Das Aufkommen des erweiterten Internets der Dinge (XIoT), also der vernetzten Geräte, welche die Grundlage für cyber-physikalische Systeme bilden, stellt alle Arten von Unternehmen vor neue Sicherheitsherausforderungen. Dabei wirkt sich die Komplexität dieses Netzwerks verbundener Geräte auf unterschiedliche Weise auf Unternehmen aus. Man muss hierzu nur die Bandbreite der betroffenen Geräte betrachten: Diese reicht von OT-Geräten wie speicherprogrammierbare Steuerungen (SPS) über Gebäudemanagementsysteme (BMS) wie Klimaanlagen oder Aufzüge und IoT-Geräte wie Sicherheitskameras bis zu Geräten für das Gesundheitswesen und IoMT-Geräte wie Infusionspumpen und MRTs. Wie diese Geräte eingesetzt werden, wie sie mit dem restlichen Netzwerk verbunden sind, wie wichtig sie für geschäftskritische Prozesse sind und welche Bedrohungen ein echtes Risiko darstellen, ist von Unternehmen zu Unternehmen unterschiedlich. Deshalb benötigen Sicherheitsverantwortliche eine leistungsstarke und gleichzeitig einfache Möglichkeit, die Funktionen anzupassen, mit denen sie Sicherheitsrisiken und potenzielle Betriebsunterbrechungen überwachen, identifizieren und darauf reagieren können.

Vor diesem Hintergrund wird deutlich, dass es nicht die eine Lösung zur Sicherung von cyber-physischen Systemen und die Aufrechterhaltung der betrieblichen Ausfallsicherheit in einer hypervernetzten Umgebung geben kann. Unternehmen benötigen eine benutzerfreundliche Produktsuite, mit der sie die Parameter für die Identifizierung und Bewältigung der für sie wichtigsten Probleme festlegen können. Gerade im Hinblick auf das neue IT-Sicherheitsgesetz 2.0 ist dies von größter Bedeutung. Zahlreiche Unternehmen fallen zukünftig in den Bereich der kritischen Infrastruktur und müssen entsprechend in den Schutz ihrer Systeme investieren. Dabei sollten vor allem die folgenden drei Punkte beachtet werden.

Die Sicherheit von cyber-physischen Systemen muss auf einer granularen Ebene angepasst werden können.

Jede Umgebung ist einzigartig. Um eine hohe Ausfallsicherheit zu erreichen, muss man die individuell wichtigsten Faktoren der eigenen Infrastruktur erfassen. Je mehr Variablen dabei zur Anpassung der eigenen Risikotoleranzparameter verwenden werden können, desto besser. Auf diese Weise ist man zum Beispiel in der Lage, Warnungen auf der Grundlage von Ereignissen festzulegen, die man selbst definieren kann, wie z. B. Werte, die außerhalb des zulässigen Bereichs liegen, oder bestimmte Kommunikationsvorgänge. Diese Flexibilität ist nicht nur für den Netzwerkschutz und die optimale Erkennung und Reaktion unerlässlich, sondern ermöglicht es auch, ein Programm zur vorbeugenden Wartung zu entwickeln, um ungeplante Ausfallzeiten zu vermeiden und die betriebliche Resilienz zu erhöhen. Sicherheitsverantwortliche sollten über die Möglichkeit verfügen, Informationen auch nach Firmware- und Softwareversionen zu filtern und die Anlagen auf eine für ihr Unternehmen logische Art und Weise zu gruppieren. Diese Informationen bilden die Grundlage für Risikobewertungen, das Schwachstellenmanagement und die Untersuchung von Vorfällen.

Nur mit kuratiertem und detailliertem Kontext kann die Resilienz gestärkt werden.

Angesichts immer ausgefeilterer Angriffe kommt es zunehmend auf den Kontext an. Einerseits erleben wir zahlreiche Warnungen, die sich als Fehlalarme herausstellen und letztlich zu einer Alarm-Müdigkeit führen. Andererseits bleiben fortschrittliche Angriffe oftmals lange Zeit unbemerkt, weil den Sicherheitsverantwortlichen nicht der notwendige Kontext zur Verfügung steht. Die Nutzung eines Algorithmus, der auf dem spezifischen Kontext und den speziellen Umständen basiert, unter denen jeder Alarm ausgelöst wird, liefert eine maßgeschneiderte Metrik zur Bewertung der in der jeweiligen Umgebung vorhandenen Risiken. Die Risikobewertung von Warnmeldungen ermöglicht so eine schnelle und effektive Priorisierung, wenn auf einen zeitkritischen Vorfall reagiert werden muss, da störende Fehlalarme einfach aussortiert werden können. Auf diese Weise wird sichergestellt, dass Vorfälle schnell und effektiv behoben werden und sich damit die Ausfallsicherheit deutlich erhöht.

Die entsprechenden Parameter sollten dabei genau spezifiziert werden können. Ein granularer Mechanismus zur Bewertung des Risikos für jedes Objekt im Netzwerk ermöglicht es, die Art des Risikos eines Objekts besser zu erkennen, um entsprechende Warnungen und Schwachstellen genauer zu priorisieren und zu beheben. Die Gesamtrisikobewertung einer Anlage basiert auf individuellen Bewertungen für Anfälligkeit, Kritikalität, Zugänglichkeit, Infektion und Bedrohung. So weisen beispielsweise für Unternehmen der Pharma- oder Lebensmittelbranche, die auf temperatursensible Prozesse angewiesen sind, Klimawerte eine hohe Kritikalität auf, während etwa in Produktionsbetrieben andere Faktoren wesentlicher sind.

Es ist entscheidend, das Angriffsverhalten im Kontext der cyber-physischen Umgebung zu verstehen.

Unabhängig vom Grad der Transparenz, der Erkennung von Bedrohungen oder den Kontrollen zur Verwaltung von Schwachstellen: Das Risiko lässt sich nicht komplett eliminieren. Unternehmen im Bereich der kritischen Infrastruktur sind Cyberbedrohungen von Malware bis Sabotage ausgesetzt – mit steigender Tendenz. Sicherheitsverantwortliche müssen die situativen Faktoren verstehen, die Angreifer nutzen, um die richtigen Schritte zur Abwehr ergreifen zu können und Risiken zu reduzieren.

Angriffsvektor-Mapping identifiziert die am stärksten gefährdeten Anlagen und Zonen im cyber-physischen Netzwerk und simuliert die verschiedenen Möglichkeiten, mit denen ein Angreifer in dieses Netzwerk eindringen könnte. Durch eine visuelle Darstellung werden alle Punkte angezeigt, an denen im Verlauf eines Angriffs gewarnt wird: Von der ersten Warnung, dass ein neues Objekt (z. B. ein Angreifer) in die Umgebung eingedrungen ist, über die gesamte kontextualisierte Ereigniskette bis hin zu allen Warnungen im Zusammenhang mit einem Vorfall. Der entscheidende Kontext, der jeden Schritt des Angriffs umgibt, ermöglicht es Sicherheitsverantwortlichen, einen Angreifer zu stoppen, bevor er einen betriebskritischen Teil des Netzwerks erreicht und großen Schaden anrichten kann.

Fazit

Es gibt keine Patentlösung für die Sicherheit vernetzter Unternehmen, die für alle passt. Vielmehr kommt es darauf an, die Lösung zu finden, die sich an die eigenen Gegebenheiten und Anforderungen anpassen lässt und in der Lage ist, essenziellen Kontext herzustellen. Nur so können Sicherheitsverantwortliche erkennen, welche Bedrohungen und Sicherheitslücken ein echtes Risiko für ihr Unternehmen darstellen, und ihre einzigartige Umgebung effektiv schützen.