OT und IT zusammen schützen: Checkliste für Managed Detection and Response (MDR)

Hinweis: Dieser Artikel stammt aus der Ausgabe 2/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Die größten Schwachstellen – und damit die gefährlichsten Einfallstore – liegen oft in der betrieblichen Infrastruktur. Eine einheitliche Cybersicherheitslösung für OT- und IT-Netzwerke ist daher zentral. In der Vergangenheit erhielt ein solcher flächendeckender Schutzschirm eher wenig Beachtung. Auch eine übergreifende Zusammenarbeit zwischen den jeweiligen Teams findet sich in der Unternehmenspraxis selten. Diese Versäumnisse haben nun Konsequenzen.

OT-Systeme sind im Wesentlichen Produktionssysteme, die essenziell für die Geschäftskontinuität sind. Aufgrund ihrer datenreichen Struktur und ihrer Bedeutung sind sie lukrative Angriffsziele von Cyberkriminellen. Betroffen sind nicht nur Organisationen aus dem KRITIS-Umfeld. Datendiebstahl, Ransomware, industrielle Spionage und geopolitisch motivierte Angriffe können jeden treffen und Prozesse sowie Infrastrukturen lahmlegen. Bereits eine einzige Störung kann zu Produktionsausfällen und erheblichen finanziellen Verlusten führen. Im Health-Care-Bereich stehen zum Beispiel Patientenversorgung und der Schutz sensibler Gesundheitsdaten auf dem Spiel.

OT als lukratives Angriffsziel

An eindrücklichen Beispielen mangelt es nicht. So beeinträchtigte die WannaCry-Attacke etwa 34 Prozent der Einrichtungen des britischen National Health Service (NHS) in Großbritannien und schränkte den medizinischen Notdienst vorübergehend ein. Der Ransomware-Angriff auf JBS Food stoppte 2021 die Fleischproduktion in mehreren US-Werken, was zu Versorgungsengpässen und steigenden Preisen führte. Im selben Jahr legte der Angriff auf die Colonial-Pipeline die Treibstoffversorgung der US-Ostküste lahm und verursachte Benzinknappheit und Hamsterkäufe.

Angriffe dieser Art erhöhen den Druck auf Organisationen, wodurch auch die Chancen auf schnell gezahltes Lösegeld steigen. Was OT-Systeme darüber hinaus lukrativ macht: Sie weisen menschliche, prozessbedingte und systemische Schwachstellen auf, die den Exploit vereinfachen.

Viele Mitarbeiter im OT-Bereich sind nach wie vor nicht genug über Cybersicherheitspraktiken aufgeklärt. Advanced Persistent Threats (APT) haben daher durch gezielte, langfristige und gut organisierte Cyberangriffe auf OT-Systeme leichtes Spiel. Gleiches gilt für Zero-Day-Angriffe. Ein wachsender Anteil der Sicherheitsbudgets fließt daher in OT. Nach einem Bericht von Allied Market Research sollen die Ausgaben für OT-Sicherheit bis 2032 auf 8,4 Milliarden US-Dollar steigen.

OT/IT-Merger

OT-Angriffe zu erkennen und abzuwehren, ist aus mehreren Gründen eine Herausforderung. Einer der Hauptgründe: OT-Sicherheitsmaßnahmen sind traditionell darauf ausgelegt, physischen Zugriff zu beschränken – nicht jedoch digitale Angriffe abzuwehren. Laut einer Studie der Enterprise Strategy Group setzen 44 Prozent der Unternehmen spezialisierte OT-Geräte ein, die sich zudem außerhalb der IT-Infrastruktur befinden. Gleichzeitig haben OT-Systeme in den vergangenen Jahren eine zunehmende Digitalisierung erfahren und wurden wieder enger in traditionelle IT-Systeme zurück integriert. Dieser „IT/OT-Merger“ ist für Unternehmen attraktiv, da sie die Verwaltung effizienter gestaltet, die Ressourcen interner Mitarbeiter besser nutzt und den Datenfluss zwischen den Systemen vereinfacht.

Der Haken daran: Der Übergang von einer isolierten OT-Sicherheit zu einem integrierten Cybersecurity-Framework erfordert neue Prozesse, Richtlinien und Lösungen. Vor allem konventionelle IT-Sicherheitstools sind schlichtweg nicht darauf ausgelegt, OT-spezifische Bedrohungen zu erkennen, zu blockieren und zu beheben.

Erste Schritte für den Schutzschirm

IT- und OT-Teams sollten sich folgende Fragen stellen: Sind Sicherheitslücken und Schwachstellen in Systemen bekannt? Welche OT-Systeme gilt es zu schützen? Lässt sich erkennen, ob sich ein Angreifer im OT-System befindet? Und wenn ja, verfügen die Sicherheitsteams über das nötige Know-how, um angemessen reagieren zu können?

Im Zuge einer ganzheitlichen Sicherheitsstrategie empfiehlt es sich, auch hier auf dem MITRE ATT&CK-Framework aufzusetzen. Es bietet eine umfassende Wissensbasis zur Analyse, Abwehr und Bekämpfung außergewöhnlicher Cyberaktivitäten. Es unterteilt den Lebenszyklus eines Angriffs in verschiedene Phasen und identifiziert gezielt die potenziell angreifbaren Systeme und Plattformen. Das Framework ermöglicht zum einen ein tiefgreifendes Verständnis zunehmend komplexer Angriffe auf vernetzte OT-Systeme. Zum anderen stellt es den Rahmen für neue Cybersicherheitslösungen – wie Managed-Detection-and-Response-(MDR)-Lösungen.

Checkliste für MDR-Plattform

MDR hilft Unternehmen, die Lücken zwischen ihren OT- und IT-Umgebungen zu schließen. Bei der Suche nach einer passenden Lösung sollten Sicherheitsverantwortliche und CSOs auf zentrale Funktionen achten. Dazu zählen:

• differenzierte und kontextbezogene Klassifizierung von Alerts zur Priorisierung von Bedrohungen gemäß ihres Risikopotenzials;
• intelligentes Konfigurationsmanagement und Validierung zur Identifizierung und Behebung von Schwachstellen;
• automatisierte Reaktionen auf erkannte Bedrohungen zur Minimierung von Ausfallzeiten;
• integrierte Bedrohungsinformation und Analyse (Threat Intelligence) zur kontinuierlichen Aktualisierung der Abwehrmechanismen;
• prädiktive Analysen für das proaktive Erkennen und Entschärfen von Bedrohungen;
• 24/7-Monitoring und Threat Hunting durch erfahrene Sicherheitsteams;
• spezialisierte Sicherheitswerkzeuge für SCADA- und industrielle Prozesssteuerungsanwendungen;
• Vorfallmanagement (Incident-Case-Management) zur strukturierten Untersuchung und Behebung von Sicherheitsvorfällen.

Grundsätzlich ergibt sich die größte Angriffsfläche oft aus mangelnder Transparenz über bestehende IT- und OT-Netzwerke. Hier kann etwa Asset Discovery unterstützen: Sie kann helfen, diese blinden Flecken zu entfernen und an Durchblick und damit mehr Kontrolle zu gewinnen.

Das gilt jedoch nur, wenn Unternehmen proaktiv agieren. Die Threat Landscape ist hochdynamisch, und Angreifer entwickeln ihre Taktiken, Technologien und Prozesse (TTPs) kontinuierlich weiter. Das neue KI-Zeitalter kommt dabei auch Cyberkriminellen zugute. Zur Verteidigung müssen Unternehmen ein lückenloses Monitoring rund um ihre IT- und OT-Assets aufbauen und diesen Schutzschirm fortlaufend auf anomale Verhaltensweisen hin untersuchen.

Durch kontinuierliches Monitoring und Protokollierung können Unternehmen den Netzwerkverkehr sowie Geräte analysieren und potenziell bösartige Aktivitäten erkennen, bevor diese in ernsthafte Bedrohungen eskalieren. MDR ermöglicht die Analyse in Echtzeit, wobei Advisories die nötigen Hintergrundinfos liefern und diese um passive wie aktive Scans ergänzen.

Neben MDR-Tools sollten Unternehmen zudem die Zusammenarbeit mit Managed Security Service Providern (MSSPs) in Betracht ziehen. IT- und Sicherheits-Ressourcen sind in vielen Unternehmen ohnehin knapp und viele Teams arbeiten bereits an ihrem Limit. Das Outsourcen an einen Partner kann helfen, Kapazitäten freizuschaufeln und IT- und OT-Abteilungen zu entlasten. Gleichzeitig profitieren sie von der Branchenexpertise der externen Sicherheitsexperten. Dazu zählt in der Regel neben Threat Hunting und Blue-Team-Cybersicherheits-Expertise auch ein Security Operations Center (SOC) as a Service. So werden Sicherheitsüberwachung und schnelle Reaktionsfähigkeit rund um die Uhr garantiert.

Fazit

IT und OT können nicht mehr isoliert betrachtet werden. Unternehmen müssen deshalb beide Infrastrukturen holistisch schützen. MDR kann dabei eine zentrale Rolle spielen. Nicht nur, weil es spezifischen Bedrohungen spezifische Sicherheitsmaßnahmen entgegenstellt. Sondern auch, weil es oft die einzige Verteidigungslinie ist, die zwischen einem Angriff und dem vollständigen Stillstand kritischer Infrastrukturen steht.