Schutz kritischer Infrastrukturunternehmen
IT-Sicherheit zur Verhinderung von Betriebsstörungen nutzen
Betreiber kritischer Infrastrukturen bilden das Rückgrat der modernen Gesellschaft – und das macht sie zu Hauptzielen für Cyberangriffe. Im Gegensatz zu anderen Branchen wollen Cyberkriminelle und Nationalstaaten, die Angriffe auf diese Organisationen starten, selten Daten stehlen. Stattdessen wollen sie Betriebsstörungen verursachen, die wirtschaftlichen Schaden anrichten und schwerwiegende Folgen für Millionen von Menschen haben.
Angriffe auf Betreiber kritischer Infrastrukturen nehmen zu. Im Jahr 2023 erklärte der CIO der Transportation Security Administration (TSA), dass die steigende Zahl von Cyberangriffen auf die US-Infrastruktur und die zunehmenden Cyberfähigkeiten ausländischer Gegner bedeuteten, dass wir in einen Cyberkrieg eingetreten seien. Tatsächlich wurden Angriffe auf US-amerikanische Transport-, Wasser- und Energiebetriebe mit staatlich unterstützten Cyberkriminellen in Verbindung gebracht.
Im Jahr 2024 teilte die US-Umweltschutzbehörde (EPA) die Einschätzung der TSA und stellte fest, dass „jüngste aufsehenerregende Vorfälle in Wassersystemen die Dringlichkeit verdeutlicht haben, die erforderlich ist, um Schwachstellen in der Cybersicherheit und Anfälligkeiten gegenüber physischen Angriffen zu beheben.“ Im selben Jahr warnte die North American Electric Reliability Corporation (NERC), eine gemeinnützige internationale Regulierungsbehörde, dass die US-Stromnetze zunehmend anfällig für Angriffe werden, wobei die Zahl der anfälligen Punkte in den Stromnetzen täglich um etwa 60 zunimmt.
In den letzten Jahren wurde deutlich, dass selbst kleine Sicherheitslücken in scheinbar unabhängigen IT-Systemen massive betriebliche Konsequenzen haben können.
Colonial Pipeline: Der Angriff auf Colonial Pipeline im Jahr 2021 war relativ einfach: Die Angreifer nutzten kompromittierte VPN-Zugangsdaten, um Daten zu stehlen und Ransomware in IT-Systemen, einschließlich Abrechnungs- und Buchhaltungssystemen, einzusetzen. Entweder um die Ausbreitung des Angriffs zu verhindern oder um Abrechnungsprobleme bei der Treibstoffverteilung zu vermeiden, stellte Colonial Pipeline den Betrieb ein. Und das löste eine Panik aus, als die Menschen, die durch die Schlagzeilen alarmiert wurden, in Eile Benzin kauften.
Oldsmar, Florida, Wasseraufbereitung: Früher im selben Jahr hatte jemand aus der Ferne auf kritische Systeme einer Wasseraufbereitungsanlage in der Kleinstadt Oldsmar, Florida, zugegriffen und die Laugenkonzentration im Trinkwasser kurzzeitig verändert. Obwohl ein Anlagenbetreiber die Änderung schnell rückgängig gemacht hat und niemand zu Schaden kam, verdeutlicht der Vorfall, wie ein Cyberangriff die Gesundheit und das Wohlergehen von Mitgliedern der Gemeinschaft beeinträchtigen kann.
Diese Arten von Angriffen erfordern eine Änderung der Art und Weise, wie IT-Cybersicherheitsteams den Betrieb unterstützen. In der Vergangenheit waren viele IT-Sicherheits- und OT-Teams getrennt. Die IT-Sicherheit konzentrierte sich auf die Abwehr von Cyberbedrohungen, während die OT darauf abzielte, die Systeme betriebsbereit zu halten.
Moderne Bedrohungen der Cybersicherheit erfordern, dass IT-Sicherheitsteams ihre Rolle erweitern. Sie müssen eine vollständige Palette von Cybersicherheitsfunktionen auf OT anwenden, um verheerende Störungen zu verhindern.
Warum operative Technologie auf die IT-Sicherheit anwenden?
IT- und OT-Systeme begannen vor mehr als einem Jahrzehnt zu konvergieren. Die Implementierung von industriellen IoT-Sensoren, Fernüberwachungssystemen und cloudbasierten Analysen hat IT- und OT-Umgebungen miteinander verbunden.
Diese Verbindung ermöglicht betriebliche Effizienz, schafft aber auch neue Wege für Gegner. Wie der Angriff auf die Colonial Pipeline gezeigt hat, müssen Angreifer nicht mehr ein industrielles Kontrollsystem kompromittieren, um eine schwerwiegende Betriebsstörung zu verursachen. Ein kompromittierter Laptop bietet jetzt einen Zugang zu diesem industriellen Kontrollsystem. Ein falsch konfigurierter Cloud-Dienst kann SCADA-Netzwerke (Supervisory Control and Data Acquisition) offenlegen.
Die Anwendung von IT-Sicherheitsfunktionen auf OT ist unerlässlich, um diese Angriffswege zu blockieren. Dennoch haben zu wenige kritische Infrastrukturen einen einheitlichen Ansatz umgesetzt, der Cybersicherheitsfunktionen zum Schutz sowohl von IT als auch von OT verwendet.
Das Potenzial, für einige Tage der Störung Zehnmillionen von Dollar zu verlieren, macht ein starkes wirtschaftliches Argument dafür, diesen einheitlichen Ansatz sofort umzusetzen. Eine Sicherheitsplattform, die nur einen Tag ungeplante Ausfallzeiten verhindert, macht sich oft bereits beim ersten Zwischenfall bezahlt.
„Betreiber kritischer Infrastrukturen sollten IT-Sicherheit als eine Form der betrieblichen Versicherung betrachten, nicht nur als Datenschutz.“
Drei-Schritte-Strategie zur Anwendung von IT-Sicherheit auf Betriebstechnologie
Um den Betrieb mit IT-Sicherheit zu schützen, erfordern die meisten Organisationen kritischer Infrastrukturen eine dreistufige Strategie. Indem Sie mit dringenden Bedürfnissen beginnen und dann Best Practices sowie ein risikobasiertes Rahmenwerk befolgen, können Sie Bedrohungen jetzt und in Zukunft bewältigen.
Adressierung von Risiken mit hoher Priorität
Die Neutralisierung von Phishing-Systemen sollte eine Ihrer obersten Prioritäten sein. Viele Cyberangriffe — auf Betreiber kritischer Infrastrukturen und andere Organisationen — beginnen mit Phishing. Angreifer versuchen, Benutzer dazu zu verleiten, Anmeldedaten für Unternehmenssysteme einzugeben oder auf Links zu klicken, die Schadsoftware herunterladen und über das Firmennetzwerk verbreiten.
Die Bekämpfung von Phishing erfordert häufig mehrere integrierte Lösungen. Zum Beispiel kann der Einsatz einer E-Mail-Sicherheitslösung verhindern, dass Phishing-E-Mails im Posteingang der Nutzer landen. Und der Einsatz einer Secure Web Gateway (SWG)-Lösung kann verhindern, dass Nutzer auf bösartige Websites gelangen, selbst wenn sie dazu verleitet werden, auf einen bösartigen Link in einer E-Mail oder Nachricht zu klicken.Implementierung grundlegender Best Practices für die Cybersicherheit
Sobald Sie die dringendsten Bedürfnisse erfüllt haben, ist es an der Zeit, einen umfassenderen Ansatz zu implementieren, der es Ihnen ermöglicht, Schwachstellen zu identifizieren und zu mindern, Systeme und Daten zu schützen, Bedrohungen zu erkennen und schnell auf Angriffe zu reagieren.
Identifizieren: Ihr IT-Sicherheitsteam sollte alle Schwachstellen finden und beheben, die es Angreifern ermöglichen könnten, den Betrieb zu stören.
Beispielsweise werden technische Workstations häufig von Angreifern ins Visier genommen, weil sie sowohl auf Unternehmensanwendungen als auch auf industrielle Steuerungsstationen zugreifen. Diese Workstations führen typischerweise spezialisierte Engineering-Software mit erweiterten Berechtigungen und gelockerten Sicherheitskontrollen aus. Die IT-Sicherheit kann die Angriffskette durch den Schutz von technischen Arbeitsstationen mit Mikrosegmentierung unterbrechen. Anstatt Arbeitsstationen als vertrauenswürdige Brücken zwischen Netzwerken zu behandeln, sollten Sie eine Sicherheitsplattform verwenden, die jede Verbindung überwacht, jede Kommunikation validiert und verdächtige Aktivitäten sofort isoliert.
Sicherheitsteams müssen auch potenzielle Schwachstellen in öffentlich zugänglichen Anwendungen angehen, die häufig die ersten Einstiegspunkte für Angriffe darstellen. Die Implementierung einer Web Application Firewall (WAF) kann dazu beitragen, Bedrohungen in Echtzeit zu blockieren und gleichzeitig die Betriebskontinuität aufrechtzuerhalten.
Schützen: Um schwerwiegende Betriebsstörungen zu vermeiden, sind eine Stärkung der Zugriffskontrolle und eine Verbesserung des Datenschutzes unerlässlich.
Der Übergang zu einem Zero-Trust-Sicherheitsmodell ermöglicht es Ihnen, unbefugten Zugriff auf IT-Systeme zu verhindern, der zu Betriebsstörungen führen kann. Mit einer Zero Trust-Netzwerkzugang-Lösung können Sie sicherstellen, dass nur die richtigen Benutzer mit der richtigen Autorisierung auf bestimmte Anwendungen zugreifen können. Dies kann dazu beitragen, jegliche laterale Bewegung von Angreifern innerhalb Ihrer Umgebung zu verhindern, die das Netzwerk scannen.
Erkennen: IT-Sicherheitsteams müssen neue Bedrohungen vorhersehen, damit sie die richtigen Präventivmaßnahmen ergreifen können.
Der Einsatz einer fortschrittlichen Cybersicherheitsplattform ermöglicht es Ihnen, Angriffsmuster in globalen Netzwerken zu analysieren und Kampagnen zu erkennen, die auf bestimmte Industriesektoren oder Anbieter von Kontrollsystemen abzielen. Diese Bedrohungsdaten könnten Ihr Sicherheitsteam Stunden oder Tage vor einem tatsächlichen Angriff erreichen. Ihre IT-Sicherheitsplattform könnte dann proaktiv die angreifende Infrastruktur blockieren, anfällige Systeme patchen oder kompensierende Kontrollen einführen – und das alles, bevor betriebsbereite Systeme gefährdet sind.
Dieser Ansatz stellt einen grundlegenden Wandel von reaktiver Sicherheit hin zu vorausschauendem operativem Schutz dar. Die IT-Sicherheit wird zu einem Frühwarnsystem für Bedrohungen der betrieblichen Zuverlässigkeit.
Reagieren: Die Reaktion auf Bedrohungen in Echtzeit erfordert Automatisierung.
Ein WAF-Dienst, der Machine Learning einsetzt, kann Bedrohungen in Echtzeit identifizieren und autonom blockieren. Für einige kritische Infrastruktureinrichtungen wird die Einführung einer Security Operations Center (SOC)-as-a-Service-Lösung eine wichtige Ergänzung zu WAF, DDoS und anderen Sicherheitslösungen sein. Der SOC-Dienst kann schnell auf Angriffe reagieren, Ursachenanalysen durchführen, gründliche Vorfallberichte liefern und bei der Entwicklung von Plänen für zukünftige Gegenmaßnahmen helfen.Ein risikoinformiertes Rahmenwerk einführen
Viele Betreiber kritischer Infrastrukturen werden davon profitieren, dem Cybersecurity Framework (CSF) des National Institute of Standards and Technology (NIST) zu folgen, um Cyberrisiken zu managen. Das CSF ist darauf ausgelegt, Organisationen jeder Größe dabei zu helfen, Cybersicherheitsrisiken besser zu verstehen, zu bewerten, zu priorisieren und zu diskutieren. Es ist besonders nützlich für die Verwaltung komplexer Umgebungen – einschließlich solcher, in denen IT und OT zusammengeführt werden.
Obwohl das Framework keine spezifischen Lösungen empfiehlt, kann es Ihnen helfen, notwendige Sicherheitsfunktionen und Prozessverbesserungen zu identifizieren. Sie können das Framework verwenden, um eine effiziente Strategie für den Einsatz von IT-Sicherheit zu entwickeln, die einen unterbrechungsfreien Betrieb sicherstellt.
IT- und OT-Konvergenz ermöglichen
Eigentlich stellt sich nicht die Frage, ob die IT-Sicherheit OT-Systeme schützen sollte. Es geht darum, ob Ihre aktuelle Sicherheitsarchitektur für ihre erweiterte Rolle bereit ist.
Cloudflare bietet ein vollständiges Spektrum an Cloud-nativen Cybersicherheitsfunktionen, um zentrale Bedrohungen zu adressieren, die zu Betriebsunterbrechungen bei Betreibern kritischer Infrastrukturen führen können. Mit Cloudflare-Services können Unternehmen verwertbare Bedrohungsdaten erhalten, Bedrohungen automatisch blockieren, Phishing-Schemata stoppen und ein Zero-Trust-Modell zur Verhinderung von unbefugtem Netzwerkzugriff einrichten. Ein SOC-as-a-Service-Angebot ermöglicht es Unternehmen, die Überwachung, Bedrohungserkennung und Vorfallreaktion an ein Expertenteam auszulagern.
Diese und andere Dienste können Ihnen helfen, die im NIST CSF empfohlenen Cyberschutzmaßnahmen zu erfüllen und zu übertreffen. Mit Cloudflare können Sie IT-Sicherheit effizient und effektiv nutzen, um Risiken zu adressieren, die zu Betriebsunterbrechungen führen.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Erfahren Sie mehr über die besten Praktiken für IT-Modernisierungsprojekte, die Ihnen helfen können, die Sicherheit zu stärken und Betriebsstörungen zu verhindern, im E-Book „The simple way to efficient IT for federal agencies“.
Autor
Dan Kent – @danielkent1
Field CTO for Public Sector von Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Die Auswirkungen betrieblicher Störungen auf kritische Infrastrukturen
3-Schritte-Strategie zur Anwendung von IT-Sicherheit auf Betriebstechnologie
Wichtige Sicherheitsfunktionen zum Schutz der einsatzbereiten Technologie