Kategorien
Cybersecurity

OT-Sicherheit: Maßnahmen für die NIS2-Compliance

Zusätzliche OT-Sicherheitsmaßnahmen werden von verschiedenen Compliance-Vorgaben eingefordert. Auch die neue Cybersicherheitsrichtlinie NIS2 wirkt sich auf die Bedeutung und notwendige Stärkung der OT-Sicherheit aus. Zu den Konzepten der OT-Sicherheit sollte es also auch gehören, die Synergien aus verschiedenen Compliance-Vorgaben zu nutzen, wie der MVO und NIS2.

Compliance nach NIS2-Richtlinie

NIS2 und Maschinensicherheit

Die Bewältigung von Cyberrisiken in der Betriebstechnologie (OT) kann äußerst schwierig sein, insbesondere für Betreiber kritischer Infrastrukturen, die keine ausreichende Transparenz ihrer Assets und kein effektives Schwachstellenmanagement haben, erklärt zum Beispiel der Security-Anbieter Dragos. Die NIS-2-Richtlinie als EU-weiter Rechtsakt zur Cybersicherheit muss aber bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden und gilt dann für die unter NIS2 regulierten Organisationen.

Der Sicherheitsanbieter Dragos beobachtet, dass viele Unternehmen nun vor der Frage stehen, welche Maßnahmen sie zur Vorbereitung auf NIS2 und für mehr ICS/OT-Cybersicherheit umsetzen sollen. Passend dazu hatte das SANS-Institut fünf Maßnahmen für die Cybersicherheit von ICS/OT identifiziert, mit deren Hilfe Unternehmen eine Grundlage für ihren Schutz schaffen und sich gleichzeitig auf die kommenden Anforderungen der NIS2-Richtlinie vorbereiten können.

    OT-Sicherheitsmaßnahmen für die Compliance

    Mehr Cybersicherheit für MVO und NIS2

    Als wichtige Maßnahmen für mehr OT-Sicherheit gelten demnach:

    ICS Incident Response Plan: Im Rahmen der NIS2-Anforderungen für den Umgang mit Zwischenfällen sollte ein konkreter Plan mit den richtigen Ansprechpartnern erstellt werden, so Dragos. Welche Mitarbeiter verfügen in welchem Asset über welche Fähigkeiten und welche nächsten Schritte für Szenarien sind an welchen Standorten geplant?  Dafür sollten zuerst verantwortliche Parteien, Benachrichtigungen und Eskalationsrichtlinien festgelegt und anschließend die Incident Response Pläne mit Tabletop-Übungen getestet und kontinuierlich verbessert werden.

    Verteidigungsfähige Architektur: Die NIS-2-Richtlinie fordert Strategien und Verfahren zur Beurteilung von Cybersicherheits-Maßnahmen. Alle erfolgreichen OT-Sicherheitsstrategien beginnen mit der Härtung der Umgebung, wie Dragos betont. Dabei werden fremde OT-Netzwerkzugriffspunkte entfernt, strenge Richtlinienkontrollen an IT/OT-Schnittstellen beibehalten und Schwachstellen mit hohem Risiko entschärft. Noch wichtiger als eine sichere Architektur sind aber die Menschen und Prozesse, die sie aufrechterhalten. Die Ressourcen und technischen Fähigkeiten, die zur Bewältigung von neuen Schwachstellen und Bedrohungen erforderlich sind, dürfen nicht unterschätzt werden.

    Transparenz und Überwachung von ICS-Netzwerken: Ein erfolgreiches OT-Sicherheitskonzept umfasst eine Bestandsaufnahme der Assets, eine Zuordnung von Schwachstellen zu diesen Assets (und Pläne zur Abhilfe) sowie eine aktive Überwachung des Datenverkehrs auf potenzielle Bedrohungen. Diese gewonnene Transparenz validiert die implementierten Sicherheitskontrollen in einer verteidigungsfähigen Architektur. Die Erkennung von Bedrohungen durch die Überwachung ermöglicht zudem eine Skalierung und Automatisierung für große und komplexe Netzwerke, so Dragos.

    Sicherer Fernzugriff:  Ein sicherer Fernzugriff ist für OT-Umgebungen von entscheidender Bedeutung. Man denke an die Fernwartung und das Tele-Monitoring. Die Multi-Faktor-Authentifizierung (MFA) ist ein seltener Fall einer klassischen IT-Maßnahme, die sich auch in OT-Umgebungen sinnvoll anwenden lässt und schafft zusätzliche Sicherheit für geringe Investitionen, wie Dragos betont. Wo MFA nicht möglich ist, sollten alternative Maßnahmen wie Jump-Hosts mit gezielter Überwachung in Betracht gezogen werden. Das Hauptaugenmerk sollte dabei auf Verbindungen in und aus dem OT-Netz liegen und nicht auf Verbindungen innerhalb des Netzes.

    Risikobasiertes Schwachstellenmanagement: Für Informationssysteme schreibt die NIS2-Richtlinie Risikoanalysen und Sicherheitsmaßnahmen vor. Eine verteidigungsfähige Architektur zeichnet sich dadurch aus, dass Schwachstellen frühzeitig erkannt werden und ein Plan zu ihrer Behebung vorhanden ist. Das setzt voraus, dass korrekte Informationen und Risikobewertungen sowie alternative Abhilfestrategien zur Minimierung des Risikos im laufenden Betrieb vorliegen, unterstreicht der Sicherheitsanbieter Dragos.

    Zur Newsletter-Anmeldung

    Unser kostenloser Newsletter informiert Sie monatlich über aktuelle Entwicklungen, Produktneuheiten und Veranstaltungen im Bereich Produktsicherheit.

    Zum Demo-Download

    Während des Testzeitraums können Sie die Software vollumfänglich nutzen. Mit Ihren Testdaten können Sie nach dem Kauf und der Lizenzierung auch direkt weiterarbeiten.

    Webinare WEKA Manager CE

    Zur Anmeldung

    Jeweils 10-11 Uhr, online

    • 16. September 2024
    • 02. Dezember 2024
    • 24. Februar 2025
    • 14. April 2025
    • 07. Juli 2025
    • 08. September 2025
    • 03. November 2025
    • 08. Dezember 2025

    Webinar CE-Update für
    Praktiker 2024

    Zur Anmeldung

    1-tägig, von 9 Uhr bis 12:30 Uhr und von 13 Uhr bis 16:30 Uhr

    • 01.10.2024 Dienstag

    Anwenderschulung WEKA Manager CE

    Zur Anmeldung

    2-tägig, jeweils 9 Uhr bis 17 Uhr, jeweils Dienstag und Mittwoch

    • 29.-30.10.2024 online
    • 19.-20.11.2024 Kissing
    • 10.-11.12.2024 online

    Sie haben eine Frage an einen erfahrenen CE-Berater?

    Senden Sie uns Ihre Anfrage. Im Gespräch mit Ihnen finden wir den für Sie optimalen Berater. Die Vereinbarungen mit Ihnen sind individuell auf Ihre Aufgabenstellung zugeschnitten und können von einem beratenden Telefongespräch bis hin zu einer mehrtägigen Begleitung in Ihrem Unternehmen und der vollständigen Durchführung der CE-Kennzeichnung reichen. Die Beratungskosten richten sich nach Art und Umfang Ihrer Anforderung.

    Individuelle Beratung anfordern