Gorodenkoff – shutterstock.com
Einige Sicherheitsentscheider sind davon überzeugt, Risiken im Bereich Operational Technology (OT) nicht bewerten oder standardisieren zu müssen, weil sie sie nicht betreiben. Ich wage zu behaupten, dass das häufig zu blinden Flecken führt – und nicht mehr zeitgemäß ist.
Sie verlassen sich in der Regel bereits auf OT-Technologie, wenn Ihr Unternehmen ein Office betreibt. Zum Beispiel in Form von Building-Management-Systemen. Diese umfassen eine ganze Reihe von Hard- und Software, beispielsweise für Aufzüge, Heizungen, Belüftungs- und Klimaanlagen oder auch Zugangskontrollsysteme.
3 OT-Risikobeispiele
Angesichts der zunehmenden Verschmelzung von IT und OT sowie der wachsenden Verbreitung von Smart Buildings ist das Cyberrisiko in diesem Bereich größer denn je: OT, die zuvor nicht gefährdet war, ist nun dank intelligenter Sensoren oder Remote-Zugriff zu Predictive-Analytics-Zwecken zunehmend angreifbar. Um das zu untermauern, im Folgenden einige Beispiele aus der jüngeren Vergangenheit:
Kriminelle Hacker konnten 2018 ein intelligentes Thermometer im Aquarium eines US-Casinos kompromittieren und so auf das Netzwerk und die Datenbank des Unternehmens zugreifen.
Heizungs-, Lüftungs- und Klima- (HVAC-)Systeme können mit Tools wie HVACKer angegriffen werden, wie zwei Security-Forscher bereits im Jahr 2013 eindrücklich demonstrierten. Sie konnten das HVAC-System von Google Australien kapern und sich so ins Unternehmen hacken.
Im Jahr 2022 wurde bekannt, dass die Produkte für unterbrechungsfreie Stromversorgung (USV) eines renommierten Industrieausrüsters von kritischen Schwachstellen betroffen waren, über die die Systeme aus der Ferne gehackt und beschädigt werden konnten.
OT im “bigger picture” betrachten
Daraus ergeben sich für Sicherheitsentscheider und CISOs mehrere Fragen:
In welchem Maß können sie sich auf den OT-Schutz fokussieren, der eigentlich nicht zu ihrem “Kerngeschäft” gehört?
Unternehmen messen der Absicherung von Aufzügen und Klimaanlagen oft keine große Bedeutung bei. Folgt aus einer geringeren Angriffswahrscheinlichkeit mit Blick auf “periphere” OT oder IIoT, dass weniger Ressourcen für deren Schutz bereitgestellt werden sollten?
Wie können Sicherheitsverantwortliche ein gutes Gleichgewicht finden zwischen “sich nicht in Details verzetteln” und “dem Risiko angemessen begegnen”?
Um zu ermitteln, welche Bedeutung diese Risiken für das Unternehmen haben, sind zwei Dinge nötig: Adäquates Threat Modelling und Risk Assessment. Das Ausmaß, indem OT zu managen ist, die nicht zum Kerngeschäft gehört, ist nicht geringer als das, das bei der digitalen Supply Chain, in Test- und Entwicklungsumgebungen sowie beim Thema Schatten-IT angelegt werden sollte. Ein Gleichgewicht ist dann erreicht, wenn Risk-Governance-Prozesse eingezogen sind und Risiken optimal bearbeitet werden können.
Dazu ist es zunächst nötig, alle “peripheren” OT- und IIoT-Ressourcen zu identifizieren. Anschließend ist es das Mindeste, den Business Impact einzuordnen. Das heißt, sowohl die in Betracht kommenden Bedrohungsvektoren als auch die möglichen Auswirkungen auf Prozesse, Sicherheit, Reputation, Finanzen und Compliance gründlich zu untersuchen. Letztlich geht es bei OT-Sicherheit nicht nur darum, das Unternehmen selbst, sondern auch sein Ökosystem zu schützen – Stichwort Botnetze.
Wenn Sie also das nächste Mal einen CISO-Kollegen treffen, der uberzeugt ist, sein Unternehmen betreibe keine OT-Geräte – fragen Sie ihn einfach mal, ob sein Rechenzentrum mit einer Klimaanlage ausgestattet ist oder ob es im Bürogebäude einen Aufzug gibt. Wer OT-Sicherheit mit Blick auf die Gesamtsicherheit eines Unternehmens für unbedeutend hält, sollte noch einmal in sich gehen.
No Responses