{"id":522,"date":"2024-10-08T21:20:07","date_gmt":"2024-10-08T21:20:07","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=522"},"modified":"2024-10-08T21:20:07","modified_gmt":"2024-10-08T21:20:07","slug":"ot-geht-auch-den-ciso-an","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=522","title":{"rendered":"OT geht auch den CISO an!"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">IT-Systeme sicher \u2013 OT egal?\n<p class=\"imageCredit\">Gorodenkoff \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Einige Sicherheitsentscheider sind davon \u00fcberzeugt, Risiken im Bereich\u00a0<a href=\"https:\/\/www.csoonline.com\/de\/a\/ot-sicherheit-im-hinblick-auf-nis2,3693419\" target=\"_blank\" rel=\"noopener\">Operational Technology<\/a>\u00a0(OT) nicht bewerten oder standardisieren zu m\u00fcssen, weil sie sie nicht betreiben. Ich wage zu behaupten, dass das h\u00e4ufig zu blinden Flecken f\u00fchrt \u2013 und nicht mehr zeitgem\u00e4\u00df ist.<\/p>\n<p>Sie verlassen sich in der Regel bereits auf OT-Technologie, wenn Ihr Unternehmen ein Office betreibt. Zum Beispiel in Form von\u00a0<a href=\"https:\/\/www.computerwoche.de\/a\/datenmanagement-ist-das-a-und-o,3613903\" target=\"_blank\" rel=\"noopener\">Building-Management-Systemen<\/a>. Diese umfassen eine ganze Reihe von Hard- und Software, beispielsweise f\u00fcr Aufz\u00fcge, Heizungen, Bel\u00fcftungs- und Klimaanlagen oder auch Zugangskontrollsysteme.<\/p>\n<h3 class=\"wp-block-heading\">3 OT-Risikobeispiele<\/h3>\n<p>Angesichts der zunehmenden Verschmelzung von IT und OT sowie der wachsenden Verbreitung von Smart Buildings ist das\u00a0<a href=\"https:\/\/www.csoonline.com\/de\/a\/neue-ot-malware-gefaehrdet-stromnetze,3680923\" target=\"_blank\" rel=\"noopener\">Cyberrisiko in diesem Bereich<\/a>\u00a0gr\u00f6\u00dfer denn je: OT, die zuvor nicht gef\u00e4hrdet war, ist nun dank intelligenter Sensoren oder Remote-Zugriff zu Predictive-Analytics-Zwecken zunehmend angreifbar. Um das zu untermauern, im Folgenden einige Beispiele aus der j\u00fcngeren Vergangenheit:<\/p>\n<p>Kriminelle Hacker konnten 2018 ein intelligentes Thermometer im Aquarium eines US-Casinos\u00a0<a href=\"https:\/\/t3n.de\/news\/casino-hack-aquarium-internet-of-things-1374151\/\" target=\"_blank\" rel=\"noopener\">kompromittieren<\/a>\u00a0und so auf das Netzwerk und die Datenbank des Unternehmens zugreifen.<\/p>\n<p>Heizungs-, L\u00fcftungs- und Klima- (HVAC-)Systeme k\u00f6nnen mit Tools wie\u00a0<a href=\"https:\/\/arxiv.org\/abs\/1703.10454\" target=\"_blank\" rel=\"noopener\">HVACKer<\/a>\u00a0angegriffen werden, wie zwei Security-Forscher bereits im Jahr 2013 eindr\u00fccklich demonstrierten. Sie konnten das HVAC-System von Google Australien kapern und sich so ins Unternehmen hacken.<\/p>\n<p>Im Jahr 2022 wurde bekannt, dass die Produkte f\u00fcr unterbrechungsfreie Stromversorgung (USV) eines renommierten Industrieausr\u00fcsters von\u00a0<a href=\"https:\/\/digital.nhs.uk\/cyber-alerts\/2022\/cc-4050\" target=\"_blank\" rel=\"noopener\">kritischen Schwachstellen<\/a>\u00a0betroffen waren, \u00fcber die die Systeme aus der Ferne gehackt und besch\u00e4digt werden konnten.<\/p>\n<h3 class=\"wp-block-heading\">OT im \u201cbigger picture\u201d betrachten<\/h3>\n<p>Daraus ergeben sich f\u00fcr Sicherheitsentscheider und CISOs mehrere Fragen:<\/p>\n<p>In welchem Ma\u00df k\u00f6nnen sie sich auf den OT-Schutz fokussieren, der eigentlich nicht zu ihrem \u201cKerngesch\u00e4ft\u201d geh\u00f6rt?<\/p>\n<p>Unternehmen messen der Absicherung von Aufz\u00fcgen und Klimaanlagen oft keine gro\u00dfe Bedeutung bei. Folgt aus einer geringeren Angriffswahrscheinlichkeit mit Blick auf \u201cperiphere\u201d OT oder IIoT, dass weniger Ressourcen f\u00fcr deren Schutz bereitgestellt werden sollten?<\/p>\n<p>Wie k\u00f6nnen Sicherheitsverantwortliche ein gutes Gleichgewicht finden zwischen \u201csich nicht in Details verzetteln\u201d und \u201cdem Risiko angemessen begegnen\u201d?<\/p>\n<p>Um zu ermitteln, welche Bedeutung diese Risiken f\u00fcr das Unternehmen haben, sind zwei Dinge n\u00f6tig: Ad\u00e4quates Threat Modelling und\u00a0<a href=\"https:\/\/www.csoonline.com\/de\/a\/6-risk-assessment-frameworks-im-vergleich,3693450\" target=\"_blank\" rel=\"noopener\">Risk Assessment<\/a>. Das Ausma\u00df, indem OT zu managen ist, die nicht zum Kerngesch\u00e4ft geh\u00f6rt, ist nicht geringer als das, das bei der digitalen Supply Chain, in Test- und Entwicklungsumgebungen sowie beim Thema Schatten-IT angelegt werden sollte. Ein Gleichgewicht ist dann erreicht, wenn Risk-Governance-Prozesse eingezogen sind und Risiken optimal bearbeitet werden k\u00f6nnen.<\/p>\n<p>Dazu ist es zun\u00e4chst n\u00f6tig, alle \u201cperipheren\u201d OT- und IIoT-Ressourcen zu identifizieren. Anschlie\u00dfend ist es das Mindeste, den Business Impact einzuordnen. Das hei\u00dft, sowohl die in Betracht kommenden Bedrohungsvektoren als auch die m\u00f6glichen Auswirkungen auf Prozesse, Sicherheit, Reputation, Finanzen und Compliance gr\u00fcndlich zu untersuchen. Letztlich geht es bei OT-Sicherheit nicht nur darum, das Unternehmen selbst, sondern auch sein \u00d6kosystem zu sch\u00fctzen \u2013 Stichwort\u00a0<a href=\"https:\/\/www.csoonline.com\/de\/a\/was-ist-ein-botnet,3673859\" target=\"_blank\" rel=\"noopener\">Botnetze<\/a>.<\/p>\n<p>Wenn Sie also das n\u00e4chste Mal einen CISO-Kollegen treffen, der uberzeugt ist, sein Unternehmen betreibe keine OT-Ger\u00e4te \u2013 fragen Sie ihn einfach mal, ob sein Rechenzentrum mit einer Klimaanlage ausgestattet ist oder ob es im B\u00fcrogeb\u00e4ude einen Aufzug gibt. Wer OT-Sicherheit mit Blick auf die Gesamtsicherheit eines Unternehmens f\u00fcr unbedeutend h\u00e4lt, sollte noch einmal in sich gehen.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>IT-Systeme sicher \u2013 OT egal? Gorodenkoff \u2013 shutterstock.com Einige Sicherheitsentscheider sind davon \u00fcberzeugt, Risiken im Bereich\u00a0Operational Technology\u00a0(OT) nicht bewerten oder standardisieren zu m\u00fcssen, weil sie sie nicht betreiben. Ich wage zu behaupten, dass das h\u00e4ufig zu blinden Flecken f\u00fchrt \u2013 und nicht mehr zeitgem\u00e4\u00df ist. Sie verlassen sich in der Regel bereits auf OT-Technologie, wenn [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":523,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-522","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/522"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=522"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/522\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/523"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=522"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=522"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=522"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}