Thought Leadership
Aktuelle Berichte über staatlich gelenkte Angriffe auf industrielle Steuerungssysteme (Industrial Control Systems, ICS) unterstreichen eine strukturelle Gegebenheit, mit der Sicherheitsteams seit Jahren kämpfen.
Die Verschmelzung von IT und Betriebstechnologie (OT) hat die Trennung zwischen digitalem Zugriff und physischen Auswirkungen weitgehend eliminiert.
Diese Angriffe zeichnen sich nicht durch neuartige Techniken aus, sondern durch die systematische Identifizierung und Ausnutzung ungeschützter Systeme, schwacher Identitätskontrollen und dauerhafter Zugriffspfade. Über das Internet zugängliche Verwaltungstools, insbesondere in veralteten oder schlecht segmentierten Umgebungen, schaffen eine vorhersehbare Angriffsfläche. In Kombination mit automatisierten Scans und KI-gestützter Erkundung können Bedrohungsakteure Infrastrukturen global und in großem Maßstab kontinuierlich sondieren und Fehlkonfigurationen innerhalb von Minuten statt Monaten aufdecken.
Das größere Problem entsteht jedoch nach dem ersten Zugriff. Sobald ein Zugang etabliert ist, wird der Fokus auf die seitliche Bewegung im Netzwerk gesetzt. Angreifer sammeln Anmeldedaten, erweitern Berechtigungen und bewegen sich in Richtung der Kernsysteme vor, wo operative Störungen möglich werden. In Umgebungen, in denen privilegierter Zugriff schlecht verwaltet oder unzureichend überwacht wird, kann diese Aktivität lange unentdeckt bleiben und erhebliche Folgen haben.
Dies unterstreicht den entscheidenden Wandel in der defensiven Strategie, bei dem Identität nun die primäre Kontrollebene darstellt. Hardware-basierte Schutzmechanismen und Netzwerksegmentierung bleiben wichtig, sind aber unzureichend, wenn Identitätssysteme unautorisierten oder dauerhaften Zugriff ermöglichen. Wenn ein Angreifer sich authentifizieren kann, kann er oft als legitimer Nutzer agieren und traditionelle Sicherheitskontrollen umgehen.
Organisationen sollten dauerhafte Privilegien abschaffen und strenge Zugriffsregelungen in IT- und OT-Umgebungen durchsetzen. Modelle ohne dauerhafte Privilegien, bei denen Zugriff nur bei Bedarf gewährt und sofort nach Nutzung entzogen wird, reduzieren das Risiko der Wiederverwendung von Anmeldedaten deutlich. Privilegierter Zugriff muss kontinuierlich überprüft, vollständig protokolliert und eng auf spezifische Aufgaben beschränkt werden.
Ebenso wichtig ist die Fähigkeit einer Überwachung und des Eingriffs in Echtzeit. Die Transparenz über privilegierte Sitzungen ermöglicht es Sicherheitsteams, anomalen Verhalten zu erkennen und Sitzungen zu beenden, bevor Änderungen an kritischen Systemen vorgenommen werden. Ohne dieses Maß an Kontrolle können Angreifer innerhalb vertrauenswürdiger Umgebungen beharrlich und präzise agieren.
Organisationen sind aufgefordert eine Denkweise anzunehmen, die davon ausgeht, dass Kompromittierungen unvermeidbar sind. Der Fokus muss sich von reiner Prävention auf Eindämmung verlagern. Die Durchsetzung des Prinzips der geringsten Privilegien, die Segmentierung von Identitätsdomänen, die Rotation und sichere Verwahrung von Anmeldedaten sowie die kontinuierliche Validierung aller Nutzer und Geräte sind essentielle Schritte, um die Auswirkungen eines Einbruchs zu begrenzen.
Bedrohungsakteure werden weiterhin Systeme, Lieferanten und Partner in der gesamten Lieferkette testen, um den effizientesten Weg für den Zugriff zu finden. Sicherheitsstrategien müssen daher über die Unternehmensgrenzen hinausgehen und sowohl menschliche als auch maschinelle Identitäten von Dritten sowie Zugriffspfade einbeziehen. Organisationen, die am besten auf diese zunehmende Bedrohungslandschaft vorbereitet sind, werden jene sein, die Identität als moderne Perimeter betrachten, disziplinierte Zugriffskontrollen durchsetzen und Systeme entwerfen, die Kompromittierungen eindämmen und sich ohne kaskadierende operative Auswirkungen erholen können.
