IT-SICHERHEIT
vorangetrieben worden, um das Risiko schwerer Vorfälle aufgrund von CyberAngriffen zu verringern. Vorfälle wie der TRITON-Malware-Angriff im Jahr 2018 zielen auf das sicherheitstechnische System einer industriellen Infrastruktur ab. Welche Erkenntnisse lassen sich aus diesem Vorfall ziehen und auf die Energieinfrastruktur übertragen? Die wichtigste Erkenntnis aus dem TRITON- Angriff ist relativ banal. Der Vorfall belegt eindeutig, dass böswillige Akteure aktiv versuchen, Schwachstellen in kritischen Sicherheitssystemen auszunutzen. Auch wenn die tatsächlichen Absichten der Angreifer noch immer ungeklärt sind, handelte es sich um einen Versuch, physischen Schaden anzurichten und Menschen zu schädigen. Einige Erklärungsmodelle gehen davon aus, dass TRITON lediglich ein Experiment oder ein «Proof of Concept» sein sollte, um das Machbare zu erforschen. Ein beängstigender Gedanke, verbunden mit der Erkenntnis, dass traditionelle MalwareErkennung und -Bekämpfung bei avancierten Gegnern an ihre Grenzen stösst.
Wichtig ist ein vorausschauender und risikobasierter Cybersicherheits-Ansatz.
Bewusstsein für Cybersicherheit und das Einhalten empfehlenswerter Praktiken Risiken senken. In Zeiten wie diesen ist es wichtig, diese kombinierten Risiken effizient zu analysieren und wirksame Kontrollen einzuziehen. Es gibt Möglichkeiten, Netzwerke präzise zu überwachen und so Risiken besser zu quantifizieren und mittels Angriffserkennung zeitnah zu reagieren. Zum Beispiel, wenn man eine neue Schwachstelle entdeckt hat, die als «kritisch» einzustufen ist. Durch Mapping des Datenverkehrs kann man den Gefährdungsgrad der jeweiligen Systeme genau bestimmen. Das Programm, das die Fehler beheben soll, konzentriert sich dann zunächst auf die vermutlich eher kleinere Zahl kritischer Systeme mit einem besonders hohen Expositionsgrad. Das minimiert die Auswirkungen auf die laufende Produktion und erlaubt es, die übrigen Systeme beim nächsten routinemässigen Wartungsfenster zu patchen. Das Risiko eines Cyber-Angriffs ist für Unternehmen entlang der gesamten Wertschöpfungskette ständig präsent. Gehen Richtlinien wie die britischen
Seite 84 // kmuRUNDSCHAU
Vorgaben zur Gewährleistung eines hohen Grades an Netzwerk- und Informationssicherheit (NIS-Richtlinie) in die richtige Richtung? Richtlinien wie die britische NIS umreissen eine Reihe von Prinzipien, die bei der Entscheidungsfindung helfen, einen hohen Grad an Netzwerk- und Informations sicherheit zu erreichen und auch aufrechtzuerhalten. Im Gegensatz zu einem auf Compliance basierenden Ansatz mit einem vorgeschriebenen Regelwerk schreibt die NIS-Richtlinie Unternehmen, die in ihren Geltungsbereich fallen, wie etwa der Energiesektor, einen vorausschauenden risikobasierten Cybersicherheits-Ansatz zwingend vor. Wie wirksam Richtlinien dieser Art in der Praxis dann tatsächlich sind, darüber wird vielfach diskutiert. Zumindest bieten sie Unternehmen eine solide Grundlage, auf der diese Sicherheitskontrollen entwickeln können, die für eine spezifische Umgebung geeignet und angemessen sind. Inwieweit das gelungen ist, lässt sich messen und im Sinne von Best Practices umsetzen. Richtlinien wie die britische NIS sind unter anderem deswegen mit Nachdruck
Was zeichnet solche Gruppen aus, die auf solch einem hohen Niveau ihre Angriffe starten? Diese Gruppen sind hoch motiviert, qualifiziert und ausreichend finanziell ausgestattet, um hochgradig zielgerichtete Angriffe zu entwickeln, zu implementieren und einzusetzen. Man braucht also zwangsläufig robuste Abwehrmechanismen, die kritische Systeme besser schützen. Es gibt bereits Technologien, die sich auch in diesem Bereich die KI-gesteuerte Erkennung von Anomalien zusätzlich zunutze machen. Sie versprechen, Bedrohungen in einer industriellen Umgebung schnell zu erkennen und darauf reagieren zu können. Zusätzlich lassen sich Risiken vorausschauend erkennen, nachvollziehen und in der Folge auch senken.
ANDREA CARCANO ist Co-Founder und CPO von Nozomi Networks. www.nozominetworks.com