Nur auf Englisch verfügbar
OT-Sicherheitsrisiken: Wie kann man sie bewerten und angehen?
Am 4. Juni 2020 veranstalteten wir unser Webinar "OT-Sicherheitsrisiken: Wie bewerten und angehen?", in dem unsere Sicherheitsexperten André Slingerland und Mentor Emurlai die Landschaft der OT-Sicherheit (operative Technologie) erörterten und die 10 wichtigsten Erkenntnisse aus der OT-Risikobewertung hervorhoben. Die Teilnehmer stellten gute Fragen, die wir unten in einem QandA zusammengefasst haben.
Sollten Sie noch weitere Fragen haben, wenden Sie sich bitte an cybersecurity@bureauveritas.com.
Sind Sie neugierig auf unsere anderen Webinare? Besuchen Sie: https://cybersecurity.bureauveritas.com/webinars
QandA
Sollten Sie noch weitere Fragen haben, wenden Sie sich bitte an cybersecurity@bureauveritas.com.
Unser Unternehmen hat mehrere Werke. Wie gehen Sie bei der Durchführung von Risikobewertungen damit um?
Im Idealfall wird jede Anlage einzeln bewertet, aber wenn mehrere Anlagen bewertet werden müssen, nimmt dies in der Regel mehr Zeit in Anspruch. Es gibt Fälle, in denen mehrere verschiedene Anlagen zentral gesteuert und verwaltet werden. Mit dem Kunden werden stets die Details und Besonderheiten der Vorgehensweise besprochen. Ein Teil der OT-Risikobewertung ist eine Begehung, bei der wir verschiedene Teile der Prozesseinheiten und Bereiche auf der Grundlage der Kritikalität besichtigen. Wir möchten zum Beispiel Firewall-Regelsätze, Diagramme, PFDs und PHAs, Arbeitsstationen und Konfigurationen usw. sehen.
Verwendet Secura IEC 62443-Kontrollen für die Prüfung und gibt es eine Zuordnung zu den BIO-Kontrollen (Baseline Information Security Government)?
Risiken, die während der Risikobewertung identifiziert werden, können sich auf jede der grundlegenden Anforderungen der IEC 62443 und auf spezifische IEC 62443-Kontrollen beziehen. Ähnlich wie bei der IEC 62443 kann eine Zuordnung zu den BIO-Kontrollen vorgenommen werden, wenn dies vom Kunden gewünscht wird. Darüber hinaus kann eine ähnliche Zuordnung zu den Kontrollen des NIST Cyber Security Framework vorgenommen werden.
Wie werden die firmeneigenen Geräte auf den Status der Softwareaktualisierung überprüft?
In der Risikobewertung haben wir einen separaten Themenbereich, nämlich ICS-Sichtbarkeit und -Kontrolle. Dort prüfen wir, ob das Anlageninventar vollständig ist. Das Anlageninventar sollte Informationen wie den Standort der physischen Anlage, exponierte Konnektivitätsschnittstellen, die Kritikalität der Anlage, den Status der Softwareaktualisierung usw. enthalten. Wir führen auch mehrere Stichproben durch, um zu prüfen, ob die (proprietären) Geräte auf dem neuesten Stand sind und ob sie außerdem anfällig sind.
Können Sie eine Schätzung abgeben, wie lange eine Risikobewertung dauert und wie sie abläuft?
Eine Risikobewertung hängt weitgehend von der Größe des zu bewertenden Standorts ab. Ein kleiner Standort kann bis zu 1-2 Tage dauern, während ein größerer Standort 3 bis 5 Tage in Anspruch nehmen kann. Die Vorgehensweise besteht darin, dass gemeinsam mit dem Kunden der Umfang festgelegt wird, einschließlich der Art und Weise, wie die Begehung vor Ort durchgeführt wird und welches Schlüsselpersonal befragt wird. Im Allgemeinen konzentriert sich die Risikobewertung auf kritische Teilsysteme und Netzwerke.
Wie gehen Sie mit einer Risikobewertung von Gebäuden um?
Wir gehen damit genauso um wie mit jedem anderen Standort. Die Methodik, die wir bei der Durchführung von Risikobewertungen anwenden, ermöglicht es, verschiedene Arten von Standorten/Gebäuden zu bewerten. Es mag einige Themenbereiche geben, die weniger oder mehr relevant sind.
Können Sie uns ein interessantes Beispiel für eine unerwartete Cyber-Bedrohung nennen?
Es gibt verschiedene interessante Cyber-Bedrohungen, die man aufzählen könnte, da dies meist von dem Standort abhängt, der bewertet wird. Zum Beispiel gab es eine große Website, die von verschiedenen konkurrierenden Unternehmen gemeinsam genutzt wurde, was zusätzliche Bedrohungen mit sich brachte, die normalerweise nicht vorhanden wären, wenn die Website nicht gemeinsam genutzt worden wäre. Wenn Sie in diesem Fall keine angemessenen Maßnahmen ergriffen haben, könnte das Unternehmen folgenden Gefahren ausgesetzt sein: Bedrohungen durch Dritte, z.B. Auftragnehmer, bei denen es schwer war, zu unterscheiden, wer wer war, Schnittstellen, die von außen zugänglich sind und direkten Zugriff auf das Netzwerk bieten, so dass Malware über Wechselmedien und externe Hardware leicht eingeschleust werden kann, die Möglichkeit von Rogue Devices, die unbemerkt bleiben.
Können Sie uns ein interessantes Beispiel für eine unerwartete Cyber-Bedrohung nennen?
Input-Beweise werden vorzugsweise im Vorfeld vom Kunden gesammelt. Dazu können verschiedene Dokumente gehören, z.B. Netzwerkdiagramme, ein Grundriss, eine Liste oder zumindest die Gesamtzahl der kritischen Anlagen und Prozesse, eine Laborkopie der kritischen Anlagen (Sicherheitssteuerung) und andere relevante Informationen. Im Allgemeinen sind Informationen zu allen Purdue-Ebenen erwünscht. Während der OT-Risikobewertung selbst können zusätzliche Daten gesammelt werden, z.B. wird passiver Netzwerkverkehr von Switches mit Port-Spiegelungsfunktionen (nur von Clients) gesammelt. Dabei wird kein aktives Scannen durchgeführt.
Sollten Sie noch Fragen haben, kontaktieren Sie uns bitte unter cybersecurity@bureauveritas.com