Unternehmensleiter vernachlässigen Risiken im Bereich der Betriebstechnologie (OT) auf eigene Gefahr. Diese Systeme versorgen einige der wichtigsten nationalen Infrastrukturen Großbritanniens – von Kernkraftwerken bis hin zu Wasseraufbereitungsanlagen. Im Gegensatz zu IT-Bedrohungen können Angriffe auf OT direkte physische Auswirkungen auf die Bevölkerung haben. Dennoch stellen CNI-Vorstände oft andere Geschäftsziele über die Cybersicherheit.

Das könnte sich bald ändern mit der Veröffentlichung eines neuen Berichts vom OT-Sicherheitsspezialisten Dragos. Gestützt auf eine unabhängige Analyse des Versicherers Marsh McLennan zeigt sich, dass das jährliche finanzielle Risiko im Zusammenhang mit OT-Vorfällen bis zu 329.5 Milliarden US-Dollar betragen könnte. Die Frage ist: Was passiert als Nächstes, wenn die Vorstände endlich anfangen, auf ihre CISOs zu hören?

Warum ist OT gefährdet?

Die OT-Sicherheit ist nicht generell schlecht. Zu den häufigsten Mängeln gehören jedoch:

  • Ältere Geräte haben eine lange Lebensdauer und laufen oft mit veralteter Software, entweder aufgrund von Hardwarekompatibilitätsproblemen und/oder weil es schwierig ist, sie zum Patchen offline zu nehmen.
  • Historische Ansätze zum Risikomanagement, die auf der Trennung von OT-Systemen vom öffentlichen Internet beruhten, scheitern nun, da Systeme zunehmend mit der IT konvergieren und mit Konnektivität ausgestattet werden.
  • Verzerrte Prioritäten, die Verfügbarkeit und Sicherheit über Sicherheit stellen

Infolgedessen bleiben viele OT-Umgebungen ohne wichtige Updates, verwenden veraltete, unsichere Kommunikationsprotokolle und verfügen über flache, unsegmentierte Netzwerke. Möglicherweise fehlt auch der Einblick in die OT-Ressourcen und die Authentifizierung ist schwach, beispielsweise durch statische Passwörter an den Endpunkten.

Sicherheitsprobleme wie diese wurden bekanntlich ausgenutzt von Chinesische Bedrohungsakteure um sich in US-CNI-Netzwerken zu positionieren, mit dem Ziel, im Konfliktfall zerstörerische Angriffe zu starten. Laut March McLennan waren die Sektoren, die in den letzten zehn Jahren am häufigsten von OT-Verstößen betroffen waren,

  • Gesundheitswesen (27%)
  • Bauwesen (27 %)
  • Herstellung (16%)
  • Gebäudeautomation: (3%)
  • Versorgungsunternehmen: (2%)

Was der Bericht sagt

Um die Zahl für das OT-Risiko zu ermitteln – vermutlich das erste Mal, dass finanzielle Risiken auf diese Weise gemessen wurden –, nutzte Marsh McLennan Daten aus einer der weltweit größten Datenbanken für Versicherungsansprüche. Darüber hinaus wurden Daten unabhängiger Dritter, Berichte zur Versicherbarkeit und Berichte zur Wiederherstellung nach Verstößen für den Zeitraum 2014 bis 2024 analysiert.

Neben dem Worst-Case-Szenario von OT-Cyber-Vorfällen, die jährlich ein finanzielles Risiko von fast 330 Milliarden US-Dollar verursachen, weist der Bericht darauf hin, dass Vorfälle, die zu Betriebsunterbrechungsansprüchen führen, Verluste von 172 Milliarden US-Dollar verursachen können. Interessanterweise sind viele dieser Verluste auf indirekte Kosten zurückzuführen, die bei der Risikomodellierung oft nicht berücksichtigt werden. Rund 70 % der OT-Verstöße verursachen diese Kosten, die durch damit verbundene Betriebsunterbrechungen und übermäßig vorsichtige Abschaltungen entstehen.

„Die Komplexität vernetzter OT-Systeme kann in diesen Umgebungen häufig zu einem sich verschärfenden Gesamtrisiko führen“, heißt es in dem Bericht.

 Ein Anliegen der Führungsebene

Laut Dragos hatten Unternehmen in der Vergangenheit Schwierigkeiten, OT-Risiken zu managen, weil:

  • Sie konnten das finanzielle Risiko im Zusammenhang mit bestimmten Vorfällen nicht beziffern
  • Sie konnten die Wirksamkeit der OT-Sicherheitskontrollen nicht messen
  • Ihnen fehlten unabhängige Benchmarks, die ihnen Aufschluss darüber gaben, welche Kontrollen am wichtigsten sind und warum

Dank des Berichts verfügen sie nun über einen besseren Einblick. Er hebt die folgenden fünf Maßnahmen als die wirksamsten hervor, um „die Wahrscheinlichkeit und das Ausmaß finanzieller Verluste“ durch einen OT-Verstoß zu verringern:

  • Reaktionspläne für Vorfälle
  • Verteidigbare Architektur
  • Netzwerktransparenz und -überwachung
  • Sicherer Fernzugriff
  • Risikobasiertes Schwachstellenmanagement

Phil Tonkin, CTO von Dragos Field, erklärt, dass der Aufbau einer vertretbaren Architektur mit einem Verständnis der physikalischen Prozesse und sicherheitskritischen Systeme beginnen muss, auf denen industrielle Abläufe basieren.

„Eine verteidigungsfähige Architektur in der OT muss so konzipiert sein, dass sie gezielten Angriffen, versehentlichen Störungen und anderen Ausfällen standhält. Das bedeutet, Kontrollnetzwerke von Unternehmenssystemen zu isolieren, strenge Zugriffskontrollen für Remote-Konnektivität durchzusetzen und die Transparenz aller Assets und Kommunikationswege sicherzustellen“, erklärt er gegenüber ISMS.online.

„Es erfordert auch, Systeme mit Blick auf die Widerstandsfähigkeit zu entwickeln. Das bedeutet, dass selbst im Falle einer Sicherheitsverletzung die Auswirkungen begrenzt bleiben und eine schnelle Wiederherstellung möglich ist. Die Architektur muss die betrieblichen Realitäten jedes industriellen Steuerungssystems widerspiegeln – nicht nur die theoretischen Modelle der IT-Sicherheit. Es geht darum, Vertrauen in die Infrastruktur selbst zu schaffen.“

Der nächste Schritt

Ausgestattet mit überzeugenden Daten wie denen aus dem Dragos-Bericht haben OT-Sicherheitsverantwortliche eine großartige Gelegenheit, strategische Diskussionen mit der Geschäftsleitung darüber zu beginnen, wie die Betriebssicherheit am besten verbessert werden kann.

„Der nächste Schritt besteht darin, betriebliche Schwachstellen in die Geschäftssprache zu übersetzen und aufzuzeigen, wie ein kompromittiertes Kontrollsystem zu Produktionsausfällen, Sicherheitsvorfällen oder regulatorischen Risiken führen kann. Führungskräfte können dieses Risiko nun quantifizieren und aufzeigen, wie es durch gezielte Kontrollen reduziert wird“, sagt Tonkin.

Dies ermöglicht es ihnen, sich für gezielte Investitionen einzusetzen, nicht nur für umfassende Sicherheitsausgaben. Es ermöglicht zudem eine sinnvollere Zusammenarbeit zwischen Betriebs-, Finanz- und Risikoteams. Ziel ist es, von reaktiven Abwehrsystemen zu proaktiver Resilienz überzugehen – die OT-Sicherheit in die allgemeine Risikoposition und den Entscheidungsrahmen eines Unternehmens einzubetten.

Best-Practice-Standards können dabei helfen, insbesondere ISO 62443, das speziell für industrielle Automatisierungs- und Steuerungssysteme entwickelt wurde. Entscheidend sei, die Standards „aus der Perspektive der OT“ anzuwenden, so Tonkin.

„Wenn diese Standards sorgfältig angepasst werden, können sie OT-Teams dabei helfen, einen strukturierten Ansatz für das Risikomanagement zu entwickeln“, schließt er.

„Für Sicherheitsteams und das Management war es oft schwierig, diese Frameworks mit messbaren Ergebnissen zu verknüpfen. Doch jetzt können wir sehen, wie spezifische OT-Kontrollen, wie die Planung der Reaktion auf Vorfälle und die Netzwerktransparenz, direkt mit der Reduzierung finanzieller Risiken korrelieren.“