Bereiche des Unternehmens abzielen. [Dieser] Ansatz ermöglicht sowohl strategische als auch pragmatische Aktivitäten zur Reduzierung von Cyberrisiken. Unternehmen haben bereits den risikobasierten Ansatz genutzt, um ihre prognostizierte Risikoreduzierung um das 7,5-Fache über das ursprüngliche [Sicherheits-]Programm hinaus zu steigern – und das ohne zusätzliche Kosten.“

„Beim risikobasierten Schwachstellenmanagement lautet die Frage nicht: „Wie schützen wir uns vor all diesen Schwachstellen und beseitigen sie?“, sondern „Welche Schwachstellen stellen das größte Risiko dar?“. Ein effektives Schwachstellenmanagement ist in der Lage, die Kosten und den Arbeitsaufwand erheblich zu reduzieren und gleichzeitig die Cybersicherheit zu verbessern“, fasst Adam Palmer von Tenable abschließend zusammen.

www.tenable.com
 


Weitere Artikel

Automation

Automatisierung im Maschinen- und Anlagenbau: Trends für 2022

Was sind die angesagten Themen im Maschinen- und Anlagenbau/Automatisierung im Jahr 2022? Auf einer Skala von 1-10: Welche Trends scheuchen die Player aus Ihrer Komfortzone, welchen „Impact“ haben sie auf die Branche? Branchenexperte Dr.-Ing. Dirk Artelt von…
Industrie 4.0

Neue Berufsfelder in Produktion und Industrie 4.0

Der Fachkräftemangel ist und bleibt eine der größten Herausforderungen im derzeitigen Arbeitsmarkt. In kaum einer Branche ist diese Problematik so ausgeprägt, wie in der industriellen Fertigung.
Field Service Management KI

Künstliche Intelligenz optimiert Field Service Management

Ein Stau bei der Anfahrt zum Kunden, eine Verzögerung bei der Reparatur vor Ort oder die Absage eines Kunden: täglich werfen spontane Ereignisse die Einsatzplanung von Disponenten im technischen Kundenservice durcheinander und verursachen einen enormen…
Industrie 40

Schritt für Schritt - Aufbau einer Smart Factory

Der Begriff Industrie 4.0 taucht nahezu täglich in den Medien auf und allzu oft können wir ihn nicht mehr hören! Er verspricht viel, dabei ist den meisten Unternehmen längst klar: Die digitale Vernetzung in der Produktion ist zeit­ und kostenintensiv, sie…
Smart Factory

Digitaler Reifegrad in der Fertigungsbranche

Unternehmen der Fertigungsbranche investieren verstärkt in Smart Factory-Projekte – vor allem in solche, die sich mit der Analyse von Daten oder dem Einsatz von künstlicher Intelligenz (KI) befassen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.