Risikobasierter Sicherheitsansatz für Unternehmen

Security-Update

In einer Welt, in der ständig neue Bedrohungen auftauchen und Schwachstellen identifiziert werden, müssen Unternehmen einen klaren Überblick über ihre betriebliche Sicherheitslage und einen realisierbaren Aktionsplan haben, um diese kontinuierlich zu verbessern. Security Posture Assessments (SPA) haben sich zu einem De-facto-Standard in der Branche entwickelt. Die Durchführung effektiver und effizienter regelmäßiger SPAs ist ein wichtiger erster Schritt, um die Reife und damit die Widerstandsfähigkeit des Unternehmens zu verbessern.
 Ein risikogestützter Ansatz für die digitale OT- und Cybersicherheit trägt zur geschäftlichen und betrieblichen Resilienz bei.
Ein risikogestützter Ansatz für die digitale OT- und Cybersicherheit trägt zur geschäftlichen und betrieblichen Resilienz bei.Bild:©photon_photo/stock.adobe.com

Zentral ist dabei ein grundlegender Aspekt der OT-Sicherheit: der betrieblichen Sicherheitshaltung (Operational Security Posture). Es geht darum, die Grenzen aktueller Ansätze zu überprüfen und ein Rahmenwerk zur Verbesserung, Skalierung und Rationalisierung der digitalen Sicherheit und Cybersicherheitslage von OT-Umgebungen durch Bewertungen, Planung und Implementierung unter Verwendung eines kontinuierlichen risikobasierten Ansatzes zu skizzieren.

Was ist eine Security Posture?

Das National Institute of Standards and Technology (NIST) definiert Security Posture, also so etwas wie Sicherheitshaltung, -lage oder -position, als „den Sicherheitsstatus der Netzwerke, Informationen und Systeme eines Unternehmens auf der Grundlage der vorhandenen Informationssicherheitsressourcen und -fähigkeiten, um die Verteidigung des Unternehmens zu verwalten und auf eine veränderte Situation zu reagieren“. Es ist keine Überraschung, dass sich die Bewertung der digitalen OT-Sicherheit auf den Posture-Teil des Prozesses konzentrieren muss. In den meisten Fällen werden bei der Bewertung die Geschäftsressourcen eines Unternehmens untersucht, ohne die Gefährdungen und Sicherheitskontrollen wie die Segmentierung zu ermitteln. Wenn es jedoch um OT geht, kann jede Anlage oder jedes System eine Vielzahl von Subsystemen haben (jedes mit seiner eigenen IP-Adresse und seinem eigenen Software-Stack). Netzwerke erstrecken sich oft bis tief in die Lieferkette des Unternehmens, was die Messung der Sicherheitslage zu keiner einfachen Aufgabe macht. Ein einheitliches Risikomodell führt zu einem besseren Verständnis der Bereitschaft eines Unternehmens, digitale OT- und Cybersicherheitsbedrohungen zu bewältigen. Industriestandard-Metriken in Kombination mit firmeneigenen Algorithmen und fundiertem Fachwissen kommen hierbei zum Einsatz, um die Grundlage für ein einfaches, aber robustes Risikomodell zu schaffen, das in verschiedenen Bewertungsszenarien eingesetzt werden kann.

Vorteile der risikobasierten Entschärfung der Sicherheitslage

Risikobasierte Ansätze skalieren operative digitale Sicherheitsinitiativen und reduzieren gleichzeitig den Zeit- und Kostenaufwand für kurz- und langfristige TCO. Bei der Risikobewertung wird die Sicherheitslage eines Unternehmens berücksichtigt und in einen Zusammenhang mit den Bedrohungen für die digitale OT-Sicherheit gebracht. Eine Bedrohung der Cybersicherheit oder eine digitale Fehlkonfiguration ist ein Ereignis oder eine Folge von Ereignissen, die wahrscheinlich Schwachstellen in der Sicherheitslage eines Unternehmens ausnutzen oder einen potenziellen Absturz verursachen. Das Risiko ist also eine Funktion sowohl der Bedrohung als auch der Sicherheitslage. Ein wichtiger Faktor im Bewertungsprozess ist die angemessene Kategorisierung des Risikos für verschiedene Branchen. Die Modellierung von Bedrohungen kann beispielsweise in der Energiewirtschaft anders aussehen als in einer automatisierten Fertigungsstraße. Sie kann auch je nach Region und Produktionsverfahren variieren. Eine solche Kategorisierung kann die Wahrscheinlichkeit bestimmter Cyberangriffsszenarien und die Wahrscheinlichkeit von Auswirkungen auf der Grundlage von Exposition und Schwachstellen berücksichtigen. Auf diese Weise können Unternehmen besser auf branchenspezifische Risiken vorbereitet sein. In der IT-Cybersicherheitsbranche wird seit langem die Auffassung vertreten, dass eine wirksame Priorisierung von Maßnahmen, die sich aus einer Lagebeurteilung ergeben, von der Berechnung eines Risikoindikators abhängt. Ein risikobasierter Ansatz für die Priorisierung ist ein iterativer Prozess, bei dem sich die Fachleute fragen müssen: Welches sind die minimalen Abhilfemaßnahmen, die eine maximale Risikominderung für eine bestimmte Anlage oder das gesamte Unternehmen bewirken?

Sobald diese minimalen Abhilfemaßnahmen implementiert sind, wird die Frage wiederholt, um weitere Maßnahmen zu identifizieren, die durchgeführt werden müssen. Dieser Prozess ermöglicht es den Betriebs- und Sicherheitsteams, sich auf die Schwachstellen, Lücken und Gefährdungen zu konzentrieren, die am ehesten ausgenutzt werden und dem Unternehmen den größten Schaden zufügen können. Nur durch die wiederholte Durchführung dieser Schleife lässt sich Resilienz, also die Widerstandsfähigkeit des Unternehmens erreichen – und das mit einer begrenzten Menge an Ressourcen.

Da die Prozesse zur Bewertung der Sicherheitslage keine kontinuierliche Überwachung der Bedrohungen beinhalten, insbesondere, wenn diese nur sporadisch auftreten, benötigen die Anwender Tools, mit denen sie OT-Sicherheitsrisikoszenarien auf der Grundlage eines „Was-wäre-wenn“-Ansatzes erstellen können. Diese Art der Bedrohungssimulation ermöglicht es dem System, Risiken zu modellieren, auch wenn keine laufende Überwachung stattfindet. Fachexperten erstellen Risikoszenarien, die auf die Prozesse und die Anlageninfrastruktur des Unternehmens angewendet und in den Unternehmenskontext eingeordnet werden können. Solche Risikoszenarien ermöglichen nicht nur die Festlegung von Prioritäten bei der Risikominderung, sondern können auch dazu verwendet werden, Probleme mit der Netzwerktopologie und -segmentierung zu identifizieren, einschließlich Angriffsvektoren und OT-Exposition nach außen.

Risikoreduzierung zur Routine machen

Ein risikogestützter Ansatz für die digitale OT- und Cybersicherheit trägt erheblich zur geschäftlichen und betrieblichen Resilienz bei. Der Prozess wird durchgeführt, ohne dass eine ständige Überwachung der Bedrohungen erforderlich ist. Das Endergebnis ist eine nach Prioritäten geordnete Liste von SPAs (Security Posture Assessments), die durchgeführt werden müssen, um das Risiko von Schäden durch Cybersicherheitsvorfälle für das Unternehmen zu verringern. Dieser Prozess umfasst:

Seiten: 1 2Auf einer Seite lesen

Das könnte Sie auch Interessieren

Bild: Gorodenkoff - stock.adobe.com
Bild: Gorodenkoff - stock.adobe.com
Konkrete Vorteile durch TSN für die Industrie

Konkrete Vorteile durch TSN für die Industrie

Das Potenzial von transformativen Digitaltechnologien gemäß Industrie 4.0 ist in der Industrie unumstritten. Allerdings ist das damit verbundene große Datenaufkommen ein zweischneidiges Schwert: Einerseits bergen diese Datenmengen ein Potenzial, das in Form wertvoller Informationen zur Prozessoptimierung verwendet werden kann. Andererseits drohen diese Datenmengen, sofern sie nicht gut gehandhabt werden, zu einer Datenflut anzuwachsen, die Unternehmen überfordert und somit mehr Probleme schafft, als sie löst.

Bild: B&R Industrie-Elektronik GmbH
Bild: B&R Industrie-Elektronik GmbH
„Gleiche Stellfläche – Leistung verdoppelt“

„Gleiche Stellfläche – Leistung verdoppelt“

Die Digitalisierung schreitet auch bei Maschinen und Anlagen für den Medizin- und Pharmabereich rasch voran. Viele Anbieter in dieser Branche suchen nach Möglichkeiten, arbeitsintensive Prozesse produktiver und flexibler zu gestalten, ohne zusätzliche Stellfläche schaffen
zu müssen. Wie sich solche Herausforderung meistern lassen, erklärt Lazaros Patsakas, Experte für Medical
Device Assembly (MDA) und adaptive Fertigung bei B&R.