Die aktualisierte Betriebssicherheitsverordnung schreibt Unternehmen vor, höheres Gewicht auf Cybersicherheit zu legen. Automatisierung kann helfen.

The updated German Industrial Safety Ordinance (Betriebssicherheitsverordnung) requires companies to place greater emphasis on cybersecurity. Automation can help.

Der Gesetzgeber legt stärkeres Gewicht auf Cybersicherheit. Neue Vorschriften der Betriebssicherheitsverordnung (BetrSichV) schreiben ab sofort vor, potenzielle Sicherheitslücken bei der Software sowie der Mess-, Steuer- und Regeltechnik (MSR) und ihr Gefährdungsgrad zu beurteilen.

Betreiber überwachungsbedürftiger Anlagen wie Aufzügen, Tanklagern oder Biogasanlagen, Dampfkesseln und sonstigen Druckbehältern sind ab sofort verpflichtet, potenzielle Cyberbedrohungen zu identifizieren. Hat der Betreiber keine entsprechende Gefährdungsbeurteilung vorgenommen, liegt ein Mangel vor, der Strafen nach sich ziehen kann.

Wie Unternehmen diese rechtlichen Anforderungen trotz begrenzter Ressourcen erfüllen können, erläutert Wolfgang Huber, Regional Director Central Europe beim Sicherheitsspezialisten Cohesity: „IT-Teams werden von ihrer Sicherheitsarchitektur schon jetzt mit Warnmeldungen geflutet, die sie gar nicht abarbeiten können. Daher ist die Umsetzung zusätzlicher Vorgaben wie der neuen Betriebssicherheitsverordnung nicht trivial. Zu viele Fehlalarme und Informationen erschweren eine präzise Gefährdungsbeurteilung, da Teams Vorfälle schlecht einschätzen und im Ernstfall keine oder falsche Maßnahmen einleiten. Der Studie State of Security Operations von Forrester Consulting zufolge ist es schon jetzt so, als müssten die IT-Teams einen Flächenbrand mit dem Gartenschlauch löschen.“

Automatisierung kann Abhilfe schaffen

Um trotz begrenzter Ressourcen diese Herausforderungen zu lösen, werden IT-Systeme benötigt, die autonom auf potenzielle Angriffe reagieren und wichtige Vorkehrungen treffen, ohne dass ein Mitarbeiter des IT-Teams eingreifen muss. So analysieren moderne Data Security und Management Plattformen die Snapshots aller Daten KI und ML gesteuert und geben eine Warnung an übergelagerte SIEM-Plattformen aus, sobald sie eine Anomalie feststellen. Diese kann, muss aber kein Indiz für eine Attacke sein. Trotzdem lassen sich bei jeder Anomalie automatisch Aktionen und Regeln hinterlegen und so Kopien der betroffenen Produktionssysteme anstoßen. Das hat essenzielle Vorteile.

Bei klaren Indizien für Attacken lassen sich sofort frische Kopien der als besonders kritisch definierten Systeme generieren, ohne dass jemand eingreifen muss. Diese Daten lassen sich außerdem automatisch in einen isolierten mehrfach gesicherten und verschlüsselten externen Cyber Vault verschieben, damit im Katastrophenfall die IT-Teams die Daten von dort aus wieder zurückspielen können. Diese Automatismen helfen während der größten vorstellbaren Krise in der IT, die digitale Cyber-Resilienz zu stärken, ohne dass auch ein IT-Verantwortlicher manuell eingreifen müsste. Die wichtigsten Daten, die Kronjuwelen der Firma, werden an sichere Stelle kopiert, von wo aus die IT-Teams den Kernbetrieb aufrechterhalten können – während einer massiven Attacke.

Analysen im Hintergrund ermöglichen zusätzlichen Mehrwert

Sollte sich später herausstellen, dass die Anomalien tatsächlich von einer Attacke ausgelöst wurden, können die Sicherheitsteams die historischen Snapshots der vergangenen Wochen und Monate im Nachgang auf Fingerspuren hin durchsuchen, ohne die Produktionssysteme selbst anfassen zu müssen. In den zeitlich erfassten Snapshots können die Teams sich die verschiedenen Angriffs-Artefakte finden und den Weg des Einbruchs rekonstruieren. Mit diesem Wissen lassen sich die missbrauchten Schwächen und Lücken im Produktionssystem schließen, so dass es gehärtet wiederhergestellt werden kann.

Die Automatismen moderner Data Security und Management-Lösungen wie Cohesity helfen ebenfalls, die wachsenden Datenberge zu durchleuchten und die gefundenen Files aus Compliance- und Sicherheitssicht richtig zu behandeln. Je nach Datentyp lassen sich automatisch Aktionen festlegen. Personenbezogene Daten werden verschlüsselt und dürfen bestimmte Speicherregionen nicht verlassen, während strenge Zugriffsrechte steuern, wer sie überhaupt öffnen darf. Diese Regeln lasen sich dann Ende zu Ende durchgesetzt, unabhängig vom Speicherort der Daten und ohne, dass ein User manuell Hand anlegen muss.

Mit den Regeln lassen sich ebenfalls Verfallsfristen für Daten durchsetzen. Heute wird sicher noch ein User final entscheiden, ob diese Datensätze gelöscht werden können. Künftig könnte dieser Prozess bei eindeutig als überflüssig identifizierten Informationen automatisch geschehen. Gleiches gilt übrigens auch für Archivierungsaufgaben. Eine automatische Klassifizierung erkennt Daten, die Firmen mehrere Jahre lang aufbewahren müssen, und schiebt diese autonom in ein Archiv. Kostenbezogene Regeln können zudem steuern, dass weniger wichtige Daten in ein langsames, aber günstiges Archiv geschoben werden. Daten, auf die User oft zugreifen, lassen sich automatisch auf schnelle, aber teure Speicher-Ressourcen schieben.

German Legislators are placing greater emphasis on cybersecurity. New regulations in the Operational Safety Ordinance (Betriebssicherheitsverordnung, BetrSichV) now require companies to assess potential security vulnerabilities in software and measurement, control and regulation (MCR) technology and their degree of risk.

Operators of systems requiring monitoring, such as elevators, tank farms or biogas plants, steam boilers and other pressure vessels, are now required to identify potential cyber threats. If the operator has not carried out a corresponding risk assessment, this constitutes a deficiency that can result in penalties.

Wolfgang Huber, Regional Director Central Europe at security specialist Cohesity, explains how companies can meet these legal requirements despite limited resources: „IT teams are already flooded by their security architecture with alerts that they cannot even process. Therefore, the implementation of additional requirements such as the new operational safety regulation is not trivial. Too many false alarms and too much information make precise risk assessment difficult, as teams assess incidents poorly and take no or the wrong action in the event of an emergency. According to Forrester Consulting’s State of Security Operations study, „It’s already like IT teams have to put out a wildfire with a garden hose.“

Automation can help

To solve these challenges despite limited resources, IT systems are needed that autonomously respond to potential attacks and take important precautions without the need for an IT team member to intervene. For example, modern data security and management platforms analyze snapshots of all data AI and ML driven and issue an alert to higher-level SIEM platforms as soon as they detect an anomaly. This may or may not be an indication of an attack. Nevertheless, actions and rules can be automatically stored for each anomaly, triggering copies of the affected production systems. This has essential advantages.

If there are clear indications of attacks, fresh copies of the systems defined as particularly critical can be generated immediately without anyone having to intervene. This data can also be automatically moved to an isolated multi-secured and encrypted off-site Cyber Vault, so that in the event of a disaster, IT teams can restore the data from there. These automations help build digital cyber resilience during the largest crisis imaginable in IT, without even requiring manual intervention by an IT manager. The most important data, the crown jewels of the company, are copied to safe locations from where IT teams can maintain core operations – during a massive attack.

Background analytics add additional value

If it later turns out that the anomalies were in fact triggered by an attack, security teams can scan historical snapshots from previous weeks and months for fingerprints in the aftermath, without having to touch the production systems themselves. In the snapshots captured over time, teams can find the various attack artifacts and reconstruct the path of the intrusion. With this knowledge, the abused weaknesses and gaps in the production system can be closed so that it can be restored hardened.

The automatisms of modern data security and management solutions such as Cohesity also help to sift through the growing mountains of data and to handle the files found correctly from a compliance and security point of view. Actions can be defined automatically depending on the type of data. Personal data is encrypted and is not allowed to leave certain storage regions, while strict access rights control who is allowed to open it at all. These rules can then be enforced end-to-end, regardless of where the data is stored, and without any manual intervention by a user.

The rules can also be used to enforce expiration dates for data. Today, a user will certainly still make the final decision as to whether these data records can be deleted. In the future, this process could be automatic for information that is clearly identified as obsolete. Incidentally, the same applies to archiving tasks. Automatic classification recognizes data that companies need to keep for several years and autonomously pushes it into an archive. Cost-related rules can also control that less important data is pushed into a slow but inexpensive archive. Data that users access frequently can be automatically pushed to fast but expensive storage resources.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner