Entschlüsselung der neuen Leitlinien des NCSC für Cloud-gehostetes SCADA ISMS.online

Entschlüsselung der neuen Leitlinien des NCSC für Cloud-gehostetes SCADA

Von John Leyden • 28. Mai 2024

Operational Technology (OT)-Systeme überwachen und steuern automatisch Prozesse und Geräte, von Kraftwerken bis hin zu intelligenten Krankenhäusern. Ausfälle oder Fehlfunktionen in der OT stellen physische Gefahren dar, die in IT-Systemen nicht vorkommen. Bei ersterem stehen Sicherheit, Zuverlässigkeit und Verfügbarkeit im Vordergrund.

Deshalb neu Leitlinien des National Cyber Security Center (NCSC). wurde allgemein begrüßt. Es soll OT-Organisationen dabei helfen, die Eignung verschiedener Cloud-Plattformen für das Hosting ihrer SCADA-Systeme (Supervisory Control and Data Acquisition) zu ermitteln.

Warum SCADA-Sicherheit wichtig ist

Sicherheitsverletzungen in OT-Systemen wie SCADA können zur Nichtverfügbarkeit des Systems und zur Offenlegung sensibler Daten führen. Hackerangriffe auf Industrieanlagen haben zu Stromausfällen geführt Ukraine, behindertengerechte Sicherheitssysteme bei a petrochemische Anlageund unbehandeltes Abwasser freigesetzt in Parks und Flüsse. Keiner dieser Angriffe beruhte auf dem Hacken cloudbasierter Kontrollen. Durch die Migration dieser Systeme in die Cloud können Unternehmen ihren Gegnern jedoch unbeabsichtigt einen weiteren Weg zur Kompromittierung bieten.

Dennoch ist die Cloud-Migration zunehmend das, was OT-Organisationen tun. Cloudbasierte SCADA-Kontrollen bieten mehrere Vorteile, darunter Skalierbarkeit zur Anpassung an sich ändernde Anforderungen, zentralisierte Authentifizierung für verbesserte Sicherheit, DDoS-Schutz vor weniger ausgefeilten Denial-of-Service-Angriffen und geringere Vorabkosten.

Ein zaghaftes Willkommen

Hier kommen die Leitlinien des NCSC ins Spiel. Sie legen Wert auf einen risikoorientierten Ansatz und berücksichtigen die einzigartigen Sicherheitsbedürfnisse und bestehenden Einschränkungen verschiedener Organisationen. Der Rat beschreibt Optionen, die von einem einfachen Standby-/Wiederherstellungs-Setup für die Anbindung vorhandener Anwendungen an neue Systeme, die in der Cloud ausgeführt werden, bis hin zum vollständigen Ersatz dieser vorhandenen Anwendungen durch cloudbasierte Alternativen reichen. Auf diese Weise bietet es einen allgemeinen Überblick darüber, was getan werden muss, um eine Cloud- oder SaaS-Lösung sicher zu nutzen.

Unabhängige Sicherheitsexperten, die von ISMS.online befragt wurden, lobten die Leitlinien als nützliche Roadmap und argumentierten, dass weitere Details zu spezifischen Sicherheitsmaßnahmen das Rahmenwerk stärken könnten.

„Eine Erweiterung der Best Practices für die Sicherheitsarchitektur wäre von Vorteil“, sagt Mayur Upadhyaya, CEO von APIContext, gegenüber ISMS.online. „Dies könnte Anleitungen zu auf SCADA-Systeme zugeschnittenen Netzwerksegmentierungsstrategien sowie robuste IAM-Protokolle (Identity and Access Management) umfassen, die speziell für diese kritischen Kontrollumgebungen entwickelt wurden.“

Upadhyaya fügt hinzu: „Darüber hinaus könnte eine detailliertere Analyse der Cyber-Bedrohungslandschaft speziell für Cloud-basiertes SCADA die Risikobewertungen verfeinern und als Grundlage für Abhilfestrategien dienen.“

Operationelle Risiken

Die Verlagerung SCADA-basierter Anwendungen in die Cloud verspricht eine einfachere Verwaltung der Infrastruktur und gleichzeitig eine Reduzierung des Overheads für interne IT-Teams. Dies muss jedoch neben Sicherheits- und Betriebsmanagementrisiken berücksichtigt werden. Dazu gehören laut Pat Gillespie, Leiter OT-Sicherheit bei GuidePoint Security, erhöhte Risiken durch Datenschutzverletzungen, unbefugten Zugriff, die Ausnutzung von Schwachstellen und Denial-of-Service-Angriffe.

„Cloud-Lösungen erhöhen die Latenz beim Zugriff auf Anwendungen, Datenbanken und Dienste“, sagt er gegenüber ISMS.online. Dies ist ein großes Problem, da SCADA-Steuerungen und industrielle Anwendungen auf Echtzeitdaten angewiesen sind.

Da Sicherheit und Verfügbarkeit für jedes SCADA-System höchste Priorität haben, führen ungeplante Ausfälle in der Cloud-Lösung, beim lokalen ISP oder einem dazwischen liegenden ISP zum Ausfall dieser Sicherheitssysteme.

Laut Gillespie können einige Risiken zumindest gemindert oder bewältigt werden.

„Es gibt Anwendungsfälle, in denen SCADA-Daten in der Cloud Unternehmen dabei helfen können, bessere Entscheidungen zu treffen, indem SCADA-Steuerungen, IIoT-Geräte oder industrielle Anwendungen Daten zur Datenanalyse in die Cloud übertragen“, erklärt er. „Im Falle einer hohen Latenz oder eines Ausfalls müssen die SCADA-Steuerungen jedoch in der Lage sein, ihre Prozesse und Funktionen auszuführen, um Sicherheit und Verfügbarkeit zu gewährleisten.“

Zu den weiteren Optionen gehört AWS Outpost, wo Unternehmen eine AWS-Instanz in einer lokalen Einrichtung hosten können, fügt Gillespie hinzu.

Ein sicherer Migrationspfad

„Organisationen müssen vorsichtig sein, auch wenn sie ihre aktuellen lokalen Probleme nicht einfach in die Cloud verlagern. Sie müssen durchatmen und sicherstellen, dass sie das neue Betriebsmodell vollständig annehmen“, sagt Mat Middleton-Leal, Geschäftsführer von Qualys EMEA, gegenüber ISMS.online.

Eine Reihe von Herausforderungen, die mit der Cloud-basierten Migration von OT-Kontrollen einhergehen, könnten auch Unvorsichtige zum Stolpern bringen, fügt Chris Doman, CTO von Cado Security, hinzu.

„Erstens unterscheidet sich die Cloud-Expertise von der SCADA-Expertise, daher ist ein gemeinsamer Ansatz erforderlich“, sagt er gegenüber ISMS.online. „Zweitens lassen sich ältere SCADA-Systeme möglicherweise nicht nahtlos in Cloud-native Lösungen integrieren. Schließlich kann die Implementierung granularer Zugriffskontrollen in älteren Umgebungen schwierig sein.“

Herkömmliche SCADA-Systeme werden beispielsweise typischerweise vor Ort ausgeführt und durch Techniken wie interne Firewalls und Air-Gapping geschützt. Wenn diese Systeme in die Cloud verlagert werden, müssen sie von Anfang an mit vollständig cloudnativen Sicherheitsmodellen implementiert werden.

„Dies kann problematisch sein, wenn diese Anwendungen und Systeme in Umgebungen ausgeführt werden, die nicht dieselben Sicherheitsmodelle erfordern, die bei Cloud-Bereitstellungen vorhanden sind“, erklärt Middleton-Leal von Qualys.

Eine gemeinsame Verantwortung

Auch die Verlagerung kritischer Infrastruktur in die Cloud erfordert aufgrund des Modells der gemeinsamen Verantwortung zwischen Cloud-Anbietern und Kunden eine sorgfältige Planung. Während der Cloud-Anbieter die Infrastruktur sichert, sind die Kunden für die Datensicherheit und Konfiguration verantwortlich.

Laut Doman von Cado Security erfordert die Sicherung kritischer Infrastruktur in der Cloud einen mehrgleisigen Ansatz.

Er argumentiert, dass eine Zusammenarbeit zwischen Cloud-Anbietern, Regierungsbehörden und Betreibern kritischer Infrastrukturen, Investitionen in Cloud-Expertise innerhalb kritischer Infrastrukturorganisationen und die Modernisierung älterer SCADA-Systeme zur Verbesserung der Integration mit Cloud-Lösungen erforderlich seien.

Standards einhalten

Laut Upadhyaya von APIContext bieten ISO-Standards wie ISO 27001 (Informationssicherheitsmanagement) und IEC 62443 (Sicherheit für industrielle Automatisierungs- und Steuerungssysteme) wertvolle Rahmenbedingungen für das Management von OT-Risiken in der Cloud.

„Diese Standards bieten strukturierte Sicherheitsansätze und legen Richtlinien für die Einrichtung und Aufrechterhaltung eines robusten Sicherheitsmanagementsystems fest“, erklärt Upadhyaya.

„Dazu gehören Strategien zur Risikobewertung und -minderung, die speziell an Cloud- und OT-Umgebungen angepasst werden können. Allerdings sollten Unternehmen bedenken, dass ISO-Standards anpassbare Rahmenwerke und keine Einheitslösung bieten.“

Der Erfolg von Unternehmen bei der sicheren Migration ihrer SCADA-Lösungen in die Cloud hängt möglicherweise von ihrer Fähigkeit ab, solche Richtlinien an ihre individuellen Anforderungen anzupassen.

John Leiden

John Leyden schreibt seit mehr als 20 Jahren über Computernetzwerke und Cybersicherheit. Vor dem Aufkommen des Internets arbeitete er als Kriminalreporter bei einer Lokalzeitung in Manchester. John hat einen Abschluss in Elektrotechnik von der City, University of London.

Lesen Sie mehr von John Leyden

Datenschutz 22 August 2024

Unternehmen werden aufgefordert, die sich schnell entwickelnden KI-Vorschriften zu verfolgen

Unternehmen müssen sich an die sich rasch entwickelnden KI-Vorschriften halten

Künstliche Intelligenz (KI) verändert den Informationstechnologiesektor in schwindelerregendem Tempo. KI hat Anwendungen, einschließlich Daten, verändert ...

John Leiden

Internet-Sicherheit 20 Juni 2024

Warum Anbieter Schwierigkeiten haben könnten, die Dynamik von „Secure by Design“ aufrechtzuerhalten

Warum es Anbietern schwerfallen könnte, die Dynamik von „Secure by Design“ aufrechtzuerhalten

Zahlreiche Technologieanbieter haben sich der von der US-Regierung unterstützten „Secure by Design“-Verpflichtung angeschlossen. Doch stellt diese Verpflichtung einen Bruch mit der Vergangenheit dar?

John Leiden

Internet-Sicherheit 9 April 2024

So halten Sie die Vorschriften zu biometrischen Daten ein

KI-gestützte Gesichtserkennungstechnologie erfreut sich bei Unternehmen, die Zugangskontrollen optimieren und die Sicherheit verbessern möchten, zunehmender Beliebtheit.

John Leiden