OT-Sicherheit: Bereit für die NIS-2-Richtlinie
Viele Unternehmen müssen ihre IT-Infrastruktur an die nächste EU-Vorgabe anpassen. Wie das gelingt und warum Produktionsumgebungen samt vernetzter Maschinen nicht übersehen werden dürfen, erklärt TXOne Networks.
Advertorial
Bis Oktober 2024 muss die EU-Richtlinie NIS-2 (Network and Information Security 2) in nationales Recht umgesetzt werden. Entsprechend wird in Deutschland eine Änderung des IT-Sicherheitsgesetzes erwartet und mittlerweile wurde ein Referentenentwurf zur Umsetzung der NIS-2-Richtlinie veröffentlicht. Die Umsetzung soll mithilfe des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geschehen. Es wird das BSI-Gesetz neu strukturieren und um die Neuerungen ergänzen. Vieles soll präziser und schärfer formuliert werden.
KRITIS wird erweitert
NIS-2 sieht verschärfte Anforderungen für mehr als 40.000 deutsche Unternehmen vor. Besonders der Begriff des KRITIS-Betreibers wird erweitert. Zwei Eigenschaften sind nun entscheidend für die Einstufung eines Unternehmens: die Sektorzugehörigkeit und die Unternehmensgröße. 18 Sektoren werden zuerst zweigeteilt und dann in elf Sektoren mit hoher Kritikalität und sieben weitere kritische Sektoren unterteilt. Damit werden von NIS-2 sogar KMU (kleine und mittlere Unternehmen) erfasst, wobei mittlere Unternehmen hier 50 bis 250 Beschäftigte und einen jährlichen Umsatz von 10 bis 50 Millionen Euro oder eine Bilanzsumme von höchstens 43 Millionen Euro aufweisen müssen. Kleine Unternehmen haben weniger als 50 Angestellte und schaffen einen Jahresumsatz von höchstens 10 Millionen Euro.
Produktionsumgebungen nicht vergessen
Während die Unternehmen nun damit beschäftigt sind, ihre eigene Einstufung zu ermitteln und damit beginnen, ihre IT-Sicherheit anzupassen, wird die OT-Sicherheit selten erwähnt. Dabei ist diese, also der Schutz von empfindlichen Produktionsumgebungen, Anlagen, Robotern und Maschinen, nicht minder wichtig als die Absicherung der Büroumgebung, denn für das produzierende Gewerbe sind diese Maschinen der Motor ihres Geschäfts. Hacker wissen das und da die Zahl der mit dem Internet verbundenen Maschinen und Geräte steigt, also das Internet of Things (IoT) wächst, viele aber nie für diese Vernetzung entwickelt wurden, öffnet sich hier ein Einfallstor für Cyber-Kriminelle. Sie dringen in die Produktionsumgebung, attackieren die veralteten Betriebssysteme der Maschinen und springen weiter zu den restlichen IT-Systemen.
Diese Schwachstelle kann jedoch behoben werden. Hier bieten sich verschiedene Möglichkeiten mit spezialisierten Sicherheitslösungen an. Es können zwar nur wenige Beispiele genannt werden, die aber die Wichtigkeit der OT-Sicherheit verdeutlichen.
Segmentierung, USB-Sicherheit und Identitätsverwaltung
Das Netzwerk kann in Segmente oder sogar Mikrosegmente unterteilt werden, um die verschiedenen IT-Umgebungen in eigene, isolierte Zonen aufzuteilen, an deren Grenzen scharfe Sicherheitskontrollen den Datenverkehr überwachen. Ein Angreifer (eine Malware oder eine Ransomware), der in eines dieser Segmente eindringt, kann darin eingesperrt werden. Die berüchtigten seitlichen Bewegungen, das Springen von einem System zum anderen, werden auf diese Weise unterbunden.
Wird beispielsweise die OT so von der IT getrennt und die IT-Umgebung angegriffen, dann befindet sich die Produktionsumgebung in ihrer sicheren Zone und die Maschinen können unbehelligt weiterlaufen. Ein Stillstand der gesamten Produktion, wie schon oft geschehen, ist dann nicht mehr die automatische Folge eines jeden erfolgreichen Cyber-Angriffs. Darüber hinaus kann die Einführung strenger Richtlinien für den Datenverkehr und deren zuverlässige Durchsetzung auf allen Systemen und im gesamten Netzwerk dafür sorgen, dass nur noch die Daten ungehindert durchgelassen werden, die für die Arbeitsabläufe wirklich benötigt werden. Dabei wird die Konnektivität aller Anwendungen, Maschinen und Benutzeridentitäten genau ermittelt. Alles andere wird überprüft und löst im Zweifelsfall einen Alarm aus.
Was altmodisch klingt, aber in letzter Zeit häufiger zu beobachten ist und großen Schaden anrichten kann: Malware auf USB-Sticks. Dahinter stecken die berüchtigten Innentäter-Attacken oder auch ganz altmodisch eingeschleuste Verbrecher – oder ein absichtlich auf dem Firmengelände liegen gelassener Stick, der von einem unvorsichtigen Mitarbeiter an eine Maschine oder einen Rechner gesteckt wird, um zu sehen, was sich darauf befindet. Diese Bedrohung ist ernst zu nehmen. Daher sollte eine spezielle Sicherheitslösung dafür sorgen, dass nur autorisierte USB-Sticks verbunden werden können, die automatische Ausführung von Skripten verboten wird und Änderungen an Konfigurationen oder Daten unmöglich gemacht werden.
Identitätsverwaltung mittels Identity and Access Control (IAM) rundet die OT-Sicherheit ab. Dabei muss immer das Principle of Least Privilege, das Prinzip der geringsten Berechtigung, gelten, damit jedes Benutzerkonto und jede Maschinenidentität wirklich nur den Teil des Netzwerks sieht, den es zum Arbeiten und Funktionieren benötigt. Das verkleinert die Angriffsfläche ungemein, sowohl für Hacker als auch für Innentäter oder schlichte Fehler. Auf diese Weise können auch alle zugreifenden Geräte stets auf die Einhaltung der Compliance-Richtlinien überprüft werden.
Fazit
Alle Unternehmen, die vernetzte Maschinen im Einsatz haben, sollten umgehend prüfen, ob sie von NIS-2 betroffen sein werden. Ist das der Fall, muss sofort begonnen werden, die OT-Sicherheit mithilfe spezialisierter Lösungen aus den Bereichen Security Inspection, Endpoint Protection (SPS Detection & Response), und Network Defense anzupassen – das Alter der Maschinen und ihrer Betriebssysteme spielt dabei keine Rolle. Auch sie müssen und können gesichert werden – einfach und zuverlässig.
Mehr zu OT-Sicherheit in Verbindung mit der NIS-2-Richtlinie lesen Sie hier: https://www.txone.com/white-papers/mastering-nis2-directive/