OT-Sicherheit für KRITIS: Die Rolle von PAM: Zugriff verweigert
Kritische Infrastrukturen (KRITIS) sind nicht zuletzt aufgrund ihrer hohen gesellschaftlichen und politisch-strategischen Relevanz ein beliebtes Ziel für Cyberangriffe. Die zunehmende Vernetzung bringt besonders für KRITIS-Betreiber eine Reihe von Herausforderungen mit sich – im Bereich der Informationstechnologie (IT), der Operational Technology (OT), also der Technologien zur Steuerung und Überwachung physischer Prozesse, sowie im Zusammenspiel beider Systeme.
Hinweis: Dieser Artikel stammt aus der Ausgabe 6/2024 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)
Guido Kraft, Field CISO beim Sicherheitsexperten WALLIX, verrät, wie Privileged Access Management (PAM) hier die Basis für Sicherheit bieten kann.
IT-SICHERHEIT: Die Zahl der Cyberangriffe auf Unternehmen steigt, das ist mittlerweile Binsenweisheit. Wie bewerten Sie die aktuelle Cybersicherheitslage, speziell im KRITIS-Bereich?
Guido Kraft: Die Bedrohungslage im Bereich der OT hat sich in den vergangenen Jahren deutlich verschärft. Gerade im Umfeld kritischer Infrastrukturen (KRITIS) verzeichnen wir eine alarmierende Zunahme von Angriffen, wie jüngst auf die Stadt Aschaffenburg, im Oktober dieses Jahres auf den überregionalen Krankenhausbetreiber Johannesstift Diakonie oder im September auf die Stadtwerke Schaumburg-Lippe.
Obwohl viele dieser Versuche bisher ohne gravierende Konsequenzen unter Kontrolle gebracht werden konnten – eine gewisse Gefahr besteht weiterhin, denn ein Ausfall kritischer Versorgungsstrukturen wie Energie, Verkehr und das Gesundheitswesen kann schwerwiegende Folgen für die Lebensqualität und die Sicherheit der Bevölkerung haben. Auch der Diebstahl von geistigem Eigentum und Betriebsgeheimnissen von Unternehmen im KRITIS-Sektor stellt eine wachsende Bedrohung dar – und Angreifer werden dabei immer raffinierter.
IT-SICHERHEIT: Mit welchen Herausforderungen kämpfen KRITIS-Betreiber bei der Cybersicherheit?
Guido Kraft: Nun, da spielen beispielsweise technische Gegebenheiten eine große Rolle. Veraltete Maschinen, die noch mit alten Systemen arbeiten, sind ein weiteres Problem, da sie oft nicht ausreichend abgesichert sind. Einige dieser Systeme basieren noch auf Windows 2000. Darüber hinaus werden industrielle Steuerungssysteme (Industrial Control Systems, ICS) zunehmend in Sektoren wie Energie, Wasser und Verkehr zur Überwachung und Automatisierung von Prozessen eingesetzt. Mit der wachsenden Vernetzung von OT-Systemen im KRITIS-Bereich und der Integration neuer Maschinen in diese Netzwerke steigt auch die Zahl potenzieller Angriffsvektoren.
IT-SICHERHEIT: Also immer mehr Angriffspunkte – können Sie uns dafür ein Beispiel nennen?
Guido Kraft: Mit der Digitalisierung und Vernetzung geht unter anderem ein steigender Bedarf an sicherem Fernzugriff im KRITIS-Bereich einher. Die oft sehr komplexen OT-Systeme bedürfen einer regelmäßigen Wartung und ständigen Überwachung. Um im Problemfall schnell reagieren zu können, ist häufig ein Fernzugriff notwendig – und mit vielen Bedenken behaftet. Denn bei unzureichender Absicherung kann der Fernzugriff als Einfallstor für Angriffe dienen – was im KRITIS-Bereich fatale Folgen haben kann. Auch VPN-Gateways können Schwachstellen aufweisen.
So können kritische Systeme gewollt oder ungewollt kompromittiert oder Schadsoftware eingeschleust werden, welche ganze Anlagen lahmlegen kann. Daher sind Funktionalitäten wie die Protokollierung von Sitzungen sowie die zentrale Administration von Fernzugriffen und damit verbundenen Aktionen ein Muss für Remote-Access. Denn das Risiko ist besonders hoch, wenn es an einer effektiven Kontrolle und Verwaltung der Zugriffe und Berechtigungen mangelt.
IT-SICHERHEIT: Und dann kommen noch KI und ML hinzu. Wie wirkt sich diese Entwicklung auf die OT-Sicherheit aus?
Guido Kraft: Es ist wie immer bei fast allen neuen Technologien: Sie bieten sowohl Chancen als auch Risiken. Künstliche Intelligenz (KI) und maschinelles Lernen (ML) sind da keine Ausnahme. Einerseits können sie helfen, ungewöhnliches Nutzerverhalten zu erkennen und Netzwerke effizient zu überwachen. Andererseits können diese Technologien auch von Angreifern missbraucht werden, um Schwachstellen in OT-Systemen auszunutzen. Hier gilt es genau zu prüfen, welche Zugriffsrechte diese Systeme erhalten und wie ihre Sicherheit gewährleistet wird. Gerade in Anwendungsbereichen, die für unsere Gesellschaft eine zentrale Rolle spielen, müssen Einsatzszenarien für KI sorgfältig definiert und geeignete Kontrollmechanismen implementiert werden, um die Risiken zu minimieren.
IT-SICHERHEIT: Es gibt also immer mehr Einfallstore, die Cyberkriminelle dank KI noch besser und schneller ausnutzen können. Was kann ein KRITIS-Betreiber tun, um seine OT zu schützen?
Guido Kraft: Um den Bedrohungen wirksam zu begegnen, ist zum Beispiel ein sicheres Zugriffs-und Identitätsmanagement unerlässlich. So kann gewährleistet werden, dass nur autorisierte Personen Zugang zu sensiblen Bereichen erhalten – idealerweise abgesichert durch Multi-Faktor-Authentifizierung (MFA). Ein klarer Genehmigungsprozess und regelmäßige Audits sind ebenfalls unerlässlich.
Weiterhin sollten Unternehmen das Zero-Trust-Prinzip in ihre Sicherheitsstrategien integrieren. Lösungen wie Privileged Access Management und Identity and Access Governance (IAG) sind dabei von entscheidender Bedeutung, um den Zugang zu sensiblen Systemen streng zu kontrollieren. Der Trend geht eindeutig in Richtung präventiver Sicherheitsmaßnahmen. Ein Risikomanagementmodell, das die Systeme nach ihrem Gefährdungsgrad klassifiziert, kann helfen, die richtigen Sicherheitsvorkehrungen zu treffen.
IT-SICHERHEIT: Wie kann PAM in diesem Zusammenhang bei der Erfüllung von Compliance- und Sicherheitsstandards unterstützen?
Guido Kraft: Eine zentrale Herausforderung bei der Umsetzung von Compliance-Anforderungen besteht darin, genau zu wissen, welche Vorschriften für die jeweiligen Systeme und Organisationen relevant sind – gerade bei Einrichtungen im Bereich öffentlicher Dienste oder Infrastrukturen. Die NIS-2-Richtlinie bietet einen umfassenden Rahmen für Unternehmen im KRITIS-Bereich, aber auch Industriestandards wie IEC 62443 bilden eine solide Grundlage, um den Zugang zu sensiblen Bereichen streng zu regeln und nur die notwendigen Berechtigungen zu vergeben.
Ein schon angesprochene Risikomanagementmodell kann dabei helfen, diese Anforderungen zu kategorisieren und gezielte Schutzmaßnahmen zu ergreifen. Beispielsweise kann der Zugriff auf Hochrisikosysteme durch strenge Regeln und MFA gesichert werden, während weniger kritische Systeme flexiblere Sicherheitsvorkehrungen nutzen können.
IT-SICHERHEIT: Ein PAM im Unternehmen einzuführen, ist sicher nicht trivial. Welche Hürden bei der Implementierung gibt es?
Guido Kraft: Das größte Hindernis ist oft die Komplexität. Viele Kunden schrecken vor einer Implementierung zurück, weil sie diese als zu komplex und wartungsintensiv empfinden. Meine Erfahrung zeigt jedoch, dass gut konzipierte Lösungen relativ einfach zu implementieren sind und sich nahtlos in vorhandene Sicherheitsinfrastrukturen integrieren lassen. Dennoch gibt es Herausforderungen, hauptsächlich bei der Anpassung an unternehmensspezifische Anforderungen und bei der Integration mit bestehenden Systemen, zum Beispiel bei der Nutzung von Software-as-a-Service-(SaaS)-Lösungen.
IT-SICHERHEIT: Ist es möglich, die Wirksamkeit von PAM- und IAG-Lösungen zu messen und zu bewerten?
Guido Kraft: Die Effektivität lässt sich nur schwer in Zahlen ausdrücken, da der Return on Investment (ROI) von Sicherheitsmaßnahmen oft nicht direkt messbar ist. Wichtige Kennzahlen sind jedoch die Anzahl der verhinderten unberechtigten Zugriffe und die Reaktionszeit auf Sicherheitsvorfälle. Ein Indikator für die Effektivität ist auch die Benutzerfreundlichkeit und Akzeptanz der Sicherheitsmaßnahmen im Unternehmen.
IT-SICHERHEIT: Zusammengefasst, welche Maßnahmen sollten KRITIS-Betreiber priorisieren?
Guido Kraft: KRITIS-Betreiber müssen sich noch stärker auf die zunehmende Vernetzung von Systemen und den verstärkten Einsatz neuer OT-Technologien wie KI und maschinelles Lernen vorbereiten. Zero-Trust-Modelle sowie die Einhaltung aktueller gesetzlicher Vorgaben und Standards gehören ebenso zu den Grundlagen wie ein robustes Privileged Access Management. Auch die kontinuierliche Schulung und Sensibilisierung des Personals sind nach wie vor ein zentrales Thema, denn der größte Gefahrenfaktor ist und bleibt der Mensch.
IT-SICHERHEIT: Vielen Dank für das Gespräch!
Guido Kraft ist Field CISO und Cybersecurity Business Strategist bei WALLIX, einem europäischen Experten für Privileged Access Management, wo er zuvor als Presales Solution Consultant tätig war. Er verfügt über langjährige Erfahrung als IT-Security Consultant und IT-Systemingenieur.
Weitere Artikel zum Thema:
