beebright - stock.adobe.com
Cybergefahr: So sichern Sie OT-Daten kritischer Infrastruktur
Operational-Technology-Systeme speichern geschäftskritische Daten. Diese müssen so gesichert sein, dass sie bei einem Cyberangriff nicht verloren oder schnell wieder verfügbar sind.
Kritische Infrastrukturen werden permanent von Cyberangriffen bedroht. Alle Daten, die auf Operational-Technologie-Systemen (OT) gespeicherten, sollten daher besonders gesichert werden. Denn diese aus Hard- und Software bestehenden OT-Systeme sind mitentscheidend, um die Infrastruktur zu überwachen und zu kontrollieren.
OT-Daten sind die Grundlage für kritische Betriebsbereiche - eine Verletzung von OT-Systemen kann zentrale Geschäftsprozesse gefährden und kritische Daten offenlegen. Viele Betreiber konzentrieren sich darauf, diese Daten mit einer Reihe von Sicherheitskontrollen und -Technik vor Angriffen zu schützen und so die Wahrscheinlichkeit eines erfolgreichen Einbruchs zu verringern.
Die groß angelegten Angriffe auf JBS oder Colonial Pipeline haben bewiesen, dass es den Akteuren immer häufiger gelingt, diese Schutzebenen zu umgehen. Daher sollten Betreiber kritischer Infrastrukturen ihre Strategien erweitern und Mechanismen etablieren, mit denen sie die Folgen von Cyberattacken stark eingrenzen können. In der Praxis bedeutet dies, dass die Betreiber in der Lage sein sollten, den Geschäftsbetrieb wieder aufzunehmen, während sie sich gleichzeitig mit den Auswirkungen eines erfolgreichen Ransomware-Angriffs beschäftigen.
Eine jüngst von Cohesity global durchgeführte Umfrage ergab aber, dass die Sicherung und der Schutz von Daten nur für etwas mehr als die Hälfte der mehr als 2.000 IT-Entscheidungsträger Priorität haben. Nur bei vier von zehn befragten SecOps-Entscheidern hatte Datensicherung hohes Gewicht.
Dabei sollten insbesondere Betreiber kritischer Infrastrukturen aktiver werden und einen besseren Überblick über ihre IT- und OT-Systeme gewinnen und deren Daten sichern, um insbesondere ausgefeilte Attacken aufspüren zu können.
Die größte Herausforderung für die beteiligten Teams aus den Lagern IT-Infrastruktur und Sicherheit liegt darin, wichtige Daten zu sichern und zugleich zu garantieren, dass die beteiligten Systeme und Prozesse störungsfrei weiterlaufen können. Dies ist entscheidend, unabhängig davon, wo Daten gespeichert sind.
Die Angriffsfläche einer Organisation wird dabei durch seine geschäftskritischen Daten definiert. Cyberangreifer konzentrieren sich in der Regel auf diese wichtigen Daten und die daran beteiligten Prozesse, um gezielt Schaden anzurichten. Denn gelingt es ihnen, diese Daten zu korrumpieren, können sie sehr hohe Verluste und Umsatzeinbußen verursachen.
Um die Folgen dieser Attacken gering zu halten, ist es von großer Bedeutung, dass die verschiedenen Teams im Unternehmen zusammenarbeiten, um einer solch hochentwickelten Cyberbedrohungen zu trotzen. So sollten IT- und SecOps ein gemeinsames geschlossenes Sicherheitskonzept entwickeln, das darauf ausgerichtet ist, Einbrüche so gut es geht zu verhindern. Zeitgleich sollten beide Teams gemeinsame Taktiken entwickeln, wie sich die Folgen einer erfolgreichen Attacke schnell eindämmen lassen. Dies setzt allerdings voraus, dass Unternehmen Prozesse, Richtlinien und Sicherheitskontrollen implementieren, die den Schutz und die Wiederherstellung von Daten im Falle eines Cyberangriffs priorisieren.
Moderne Datenverwaltungsplattformen, die nach den Grundsätzen von Zero Trust aufgebaut sind, können sehr effektiv sein. Sie schaffen einen Überblick über die Datenlandschaft und die Angriffsfläche, helfen, Anomalien zu erkennen und legen die Daten auf Immutable Storage ab, wo sie unveränderbar gespeichert sind. Auf diese Weise können Betreiber kritischer Infrastrukturen ein höheres Niveau an Cyberresilienz gewinnen.
OT-Daten überblicken und priorisieren
Betreiber kritischer Infrastrukturen sollten klar definieren, welche Daten und Systeme essenziell sind, um den Betrieb weiterlaufen lassen zu können. Auf dieser Grundlage lassen sich eine Reihe wichtiger Fragen beantworten. So erkennt man, wie sensibel manche Daten sind. Und so kann bestimmt werden, welche Folgen drohen, wenn Daten gestohlen werden. Unter dem Strich lässt sich so der Schutzaufwand für diese Daten ermitteln, den die Organisation benötigt.
Die Betreiber kritischer Infrastrukturen haben erkannt, dass OT und IT für sich und im Zusammenspiel miteinander vital sind, um Cyberresilienz zu erzielen. Dahinter verbirgt sich das wichtige Ziel, den Betrieb weiterzufahren und Business Outcomes zu generieren, auch wenn gerade eine Attacke läuft.
Dies sollte das Ziel aus Sicherheitssicht sein - anstatt zu fragen, ob bestimmte Compliance-Standards eingehalten werden. Daraus lassen sich klare Anforderungen ableiten, die ein Sicherheitskonzept erfüllen muss, um sicherzustellen, dass Unternehmen auch während eines Cyberangriffs weiterarbeiten kann.
„Das Verständnis der eigenen Kernsysteme und der Art und Weise, wie Daten zur Unterstützung von Kerngeschäftsprozessen verwendet werden, ist eine entscheidende Komponente, um die Angriffsfläche gegen Cyberattacken zu verkleinern.“
Brian Spanswick, Cohesity
Folgende Fragen helfen dabei, diese Kriterien enger zu fassen: Lassen sich bestimmte Dateien einzeln wiederherstellen oder müssen die Teams eine vollständige Wiederherstellung durchführen? Wie lange dauert der Prozess in der Praxis? Können die Teams auf tatsächlich saubere, weil Immutable Backups mit zeitrelevanten Snapshots zurückgreifen? Sind Daten während der Übertragung und im Ruhezustand verschlüsselt? Testen die Teams Backups anhand der angestrebten Wiederherstellungszeit (RTO) und des Wiederherstellungspunkts (RPO)?
Bei den großen Vorfällen lautet die häufigste Frage an den CISO: Haben wir eine Sicherungskopie unserer Daten? Früher war das richtig, denn Backups boten einen guten Schutz gegen das versehentliche Löschen von Daten durch einen Benutzer, eine große Katastrophe oder sogar einige frühe Ransomware-Angriffe.
Heute sollte die Frage anders lauten: Wie schnell können die wichtigsten befallenen Geschäftsprozesse wiederhergestellt werden? Eine Antwort auf diese Frage, die mit den Zielen des Unternehmens übereinstimmt, bestätigt dann den jeweiligen Stand der Cyberresilienz.
Betreiber kritischer Infrastrukturen müssen, um diese Frage beantworten zu können, genau verstehen, wo sich ihre kritischen Daten befinden, wie sie gespeichert werden und wie sie ihre Systeme durchlaufen. Das Verständnis der eigenen Kernsysteme und der Art und Weise, wie Daten zur Unterstützung von Kerngeschäftsprozessen verwendet werden, ist eine entscheidende Komponente, um die Angriffsfläche gegen Cyberattacken zu verkleinern.
Anbieter wie Cohesity helfen, Daten unabhängig vom Standort zu verwalten, zu sichern und vor allem schnell wiederherzustellen - unabhängig davon, ob es sich um IT, OT oder beide handelt. Dies wiederum hilft den Firmen, ihre Cyberresilienz zu stärken und selbst im Ernstfall den Betrieb fortzuführen.
Über den Autor: Brian Spanswick ist Chief Information Security Officer (CISO) und Leiter der IT-Abteilung von Cohesity.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
