20 www.net-im-web.de 11/25 Die blinden Flecken verschwinden lassen über reine Technik hinausgehen. Wer trägt die Verantwortung für Sicherheitsvorfälle in konvergenten Umgebungen? Wie werden Meldepflichten organisiert, wenn ein Vorfall sowohl IT- als auch OT-Systeme betrifft? Und wie lässt sich die geforderte Resilienz aufbauen, wenn kritische Kommunikationsdienste keine signifikanten Ausfallzeiten tolerieren? Diese Fragen erfordern organisatorische Antworten, die über die Anschaffung neuer Sicherheitssysteme hinausgehen. Ein oft übersehener Aspekt ist die Lieferkettensicherheit. Kritische Infrastruktur ist auf eine Vielzahl von Zulieferern, Wartungsdienstleistern und Technologiepartnern angewiesen. NIS2 fordert, dass Organisationen die Sicherheit ihrer Lieferketten bewerten und geeignete Maßnahmen ergreifen. In der Praxis bedeutet dies, dass Fernzugriffe von Wartungspartnern kontrolliert, überwacht und zeitlich begrenzt werden müssen. Lieferanten kritischer Komponenten sind in der Pflicht, Sicherheitsnachweise zu erbringen. Und die Organisation muss in der Lage sein, jederzeit einen Sicherheitsvorfall zu analysieren. Kontextbasierte Sicherheit Die größte Gefahr bei der Umsetzung neuer Compliance-Anforderungen besteht darin, dass Sicherheit zur Abhak-Übung degradiert wird. Listen werden abgearbeitet, Tools werden implementiert, und am Ende steht ein Prüfbericht, der formale Compliance bestätigt, während die tatsächliche Sicherheitslage kaum verbessert wurde. Betreiber, die in den Geltungsbereich von NIS2 fallen, können sich diesen Ansatz nicht leisten. Die Bedrohungslage ist zu dynamisch, die Angriffsvektoren zu vielfältig und die Auswirkungen von Sicherheitsvorfällen zu gravierend. Stattdessen braucht es einen risikobasierten Ansatz, der Bedrohungen priorisiert und Ressourcen dort einsetzt, wo sie den größten Effekt haben. Nicht jede Schwachstelle stellt das gleiche Risiko dar. Ein ungepatchtes System in einem segmentierten Netzbereich ohne kritische Funktionen erfordert andere Maßnahmen als eine exponierte Komponente in einem sensiblen Steuerungssystem. Automatisierte Risikobewertungen, die Faktoren wie Asset-Kritikalität, Netzwerkexposition und bekannte Exploits berücksichtigen, können hier Orientierung bieten. Verhaltensbasierte Anomalieerkennung ergänzt signaturbasierte Systeme, die bei Zero-Day-Exploits und Advanced Persistent Threats an ihre Grenzen stoßen. Wenn ein SCADA-System plötzlich mit ungewöhnlichen Zielen kommuniziert oder ein Router Datenmengen transferiert, die seinem normalen Verhalten widersprechen, müssen Alarme ausgelöst werden, auch wenn keine bekannte Malware-Signatur vorliegt. Die Herausforderung besteht darin, False Positives zu minimieren, um Alert Fatigue zu vermeiden. Nur wenn Sicherheitsteams darauf vertrauen können, dass Warnmeldungen tatsächlich relevante Vorfälle darstellen, werden diese zeitnah bearbeitet. Darüber hinaus erfordert die Sicherung kritischer Infrastruktur eine kontinuierliche Weiterentwicklung. Bedrohungslandschaften ändern sich, neue Schwachstellen werden entdeckt, und Angriffstechniken werden raffinierter. Threat Intelligence, die auf realen ICS-spezifischen Beobachtungen basiert und nicht nur generische IT-Bedrohungen widerspiegelt, wird zum unverzichtbaren Bestandteil. Organisationen müssen verstehen, welche Angriffsmuster in ihrer Branche aktuell relevant sind, welche neuen Schwachstellen in eingesetzter Technologie entdeckt wurden und wie diese Bedrohungen in der eigenen Umgebung erkannt werden können. Resilienz beginnt an der Basis Die IT-OT-Konvergenz in der KRITIS lässt sich nicht rückgängig machen. Die Vorteile vernetzter Systeme – von vorausschauender Wartung über Echtzeitoptimierung bis zu neuen Dienstleistungsmodellen – sind zu bedeutend. Die Frage ist nicht, ob diese Konvergenz stattfindet, sondern wie sie sicher gestaltet werden kann. NIS2 schafft einen regulatorischen Rahmen für längst notwendige Mindeststandards. Die eigentliche Arbeit beginnt bei der Umsetzung. Transparenz ist der Ausgangspunkt jeder Sicherheitsstrategie. Organisationen müssen wissen, welche Assets vorhanden sind, wie diese kommunizieren und welche Risiken von ihnen ausgehen. Darauf aufbauend können Architekturen entwickelt werden, die Sicherheit und Betriebskontinuität in Einklang bringen. Netzwerksegmentierung, Zero-Trust-Prinzipien und kontextsensitive Zugriffskontrollen sind praktische Notwendigkeiten geworden. Ebenso entscheidend ist die organisatorische Dimension. IT- und OT-Teams müssen enger zusammenarbeiten, ohne ihre Expertise aufzugeben. Klare Verantwortlichkeiten, gemeinsame Prozesse und eine Kultur, die Sicherheit als gemeinsame Aufgabe versteht, sind Grundvoraussetzungen. Die Komplexität der Gemengelage erfordert interdisziplinäre Zusammenarbeit. Die kritische Infrastruktur bildet das Rückgrat einer vernetzten Gesellschaft. Ihre Sicherheit ist keine technische Spezialfrage, sondern eine Frage der gesellschaftlichen Resilienz. Die kommenden Jahre werden zeigen, ob die Branche bereit ist, die notwendigen Investitionen zu tätigen und die erforderlichen Veränderungen umzusetzen. Die Bedrohungen warten nicht auf Gesetzesentwürfe oder Budgetfreigaben. www.forescout.com IT- und OT-Teams müssen enger zusammenarbeiten, ohne ihre Expertisen aufzugeben
RkJQdWJsaXNoZXIy MjE2Mzk=