Die Digitalisierung macht Kritische Infrastrukturen anfällig für Cyberangriffe. Umso mehr Stellenwert nimmt der Schutz dieser Infrastrukturen ein. "Incident Response" bezeichnet die Prozesse, die als Reaktion auf einen Cyberangriff in Gang gesetzt werden. Jan Hoff, Speaker auf dem Panel "Sicherheit von Kritischen Infrastrukturen und Industrie" der diesjährigen Potsdamer Konferenz für Nationale Cybersicherheit, konzentriert sich auf den Einsatz digitaler Forensik bei der Reaktion auf Cybersicherheitsvorfälle und hilft damit, neue Fähigkeiten zur Erkennung von Angriffen zu entwickeln.
Im Interview mit uns spricht er über die besonderen Herausforderungen seiner Arbeit und darüber, warum klare Informationsketten in der Vorbereitung unverzichtbar sind.
Hasso-Plattner-Institut: Herr Hoff, können Sie Einblicke in die einzigartigen Herausforderungen beim Incident Response geben, insbesondere für die Sicherheit von Kritischen Infrastrukturen und Industrie?
Jan Hoff: Incident Response ist immer herausfordernd - nicht nur in Kritischer Infrastruktur und Industrie. Einzigartig ist sicherlich, dass industrielle Umgebungen nicht einfach offline genommen werden können. Ein Angreifer in industriellen Netzen hat zudem potenziell Zugriff auf sehr sensible Funktionen - teilweise lebensgefährlich, wenn missbräuchlich genutzt. Der einfachste Weg, sich Incident Response in Kritischen Infrastrukturen vorzustellen, ist, dass es nicht nur um reine IT-Systeme geht, sondern um Systeme, die physikalische Prozesse beeinflussen. Das bedeutet, eine Beeinflussung der Systeme führt sehr oft zu physikalischen Auswirkungen, bis hin zur Störung oder gar Zerstörung einer Anlage mit den entsprechenden Konsequenzen.
Incident Responder in Kritischen Infrastrukturen und Industrieanlagen müssen sich neben ihrem Wissen in der Analyse mit den physikalischen Prozessen auskennen und Zertifizierungen nachweisen, um im Falle des Falles überhaupt eine Anlage betreten zu können.
In der konventionellen IT stehen Incident Respondern zudem oft Werkzeuge und moderne Systeme zur Verfügung - industrielle Umgebungen sind oft über die Zeit entstanden, nach und nach ertüchtigt, jahrzehntelang im Einsatz, und erfordern von Verteidigern viel Erfahrung. All diese Herausforderungen machen Vorfallsbehandlung in Kritischen Infrastrukturen einzigartig - und mit der richtigen Vorbereitung und Absicherung auch gut zu bewältigen.
HPI: Aus Ihrer Erfahrung als Principal Industrial Incident Responder: Welche gängigen Missverständnisse oder übersehene Aspekte gibt es beim Vorbereiten auf und Reagieren auf Cybersecurity-Vorfälle in ICS/OT-Umgebungen (Industrielle Steuersysteme und Betriebstechnologie)? Wie können Organisationen diese Lücken in ihren Cybersecurity-Strategien besser angehen?
Hoff: Das Missverständnis, das wohl am häufigsten zu finden ist: unangepasstes Nutzen von IT-Werkzeugen, -Konzepten und -Prozessen in der OT (Betriebstechnologie). Was in der IT funktioniert, muss nicht zwingend in der OT funktionierten - im schlimmsten Fall verursacht man mehr Schaden als man versucht, zu beheben. Das Ausschalten von Systemen, das Installieren von Software, oder das Trennen von Netzwerken hat in industriellen Umgebungen oft Effekte, die über das betrachtete System hinausgehen. Unternehmen sollten die Top 5 Maßnahmen der OT-Cybersecurity umsetzen:
- ein OT-spezifischer Incident Response Plan,
- eine gut zu verteidigende Architektur,
- Sichtbarkeit in den Netzen und Systemen,
- sichere Fernzugriffe und
- ein risikobasiertes Schwachstellenmanagement.
OT-Umgebungen sind verglichen mit der IT noch überschaubar und daher haben Verteidiger hier (noch) einen Vorteil - diesen Vorteil sollten wir nutzen, solange es noch geht.
Da immer die Möglichkeit besteht, dass ein Incident in einer OT-Umgebung zu einer Havarie in einer Anlage führen kann, müssen Incident Responder und alle Beteiligten wissen, wie man in einer Krisenorganisation zusammenarbeitet.
Organisationen, die keine regulatorischen Verpflichtungen zum Aufbau eines Krisenmanagements haben, sind hier oft überfordert. Aber ohne Struktur, klare Verantwortungen und Kommunikationslinien lässt sich eine Krise nicht effektiv bewältigen. Das wird von IT-Abteilungen ohne OT-Erfahrung massiv unterschätzt.
HPI: Angesichts der kooperativen Natur des Incident Response: Wie fördern Organisationen eine Kultur des Informationsaustauschs und der Zusammenarbeit, sowohl intern zwischen verschiedenen Abteilungen als auch extern mit Branchenkollegen und Cybersecurity-Experten, um Cyberbedrohungen gegen industrielle Infrastrukturen effektiv zu mildern und zu bekämpfen?
Hoff: Informationsaustausch, bzw. Information Sharing, und im weiteren Sinne Threat Intelligence stellt für viele Organisationen und Behörden immer noch eine große Herausforderung dar. Die richtigen Informationen, zur richtigen Zeit, bei der richtigen Funktion, können Vorfälle verhindern, Angriffe aufdecken, und im Falle von Incident Response eine geeignete Reaktion ermöglichen. Es gibt hier keine Wunderwaffe, die den richtigen Informationsaustausch erzwingt. Organisationen müssen Strukturen aufbauen, die das Teilen und Verarbeiten von Informationen ermöglichen - und da scheitert es häufig. Wenn Unternehmen, Branchen und Behörden nicht zeitnah Informationen zu Angriffen und Bedrohungen austauschen, dann lassen wir einen wichtigen Baustein unserer Verteidigung ungenutzt. Dragos arbeitet daher aktiv mit der Community um diesen Austausch zu verbessern und Veranstaltungen wie die Potsdamer Sicherheitskonferenz sind ein guter Schritt in die richtige Richtung.
HPI: Wieso sind Konferenzen wie die Potsdamer Sicherheitskonferenz für den Austausch zu diesem Thema so wichtig?
Hoff: Verteidigung unserer Kritischen Infrastrukturen und unserer Industrieanlagen geht uns alle an: Privatwirtschaft, Behörden, und Politik. Wir alle brauchen Strom, Wasser, Wärme, usw. und Technologie ist ein Kritischer Bestandteil. Der Austausch und die Sensibilisierung zur Verwundbarkeit und, noch wichtiger, zur Verteidigung benötigt eine Plattform. Konferenzen wie die Potsdamer Sicherheitskonferenz bringen unterschiedlichste Akteure in diesem Kontext zusammen - und das ist ein (erster) notwendiger Schritt für den Schutz Kritischer Infrastrukturen und den dringenden Informationsaustausch, den wir Verteidiger benötigen.
Vielen Dank für das Interview!
