Moxa – Grundlagen Security – Teil 2
Konkrete Schritte für mehr Sicherheit
Cybersecurity scheint oft wie die unbezwingbare Hydra, der stets neue Köpfe nachwachsen, kaum dass einer abgeschlagen wurde. Doch mit einem praxisorientierten Leitfaden lässt sie sich bezwingen und die Sicherheit des Unternehmensnetzwerkes erheblich stärken.
[Englisch] Teil 2 der Artikelserie »Gundlagen Security« nennt konkrete Schritte für mehr Sicherheit in der Industrieautomatisierung.
Threat Modelling
Der erste Schritt zu einem stabilen Cybersecurity Framework besteht darin, sich einen detaillierten Überblick über das bestehende Netzwerk zu verschaffen und die potenziellen Angriffsflächen zu identifizieren. Dafür empfiehlt es sich, kritische Anlagen zu katalogisieren, inklusive aller Maschinen, Systeme und Bereiche, in denen geistiges Eigentum und vertrauliche Informationen gespeichert sind. Darauf folgt eine fundierte Bewertung von direkten und indirekten Folgen potenzieller Bedrohungen. Damit lässt sich eine Reaktionsstrategie definieren, die unmittelbare Risiken reduziert und langfristige Konsequenzen verhindert. Die mit jeder identifizierten Bedrohung verbundenen Risiken lassen sich in verschiedene Kategorien einteilen. Für jede Bedrohung werden mögliche Reaktionen in Betracht gezogen:
- Akzeptanz: Manche Risiken können als akzeptabel angesehen werden. Mit Schwellenwerten ist dann festzulegen, bis zu welchem Punkt das Risiko tolerierbar ist und ein Monitoring ausreicht.
- Schadensbegrenzung: Eine Strategie, um die Wahrscheinlichkeit oder die Auswirkungen von potenziellen Bedrohungen zu verringern, kann die Implementierung von Sicherheitsmaßnahmen, Protokollen und Redundanzen umfassen.
- Eliminierung: Strukturelle Änderungen am Netzwerk, die Integration fortschrittlicher Sicherheitstechnologien sowie die Beseitigung vulnerabler Komponenten tragen dazu bei, Risiken von vorneherein auszuschließen.
Richtlinien, Gesetze und Normen
Die Einhaltung von EU-Richtlinien, nationalen Gesetzen sowie branchenspezifischen Normen zur Cybersecurity sind ein Muss. Indem sich Unternehmen über Vorschriften und Richtlinien auf dem Laufenden halten, erfüllen sie nicht nur ihre rechtlichen Verpflichtungen, sondern erhöhen auch ihre eigene Sicherheit. Auf dieser Basis gilt es außerdem, Governance-Regeln zu definieren. Diese sollten die Richtlinien, Verfahren und Protokolle beinhalten, die den täglichen Betrieb der industriellen Automatisierung regeln. Zu einer effektiven Cybersecurity Governance gehören eine solide Risikobewertung, die fortlaufende Identifizierung von Cybersecurity-Risiken und stets aktuelle Richtlinien, die sich an Branchenstandards orientieren. Integrale Bestandteile dessen sind Zugangskontrollen, definierte Reaktionen auf Zwischenfälle sowie die Sensibilisierung und Schulung von Mitarbeitenden. Stehen die Governance-Regeln, müssen sie kontinuierlich überwacht sowie regelmäßig Sicherheitsprüfungen und Bewertungen durchgeführt werden. Nur so lassen sich auch neue Schwachstellen identifizieren und beheben.
Der Aufbau eins resilienten Netzwerks
Der grundlegende Schritt zum sicheren Industrieautomatisierungs-Netzwerk besteht darin, die Sicherheitsanforderungen für jedes Segment sorgfältig zu bewerten. Bei der Segmentierung wird das Netzwerk in separate Zonen unterteilt, um den Datenverkehr zu steuern, die Sicherheit zu verbessern und potenzielle Angriffe einzudämmen. Jedes Segment kann seine eigenen Sicherheitsrichtlinien und Zugangskontrollen haben, um die Sicherheit zu erhöhen und das Risiko von Bedrohungen zu minimieren. Dies ermöglicht eine gezielte Sicherheitsstrategie, die sich auf bestimmte Teile des Netzwerks konzentriert und gleichzeitig die Gesamtsicherheit des Systems verbessert.
Bei der Bewertung jedes Segments sind die kritischen Assets des Unternehmens sowie vertrauliche Informationen zu berücksichtigen, potenzielle Schwachstellen zu identifizieren und mögliche Auswirkungen von Sicherheitsverletzungen auf die einzelnen Segmente zu bewerten. So kann jedes Segment einer Sicherheitsstufe zugeordnet werden, ja nach potenzieller Wahrscheinlichkeit und potenziellen Auswirkungen einer erfolgreichen Attacke. Dadurch lassen sich Ressourcen effektiv zuweisen und dem Schutz dort Priorität einräumen, wo er am dringendsten benötigt wird. Auf dieser Grundlage kann Schritt für Schritt ein Plan für ein sicheres Netzwerkmodell erstellt werden.
Bild 1. Einfache Sicherheits-Hygienemaßnahmen: regelmäßige Software-Updates, Passwortverwaltung und grundlegende Zugangskontrollen.
© MoxaZum Start empfiehlt es sich, mit einfachen Hygienemaßnahmen zu beginnen (Bild 1). Dazu gehören regelmäßige Software-Updates, Passwortverwaltung sowie grundlegende Zugangskontrollen, wie etwa eine Zugriffsbeschränkung bestimmter Ressourcen auf einzelne MAC-Adressen.
Im nächsten Schritt folgen ausgefeiltere Lösungen. Nach dem Defense-in-Depth-Prinzip lassen sich mehrere Ebenen von Sicherheitsmaßnahmen verbinden und so eine vielschichtige Verteidigungsstrategie schaffen (s. Bild links). Hierfür eignet sich eine Kombination aus Firewalls, Intrusion-Detection-Systemen und Verschlüsselung. Durch die Trennung des Floorplans vom Unternehmensnetzwerk mit einer DMZ (Demilitarized Zone), einem Puffernetzwerk, wird die direkte Kommunikation zwischen Unternehmens- und Etagennetzwerk verhindert und der Zugang mit Firewalls kontrolliert.
Darüber hinaus ist die Isolation kritischer Segmente ein entscheidender Aspekt, um die Bewegung und damit die Ausbreitung von Bedrohungen innerhalb des Netzes zu
minimieren (Bild 2). Hierfür wird die Zahl der Zugangspunkte und die Zahl der benachbarten Netze, die mit den sichersten Segmenten kommunizieren können, auf ein Minimum begrenzt. So bleibt die Integrität des gesamten Netzes erhalten, selbst wenn ein Bereich gefährdet ist. Zudem sollten Autorisierungsmechanismen an die funktionalen Rollen angepasst werden, um sicherzustellen, dass Personen ausschließlich Zugriff auf Ressourcen haben, die für ihre Aufgaben wirklich erforderlich sind. Dabei ist es ratsam, administrative Rollen von anderen Funktionen zu trennen und so den Zugriff auf kritische Konfigurationen und sensible Informationen strikt zu beschränken.
Sicherheitsbewusstsein fördern
Neben den technischen Maßnahmen ist der Faktor Mensch ganz entscheidend. Teams müssen mit den erforderlichen Ressourcen ausgestattet sein, um auch die Feinheiten verschiedener Angriffsarten beherrschen. Dies beginnt damit, Checklisten und Schritt-für-Schritt-Verfahren zu erstellen, die als praktische Leitfäden bei jeder Art von Angriff durch die entsprechenden Maßnahmen führen. Diese Materialien sollten einfach und praxisorientiert sein, komplexe Sicherheitsmaßnahmen sollten in umsetzbare Schritte aufgegliedert werden. So können Cybersecurity-Spezialisten andere Teams in die Lage versetzen, effektiv auf Bedrohungen zu reagieren.
Um das Bewusstsein für Cybersecurity in den Köpfen der Mitarbeitenden zu verankern, braucht es regelmäßige Schulungsprogramme, die neben theoretischen Aspekten auch praktische Übungen zu realen Szenarien abdecken.
|
Lesen Sie auch Teil 1 und 2 der Artikelserie »Grundlagen Cybersecurity«: |
|---|
Auch die Unternehmenskultur ist ein wichtiger Pfeiler für das Sicherheitsbewusstsein: Eine Umgebung, in der Teammitglieder Sicherheitsbedenken melden können, ohne Repressalien befürchten zu müssen, ist entscheidend. Schuldzuweisungen bei Sicherheitsvorfällen sind dabei kontraproduktiv. Stattdessen sollte der Fokus darauf liegen, die Ursachen zu verstehen und Abhilfemaßnahmen zu ergreifen. Zudem ist Lob ein wirksames Mittel, um positive Verhaltensweisen zu fördern. Werden Wachsamkeit und Reaktionsfähigkeit gewürdigt, werden Mitarbeitende ermutigt, aktiv zur Sicherheit des Unternehmens beizutragen.
Security im Ökosystem
In einer soliden Sicherheitsstrategie sind auch alle Partner des Unternehmens berücksichtigt. Dies beginnt damit, klare Regeln zu formulieren. Dabei sollte die Authentifizierung zu den nicht verhandelbaren Sicherheitsaspekten gehören, denn sie ist der Beweis für die Legitimität von Interaktionen innerhalb des industriellen Ökosystems. Authentifizierungsprotokolle müssen selbstverständlich Industriestandards und -vorschriften entsprechen. Außerdem sollten die Bewertungen, Audits und Sicherheitspraktiken von Partnern fortlaufend durch Fachleute geprüft werden.
Unter dem Motto »Gemeinsam ist man stärker« empfiehlt sich außerdem ein aktiver Austausch zu Bedrohungsdaten und bewährten Verfahren, sodass sichergestellt ist, dass sich die Sicherheitsmaßnahmen gegenseitig verstärken.
Netzwerk-Monitoring
Der erste Schritt beim Netzwerk-Monitoring besteht darin, ein umfassendes Verständnis für die Aktivitäten innerhalb des industriellen Ökosystems zu gewinnen. Mit Hilfe von modernen Tools und Technologien lassen sich der Netzwerkverkehr, die Interaktionen der Geräte und Kommunikationsmuster in Echtzeit überwachen. Damit können Anomalien, potenzielle Schwachstellen und unbefugte Zugriffe erkannt werden. Um Sicherheitsverletzungen zu überwachen, sind robuste Intrusion-Detection-Systeme nötig, außerdem die Analyse von Protokollen sowie die aktive Suche nach Anzeichen für unbefugte Zugriffe, Malware oder andere Sicherheitsverletzungen. Dabei kommt die erwähnte Kultur zum Tragen, in der Mitarbeitende dazu ermutigt werden, Sicherheitsvorfälle zu melden.
Jeder Sicherheitsvorfall sollte akribisch dokumentiert werden, auch (scheinbar) kleine Vorfälle. Hilfreich ist es, hierfür einen standardisierten Prozess zu entwickeln, wie die Details des Vorfalls, die ergriffenen Maßnahmen und die Lessons Learned festzuhalten sind. Eine solche Dokumentation gewährleistet nicht nur die Einhaltung der Vorschriften, etwa bei Audits, behördlichen Inspektionen oder internen Überprüfungen, sondern liefert auch wertvolle Erkenntnisse für eine stete Verbesserung der Cybersecurity.
Kontinuierliche Verbesserung
Cybersecurity ist eine nie abgeschlossene Aufgabe. Mit definierten Prozessen für eine kontinuierliche Verbesserung schaffen Unternehmen die Voraussetzung für einen ständigen Verbesserungszyklus. Dieser sollte die regelmäßige Überprüfung und Verfeinerung von Sicherheitsprotokollen sowie der Reaktionsverfahren auf Zwischenfälle und Überwachungsmechanismen umfassen. Bei der Evaluierung sollten Teammitglieder aus verschiedenen Abteilungen und Hierarchieebenen einbezogen und Vorschläge vorbehaltlos geprüft werden. Auch Schulungsprogramme, Sensibilisierungskampagnen und Rahmenbedingungen für die Zusammenarbeit sollten Teil der kontinuierlichen Verbesserung sein. Gleichzeitig ist die Bedrohungslandschaft ständig in Bewegung. Eine aktive Teilnahme an Threat-Intelligence-Netzwerken und Branchenforen sowie kontinuierliche Weiterbildung helfen dabei, auf sich entwickelnde Bedrohungen vorbereitet zu sein.
Das könnte Sie auch interessieren
Safety & Security 2024
Was gilt es bei der Umsetzung der neuen MVO bis Januar 2027 zu beachten? Wie spielen Safety & Security zusammen? Und wie entwickelt man eine passende Cybersecurity-Strategie? Unter anderem Antworten auf diese Fragen finden Sie in unserem...
mehr...Moxa - Cybersecurity Basics - Part 1
The Fundamentals of Cybersecurity
Cybersecurity is a bare necessity that much is clear. What is less clear, however, are the basic principles that form the foundation of a strong and effective cybersecurity strategy. If they are missing, the entire concept is rickety.
mehr...Industrielle Cybersicherheit im deutschsprachigen Raum
Länder in Westeuropa zählen im internationalen Vergleich weiterhin zu den vergleichsweise sichereren Regionen im Bereich industrieller Cybersicherheit. Dennoch sind Computer zur industriellen Steuerung (ICS) auch im deutschsprachigen Raum nach wie...
mehr...Interview mit Thierry Bieber, HMS...
IT/OT-Resilienz im Maschinenbau
Vom sicheren Firmware-Update bis zur Netzsegmentierung: Thierry Bieber von HMS Industrial Networks erklärt im Gespräch, wie Maschinenbauer ihre IT/OT-Resilienz verbessern, welche Rolle Standards spielen und warum eine klare Architektur für...
mehr...Europäische Unternehmen priorisieren Sicherheit vor Wachstum
Mit der Integration von Künstlicher Intelligenz (KI) in geschäftskritische Prozesse verlagern europäische Unternehmen ihre Prioritäten. Anstelle reiner Innovationsprojekte stehen zunehmend Fragen der Sicherheit, Governance und Skalierbarkeit im...
mehr...Warum IT/OT-Grenzen neu gedacht werden müssen
Smart Factories verbinden Produktionsanlagen, Steuerungen und IT-Systeme über gemeinsame Netzwerke – eine Entwicklung, die die Effizienz zwar steigert, aber auch zusätzliche Angriffsflächen schafft. Um diese Risiken zu beherrschen, müssen...
mehr...Fünf unbequeme Wahrheiten über OT‑Security
Firewalls kaufen kann jeder. OT-Security machen die wenigsten wirklich. Timmi Hopf, Business Development Manager OT Cybersecurity bei Axians, benennt in seinem Kommentar fünf unbequeme Wahrheiten aus der Praxis und erklärt, warum der erste Schritt...
mehr...So entspricht Software der EU-Verordnung
Neue gesetzliche Vorgaben zur Cybersicherheit betreffen nahezu alle Anbieter digitaler Produkte im EU-Markt. Die Cyberresilienz-Verordnung definiert verbindliche Standards und Meldepflichten. Dieser Beitrag gibt einen strukturierten Überblick über...
mehr...Neuer Vice President of Global Partner Ecosystem benannt
Ab sofort ist John Ryan neuer Vice President of Global Partner Ecosystem von Claroty, Spezialist für die Sicherheit von cyber-physischen Systemen (CPS).
mehr...