Prinzipiell sind größere Unternehmen besser in der Cyber-Abwehr aufgestellt als kleinere und mittelständische. Der Betreiber eines Kernkraftwerks ist wesentlich besser abgesichert als etwa ein kleines kommunales Versorgungsunternehmen. Oft fehlt es Letzteren gerade an der erforderlichen Manpower oder Expertise. Zudem herrscht in manchen Branchen auch noch eine abwartende Haltung vor, gemäß dem Motto „Wo kein Auditor ist, da besteht auch keine Notwendigkeit für Änderungen“.

Erforderliche Sicherheitsmaßnahmen

Die Aufgabe aus Sicherheitsperspektive lautet, Cyber-Attacken umfassend und zuverlässig zu erkennen und abzuwehren. Erforderlich hierfür ist ein ganzheitlicher Ansatz, der die IT, die OT (Operational Technology) und auch organisatorische Prozesse beinhaltet. In einem ersten Schritt ist eine Risikoanalyse unverzichtbar. Hierbei müssen alle Systeme, Komponenten, Anwendungen und Prozesse berücksichtigt werden, die für einen sicheren operativen Betrieb zwingend erforderlich sind.

Im zweiten Schritt ist ein detaillierter Handlungsplan mit einer Prioritätenliste zu erstellen. Bei der Absicherung der Infrastruktur gibt es eine Vielzahl von Maßnahmen, die ein KRITIS-Betreiber ergreifen muss. Zentrale Ansatzpunkte liegen bei den Endgeräten und beim Zugriffsmanagement sowie beim Netzwerkdesign. Klar sollte sein, dass eine starke Endgeräte-Absicherung von elementarer Bedeutung ist. Sie umfasst das kontinuierliche Patchen von Systemen zur Eliminierung bekannter Sicherheitslücken und die Überwachung der Applikationen auf den Endpunkten zur Minimierung des Malware-Infektionsrisikos. Zudem sollte ein Entzug der lokalen Administratorenrechte für Standardanwender erfolgen, um Angreifern im Fall einer Systemkompromittierung nur eingeschränkte Handlungsmöglichkeiten zu eröffnen.

Um die Sicherheitsherausforderungen in den Griff zu bekommen, müssen KRITIS-Betreiber darüber hinaus auch eine identitätsbasierte Sicherheitsstrategie verfolgen, die die Vergabe von kontextbezogenen Rechten beinhaltet. Das heißt, Anwendern werden abhängig von der durchzuführenden Tätigkeit passende Rechte gewährt. Dieser Least-Privilege- und Just-In-Time-Ansatz vermeidet eine dauerhafte Rechteansammlung und macht es damit Hackern ungleich schwerer, an ihr Ziel zu gelangen. Schließlich sollte ein Betreiber immer dafür sorgen, dass ein Angreifer nur einen möglichst kleinen Bereich infiltrieren kann. Werden prinzipiell auf breiter Front die Rechte der User eingeschränkt, kann durchaus die Frage aufgeworfen werden, ob auch ein Super-Admin in der IT überhaupt noch erlaubt sein sollte.

Selbstverständlich für den Zugriff auf kritische Ressourcen sollte zudem die Nutzung einer Lösung im Bereich Multi-Faktor-Authentifizierung sein, zum Beispiel mittels starker Authentifizierungsfaktoren wie physischer Token oder biometrischer Verfahren. Idealerweise besteht zudem die Möglichkeit, kontextabhängige Authentifizierungsrichtlinien umzusetzen.

Absicherung von IT und OT

Sicherheit darf allerdings kein auf die IT begrenztes Thema sein, ebenso wichtig ist die Absicherung der OT. Dabei ist zu beachten, dass in der IT oftmals ein höheres Sicherheitsniveau als in der OT herrscht. Dafür gibt es mehrere Gründe: Zum einem werden im OT-Bereich oft ältere Lösungen genutzt, für die es keine Updates mehr gibt. Zum anderen verwenden die Systeme vielfach proprietäre Betriebssysteme, Firmware und Protokolle, die nicht im Hinblick auf Sicherheit entwickelt sind beziehungsweise aus dieser Sicht veraltet sind. Sie ermöglichen zwar eine Netzwerkanbindung, die aber nie für einen Multi-User-Netzbetrieb gedacht war, das heißt, es gibt oft keine Benutzerverwaltung, geschweige denn eine Benutzerrechteverwaltung.

Problematisch ist vor allem, dass die in der Vergangenheit oft noch vorhandene strikte Trennung zwischen IT und OT in einer Zeit der zunehmenden Digitalisierung nur noch teilweise existiert. Eine hohe OT-Sicherheit kann deshalb nur gewährleistet werden, wenn die Nahtstellen ermittelt und für alle relevanten Geräte, Ports oder Verbindungen adäquate Sicherheitsmaßnahmen ergriffen werden – etwa mit der Überwachung privilegierter Zugriffe von IT-Clients auf kritische OT-Systeme und -Ressourcen und einer Unterbindung des Zugangs bei verdächtigen Aktivitäten. Im Gesundheitswesen etwa betrifft das Sicherheitsrisiko medizinische Geräte, die in die IT-Systemlandschaft integriert sind. Beispiele sind Magnetresonanz- und Computertomographen, Ultraschall- und Röntgengeräte oder Dialysemaschinen.

IT-Sicherheit bedeutet auch Prozesssicherheit

Sicherheit darf aber nicht nur aus technologischer Sicht – also aus der IT- und OT-Perspektive – betrachtet werden, sondern muss auch organisatorische Aspekte umfassen. Es geht schließlich auch um die Prozesssicherheit. Unternehmen müssen dabei immer einen integrativen Ansatz verfolgen und Sicherheitslösungen eng miteinander verzahnen. Konkret geht es dabei um die harmonisierte Definition von Workflows oder Prozesslogiken etwa für Rollenfreigaben und die optimierte Umsetzung von Governance- und Compliance-Vorgaben in Prozesse.

Es bleibt fraglich, ob durch das kommende Sicherheitsgesetz 2.0 der IT-Sicherheit im KRITIS-Bereich eine höhere Priorität eingeräumt wird. Aber es besteht immerhin Anlass zur Hoffnung, wie das Gesundheitswesen zeigt. Die im Rahmen des Krankenhauszukunftsgesetzes bereitgestellten Fördermittel müssen immerhin zu 15 Prozent in die Verbesserung der IT-Sicherheit investiert werden.

*Die Autoren: Hans-Wilhelm Dünn ist Präsident des Cyber-Sicherheitsrats Deutschland e. V. und Michael Kleist ist Regional Director DACH bei CyberArk.

(ID:47316059)