Ponemon 2021 Stand der industriellen Cybersicherheit

Sicherheitsvorfälle

Laut dieser Studie gaben 63% der Befragten an, dass ihre Organisation in den letzten zwei Jahren mindestens einen OT/ICS-Cybersicherheitsvorfall hatte. Gleichzeitig stellten die Forscher fest, dass sowohl die Häufigkeit als auch der Schweregrad von Cyberangriffen zunehmen. Die durchschnittlichen Kosten eines solchen Vorfalls belaufen sich auf etwa 3 Millionen USD. In dieser Berechnung sind Ausfallzeiten, Ersatz von Geräten, Geldstrafen und Arbeitskosten für IT- und OT-Sicherheitspersonal enthalten.

Diese Untersuchung hat auch einige zusätzliche Statistiken aufgedeckt. Zum Beispiel beträgt die durchschnittliche Entdeckungszeit eines Vorfalls 170 Tage. Nach der Entdeckung müssen Schweregrad und Auswirkungen von Sicherheitsexperten analysiert werden, was im Durchschnitt weitere 66 Tage in Anspruch nimmt. Schließlich dauert es 80 Tage, um den Cybersecurity-Vorfall zu beheben, so dass insgesamt 316 Tage von der ersten Entdeckung bis zur Behebung vergehen. Dabei sind zusätzliche Aktivitäten nach dem Vorfall oder zusätzliche Vorbereitungsschritte zur Vermeidung ähnlicher Vorfälle in der Zukunft noch nicht berücksichtigt.

Eine der am weitesten verbreiteten und verheerendsten Cyber-Attacken ist Ransomware. Die Studie ergab, dass 29% der Teilnehmer angaben, dass ihre Organisation mit einem solchen Angriff zu tun hatte. In der Hälfte dieser Fälle wurde ein Lösegeld von über 500.000 $ gezahlt.

Reifegrad der Sicherheit

Nur 21% der Teilnehmer gaben an, dass ihr OT/ICS-Cybersicherheitsprogramm die volle Reife erreicht hat, während sich etwa 50% noch in einem frühen oder mittleren Stadium befinden. Das bedeutet, dass viele Aktivitäten im Rahmen des Sicherheitsprogramms noch nicht geplant oder umgesetzt wurden und das Unternehmen sein Cybersecurity-Risiko möglicherweise nicht unter Kontrolle hat. In einem reifen Unternehmen werden die Effizienz und Effektivität des Cybersecurity-Programms kontinuierlich gemessen und zusammen mit den aktuellen Cybersecurity-Risiken an die oberste Führungsebene kommuniziert. Gleichzeitig stellt das Management ausreichend Budget und Ressourcen zur Verfügung, um das Programm am Laufen zu halten und das Cyberrisiko auf ein akzeptables Niveau zu reduzieren.

Schlussfolgerungen und Empfehlungen

Eine der wichtigsten Empfehlungen besteht darin, die kulturellen und technischen Unterschiede zwischen den IT- und OT-Teams zu überwinden. Ein bemerkenswertes Ergebnis, das die derzeitigen Hemmnisse für Investitionen in die OT/ICS-Sicherheit erklärt, veranschaulicht dies auf schöne Weise, denn die beiden Hauptergebnisse scheinen ein Widerspruch zu sein. Die eine besagt, dass die OT-Sicherheit von der technischen Abteilung verwaltet wird, die nicht über Sicherheitsexpertise verfügt, während die andere besagt, dass die OT-Sicherheit von der IT-Abteilung verwaltet wird, der es an technischer Expertise mangelt.

Ein Unternehmen sollte eine einheitliche Sicherheitsstrategie haben und gleichzeitig verstehen, dass OT/ICS einen anderen Ansatz erfordert. Es wird ein gemeinsames Team benötigt, das auch die oberste Führungsebene über den Status des Sicherheitsprogramms und das Cyber-Risiko des Unternehmens informieren sollte.

Das Unternehmen sollte sicherstellen, dass ausreichende Ressourcen und Budgets für die Durchführung und Verbesserung der Cybersicherheit bereitgestellt werden. Dies beginnt mit einer detaillierten Bestandsaufnahme aller angeschlossenen ICS-Geräte während ihres gesamten Lebenszyklus. Eine zweite Empfehlung in diesem Zusammenhang ist die Entwicklung, Pflege und Prüfung eines Plans zur Reaktion auf Cybervorfälle.

OT Cybersicherheits-Roadmap

Die Umsetzung und kontinuierliche Verbesserung eines jeden Cybersicherheitsprogramms braucht Zeit. Es ist wichtig, damit zu beginnen, die höchsten geschäftlichen Prioritäten auf OT-Prozesse und schließlich auf die ICS-Anlagen abzubilden, um angemessene Kontrollen und deren Priorität zu bestimmen. Um diese Prioritäten zu bestimmen, sollten sowohl bedrohungsorientierte als auch folgenorientierte Szenarien verwendet werden. Bedrohungsgesteuerte Szenarien werden aus der Perspektive eines Angreifers erstellt und bilden mögliche Bedrohungen für ein Unternehmen ab, die auf Berichten über Bedrohungsdaten oder Bedrohungsmodellierungen basieren können. Konsequenzorientierte Szenarien basieren auf den schlimmstmöglichen Auswirkungen, die eine Organisation verhindern möchte. Beides führt zu einer Bestandsaufnahme der vorhandenen, unzureichenden oder fehlenden Kontrollen, die erforderlich sind, um all diese Szenarien zu entschärfen. Es ist nun an der Zeit, einen Fahrplan zu erstellen, eine kontinuierliche Verbesserung zu planen und mit der Abschwächung der wichtigsten Prioritäten zu beginnen.

Alles beginnt mit einem guten Verständnis der aktuellen Cybersicherheitslage und ihrer potenziellen Schwachstellen. Dies spiegelt sich auch in den 60 % der Teilnehmer dieser Studie wider , die angaben, dass ihre oberste Priorität im Jahr 2021 darin besteht, diese zu verbessern, indem sie OT/ICS-spezifische Lücken-, Risiko- oder Schwachstellenbewertungen durchführen.

Das Cybersecurity-Portfolio von Bureau Veritas Cybersecurity

Insgesamt passen diese Empfehlungen perfekt in unser Cybersecurity-Portfolio, insbesondere in die erste Kategorie "Audit and Risikobewertung".

Bureau Veritas Cybersecurity bietet eine Vielzahl spezifischer OT/ICS-Bewertungsdienste an und verfügt über diese Erfahrung in verschiedenen (kritischen) Industriemärkten, wie z.B. Öl und Gas, Energie und (Abwasser) Wasser. Mit einer Lückenanalyse ermitteln wir den aktuellen Stand der Sicherheitskontrollen gemäß der Norm IEC 62443-3-3. Bei einer OT-Risikobewertung verwenden wir einen folgenorientierten Ansatz, um die höchsten Cybersicherheitsrisiken für eine OT-Umgebung zu quantifizieren. Für einen bedrohungsgesteuerten Ansatz können wir Übungen zur Modellierung von OT-Bedrohungen anbieten. Schließlich bieten wir Bewertungen der Sicherheitsreife auf der Grundlage von ISO27000 und IEC 62443-2-1 an, um den Reifegrad des Unternehmens mit einem ganzheitlichen Ansatz zu bewerten, der Menschen, Prozesse und Technologie sowohl in der IT als auch in der OT umfasst.

Ein wichtiger Teil jedes Sicherheitsprogramms ist es, zu testen, ob alle geplanten Kontrollen und Prozesse zur Risikominderung in der Praxis funktionieren. Hier können wir eine unserer am meisten geschätzten Dienstleistungen anbieten: Schwachstellen- und Penetrationstests. Wir sind uns der besonderen Erwägungen, die für OT-Systeme gelten, voll bewusst und verfügen über die Erfahrung, diese Tests sicher zu planen und durchzuführen und wissen, was wir tun können und was nicht. Natürlich immer in enger Zusammenarbeit mit dem Eigentümer der Anlage. Das Gleiche gilt für unsere Red Teaming-Übungen, bei denen wir sogar noch einen Schritt weiter gehen und einen Cyberangriff in vollem Umfang simulieren, um nicht nur die technischen Sicherheitskontrollen, sondern auch die Erkennungs- und Reaktionsfähigkeiten des Unternehmens zu testen.

Alle Bewertungen haben ihren Platz auf der Roadmap und sind für Unternehmen nützlich, die sich in einer anderen Phase ihres Cybersicherheitsprogramms befinden. Auch hier handelt es sich um eine kontinuierliche Verbesserungsschleife, in der sich Technologie und Cyber-Bedrohungen ständig verändern. Wir laden Sie gerne zu einem Informationsgespräch mit unserem Vertriebsteam und unseren Sicherheitsberatern ein, damit wir gemeinsam die beste Vorgehensweise festlegen können.

Beachten Sie, dass unser komplettes Cybersecurity-Serviceportfolio auch Sicherheitsschulungen und -zertifizierungen umfasst. Weitere Informationen zu diesen Themen finden Sie auf unserer Seite zum Industriemarkt.