Kritische Infrastrukturen (KRITIS) stehen immer stärker im Visier von Angreifern. Cyber-Kriminelle, die auf Lösegeld aus sind, gefährden die Geschäftskontinuität, schädigen die Reputation und verursachen finanzielle Einbußen durch Erpressung oder Bußgelder aufgrund von Datenschutzverletzungen. Ist ein Angriff auf KRITIS-Umgebungen politisch motiviert, drohen im schlimmsten Fall die vollständige Unterbrechung der Transport-, Energie-, Wasser- oder Lebensmittelversorgung. Mit den folgenden Empfehlungen minimieren Unternehmen und Behörden kritischer Dienste ihre Geschäftsrisiken und wappnen sich so gegen die steigende Zahl an Sicherheitsvorfällen.
1. Absicherung des Ressourcen-Zugriffs
Der Fernzugriff stellt oft den einfachsten Weg für Angreifer dar, in ein Netzwerk einzudringen. Daher ist es entscheidend, die Infrastruktur durch Endpoint-Security für sichere Remote-Verbindungen, eine sorgfältige Passwortverwaltung und Netzwerk-Firewalls zu schützen. Zugriffsrechte sollten entsprechend der Position jedes Benutzers angepasst sein, wobei Mitarbeitende nur die Rechte erhalten sollten, die für ihre jeweiligen Aufgaben erforderlich sind. Die Implementierung von Multi-Faktor-Authentifizierung stellt eine zusätzliche Sicherheitsebene dar, die es Angreifern erschwert, Zugang zu erhalten. Diese Maßnahmen sind grundlegende Komponenten des Zero-Trust-Prinzips, das besagt, dass Unternehmen keinen Netzwerkverkehr automatisch als vertrauenswürdig ansehen sollten, weder intern noch extern. Stattdessen muss jeder Zugriff streng überprüft und autorisiert werden, unabhängig davon, ob er von innerhalb oder außerhalb des Netzwerks erfolgt.
2. Transparente Darstellung aller Netzwerk-Ressourcen
Es hat sich als wirksam erwiesen, Netzwerkstrukturen zu visualisieren und alle enthaltenen Geräte zu identifizieren, sowie die Verbindungen zwischen den Netzwerken, insbesondere zu nicht vertrauenswürdigen Netzen wie dem Internet, zu identifizieren, analysieren und abzusichern. Wenn nicht alle Geräte im Netzwerk sichtbar sind, wird es unmöglich, das Netzwerk angemessen zu schützen oder zu segmentieren. Durch die kontinuierliche Pflege des Inventars aller Netzwerkressourcen und die Überwachung derselben erhalten Sicherheitsteams einen präzisen Einblick in ihre Geräte, Verbindungen, Kommunikation und Protokolle.
3. Integrative Sicherheitsbetrachtung von IT- und OT-Netzwerken
Die gemeinsame Betrachtung beider Systemwelten kann die Ausfallsicherheit verbessern und die blinden Flecken sowie Sicherheitsrisiken in hochgradig vernetzten industriellen Steuerungssystemen reduzieren. Ein konsolidiertes Sicherheitskonzept, das sowohl die IT- als auch die OT-Sicherheitsinfrastruktur umfasst, legt den Grundstein dafür. Zusätzlich ist eine enge Kommunikation zwischen den verantwortlichen Fachleuten unerlässlich.
4. Etablierung einer Überwachungsleitstelle: Security Operations Center
Ein Security Operations Center (SOC), ermöglicht es KRITIS-Betreibern, ein durchgängiges, integriertes Sicherheitskonzept für das Monitoring ihrer IT- und OT-Infrastruktur umzusetzen. Alternativ kann ein SOC auch im As-a-Service-Modell von einem Dienstleister bezogen werden. Diese Überwachungsleitstelle vereint Technologien, Prozesse und Fachexperten, die für die Analyse und Aufrechterhaltung der Cyber-, Daten- und Informationssicherheit eines Unternehmens zuständig sind. Im SOC überwachen Security-Analysten Echtzeit-Log-Daten aus Netzwerken, Servern, Endpoints und anderen digitalen Ressourcen des Unternehmens. Dabei setzen sie intelligente, KI-basierte Automatismen ein, um Anomalien zu erkennen und zu bewerten. Die Experten im SOC identifizieren potenzielle Bedrohungen rund um die Uhr, priorisieren sie und melden etwaige Vorfälle und Anomalien an die Entscheidungsträger im Unternehmen oder an spezielle Incident-Response-Teams.
5. Durchführung regelmäßiger Sicherheitsschulungen
Menschliche Fehler bleiben eine der größten Schwachstellen in der Cyber-Sicherheit. Phishing per E-Mail oder Telefon zählt zu den Hauptangriffsmethoden von Cyberkriminellen. Deshalb ist es besonders wichtig, dass Sicherheitsbeauftragte – vor allem in kritischen Infrastrukturen – durch Schulungen und Tests das Bewusstsein der Mitarbeiter für gängige Angriffe und Social-Engineering-Taktiken von Cyberkriminellen schärfen. Dabei ist es wichtig, alle Mitarbeitenden zielgruppengerecht anzusprechen und Wissen nachhaltig zu vermitteln
6. Regelmäßige Datensicherung
Wenn ein Unternehmen Opfer von Ransomware wird, können Verantwortliche oft die entstandenen Schäden durch vorhandene Backups begrenzen. Eine regelmäßige, idealerweise tägliche Datensicherung stärkt die Widerstandsfähigkeit und hilft, den Betrieb im Falle eines Angriffs schnellstmöglich wiederherzustellen. Die bewährte 3-2-1-Strategie ist dabei empfehlenswert, um eine zuverlässige Wiederherstellung von Daten zu gewährleisten und sicherzustellen, dass Sicherungskopien verfügbar sind, wenn sie benötigt werden. Dieses Konzept sieht vor, dass drei Kopien der Daten erstellt werden, die auf zwei verschiedenen Speichermedien gespeichert werden, wobei eine Kopie an einem externen Standort aufbewahrt wird. Zusätzlich sollten Unternehmen über einen schriftlichen Notfallplan verfügen und regelmäßige Rücksicherungsübungen durchführen, um potenzielle Schwachstellen im Sicherheitskonzept zu identifizieren und Mitarbeiter auf mögliche Sicherheitsvorfälle vorzubereiten
Fazit
Durch geeignete technische und organisatorische Maßnahmen können Sie Ihre Cyber-Resilienz deutlich verbessern. Eine robuste Cyber-Resilienz ist für KRITIS-Betreiber und deren Zulieferer heute nicht nur unverzichtbar, sondern auch gesetzlich vorgeschrieben. KRITIS-Unternehmen müssen bestimmte Sicherheitskriterien erfüllen und entsprechende Technologien einsetzen, was durch die Anforderungen u.a. durch die EU-Datenschutzgrundverordnung, NIS 2 und das BSI-Gesetz bestimmt werden. Folglich sind KRITIS-Betreiber verpflichtet, Sicherheitsvorkehrungen nachzuweisen, um Störungen in der Verfügbarkeit zu vermeiden und die Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen sicherzustellen.