Widerstandsfähige OT – Resilient OT

Gegen 2013 verlagerte die Dragonfly-Gruppe den Schwerpunkt ihrer Spionagekampagne auf europäische und US-amerikanische Energieunternehmen. Bis 2021 hatte die Gruppe Volt Typhoon ein Spionagenetzwerk in Energie-, Wasser-, Transport- und Kommunikationsunternehmen infiltriert und aufgebaut. Dieses riesige Spionagenetzwerk wurde 2023 aufgedeckt und 2024 teilweise zerschlagen.

Bereits in den frühen 2000er Jahren versuchten Experten, kritische Infrastruktursektoren davon zu überzeugen, warum sie ihre Cybersicherheitslücken schließen müssen. Dies war und ist ein schwieriges Unterfangen, da viele dieser Organisationen mit dem Betrieb einer soliden und robusten Netzwerkinfrastruktur zu kämpfen haben – eine grundlegende Voraussetzung für Cybersicherheit. Angesichts von Ransomware und staatlich gesponserten Bedrohungen, fragen sich Unternehmen was sie alles nächstes tun müssen. Doch einige haben noch nicht einmal den ersten Schritt getan. Sie wissen nicht, wie sie Bedrohungen monitoren können, um sicherzustellen, dass die wichtigsten OT-Abläufe auch bei Cyberangriffen sicher bleiben.

Damit eine OT/ICS-Umgebung betrieblich belastbar ist, gilt es die grundlegenden Funktionsanforderungen kritischer Systeme zu verstehen. Dazu gehören die Integrität und Verfügbarkeit zur Aufrechterhaltung von Sicherheit und Kontrolle bei gleichzeitigem Gleichgewicht zwischen Menschen und Technologie sowie manuellen und automatisierten Systemen und Prozessen.

Das Konzept der kritischen Systeme beginnt mit einem „Bottom-up“-Verständnis. Im Zusammenhang mit diesem Verständnis geht es darum zu verstehen, was produziert oder geliefert sowie den unmittelbaren Systemen, die zur Durchführung dieser Aktivitäten benötigt werden. In Verbindung mit einer Analyse des Betriebsrisikos und der Prozessrisiken führt dies zu einem besseren Verständnis dessen, was als kritisch einzustufen ist, aber auch, wo die betriebliche Ausfallsicherheit berücksichtigt werden muss. Natürlich gibt es sehr unterschiedliche Perspektiven, wenn man verschiedene Organisationen betrachtet.

Viele Sektoren sind mit steigenden Betriebskosten konfrontiert und müssen gleichzeitig neue Methoden und Technologien einführen, um wettbewerbsfähig oder wirtschaftlich lebensfähig zu bleiben. Hierin liegt die Herausforderung. Diese Unternehmen müssen ständig ein Gleichgewicht zwischen der Bereitstellung von Finanzmitteln für neue Technologien oder Architekturphilosophien finden, um die Rentabilität des Unternehmens zu gewährleisten.

Hinzu treten mehrere neue, aber notwendige Ansätze zur Regulierungssteuerung, die entweder bereits vorgelegt wurden oder sich noch in der Anfangsphase befinden. Die Regulierung hat ihren Sinn, wenn sie dazu dient, Ziele und Vorgaben ohne Vorschriften festzulegen, doch werden Vorschriften starr, wenn sie auf agile Gegner treffen. Die Eigentümer und Betreiber regulierter Systeme müssen flexibel bleiben, wenn sie entscheiden, wo und wie sie Cybersicherheit einsetzen, um die betriebliche Widerstandsfähigkeit zu stärken, wenn sich die Bedrohungslandschaft ändert.

Betrachtet man die Branche heute, so lässt sich jede Organisation für kritische Infrastrukturen zumindest teilweise in eine dieser drei Perspektiven einordnen:

1. Einige Organisationen haben ihre IT-basierten Lösungen beibehalten, weil sie 1) eine robustere Netzwerkinfrastruktur benötigten und 2) nicht über das OT-Personal verfügten, das die Rolle der Cybersicherheit effektiv übernehmen konnte. Dies hat zu Konflikten, Unterbrechungen und einem Mangel an effektiven Reaktionsmöglichkeiten geführt. Diese Organisationen haben aufgrund der Größe und Komplexität ihrer Betriebsumgebungen Schwierigkeiten mit einem Bottom-up-Ansatz.
2. Organisationen, die sich entweder auf eine vermeintliche Sicherheitslücke verlassen oder ihre OT-Systeme mit externen Systemen überfrachtet haben. Ich sage gefühlt, weil für die meisten Unternehmen ein OT/ICS mit Luftlücken nicht mehr machbar ist. Diese Unternehmen haben entweder nicht nachgeschaut oder verstehen die Lösungen, die sie eingesetzt haben, nicht. Vielleicht ist es die Perspektive, die Definition eines Airgaps oder das Vertrauen in ihre Dienstleister. Bei Unternehmen heute gibt es aufgrund der Herausforderungen bei der Produktivitätssteigerung in der Regel eine gewisse betriebliche Beziehung zwischen IT, OT und sogar der Cloud. In der Fertigung gab es schon eine enge Beziehung zwischen IT und OT, lange bevor der Begriff Konvergenz aufkam.
3. Es gibt Organisationen, einschließlich kritischer Infrastrukturen, die noch nicht mit der Umsetzung von Cybersicherheit begonnen haben oder noch in den Kinderschuhen stecken. Oft sind sie mit unqualifiziertem Personal oder unzureichenden finanziellen Mitteln konfrontiert, um angemessene Cybersicherheitsmaßnahmen durchführen zu können. Für kleinere Versorgungsunternehmen stellt dies eine große Herausforderung dar, da sich ihre Kostenstruktur auf die Notwendigkeit konzentriert, den normalen, grundlegenden Betrieb außerhalb eines Cyber-Ereignisses aufrechtzuerhalten. Die Einführung zusätzlicher Sicherheitstools und -lösungen wird wahrscheinlich dazu führen, dass diese überhaupt nicht genutzt werden oder nicht ausreichend verwaltet werden, was sie angreifbar macht.

Absicherung von OT-Systemen

Unternehmen müssen sich darauf konzentrieren, Cybervorfälle zu verhindern. Sie müssen aber auch wissen, wie sie auf Vorfälle reagieren und – was ebenso wichtig ist – den Betrieb während eines Vorfalls aufrechterhalten können. Es muss eine enge Beziehung und Zusammenarbeit zwischen Sicherheitsoperationen und operativer Widerstandsfähigkeit bestehen. Die Regulierung schafft zwar eine Kultur und stellt Mittel bereit, kann aber zu einer Divergenz zwischen den Sicherheitszielen und der Einhaltung der Vorschriften führen, wodurch die Wirksamkeit der Finanzierung der Cybersicherheit eingeschränkt wird.

Es gibt viele Herausforderungen bei der Durchführung von IT-Schwachstellenmanagement-Programmen innerhalb von OT, beispielsweise:

• Eine automatisierte Einführung, die zu ungeplanten Ausfällen und Instabilitäten führt.
• Verwendung von IT-Methoden, die nicht mit dem ICS-Betrieb übereinstimmen. Die Finanzierung und der ROI übersteigen die Aufrechterhaltung der operationellen Widerstandsfähigkeit als Maßstab.
• Die Durchführung eines IT-Schwachstellenmanagementprogramms lenkt von der Durchführung notwendiger Cybersicherheitsaufgaben ab.

Schließlich müssen Implementierungslücken und operative Prioritäten ausgleichen, dass ICS nur über begrenzte Sicherheitsfunktionen und eine begrenzte Anpassungsfähigkeit an aktuelle Sicherheitsoperationen verfügen. Einsatzorientierte Prioritäten können dem gesamten Team aus Sicherheits- und Betriebsmitarbeitern operative Effektivität und flexible Sicherheitsfunktionen bringen. Einen Blick auf diese Entwicklung wirft auch der Expertenkreis, der sich zum ICS Summit in München Mitte Mai trifft.

Fazit

Unabhängig vom aktuellen Stand der Cybersicherheit einer Organisation müssen alle Mitarbeiter ihren operativen Auftrag und die vorhandenen Bedrohungen klar verstehen. Die Aufgabe eines jeden ICS-Verteidigers besteht darin, den Betrieb vor, während und nach einem Cybervorfall aufrechtzuerhalten. ICS-Teams, die sich mit dem Schutz kritischer Infrastrukturen befassen, drohen in einen Tunnelblick auf ihre alltäglichen Aktivitäten zu verharren. In vielen Fällen nehmen sich die Teams nicht die Zeit, sich in die Lage der anderen Teams hineinzuversetzen. Das ist bedauerlich, denn diese Praxis hilft, um Möglichkeiten zur Verbesserung der Effektivität und zur Härtung der Abwehrmaßnahmen zu ermitteln. Ein IT-Sicherheitsanalyst oder -architekt muss zum Beispiel kein ICS-Spezialist sein, um diese Systeme zu verteidigen. Da sie zum selben Verteidigungsteam gehören, kann der Analyst problemlos mit dem OT-Ingenieur ins Gespräch kommen. Maximale Effektivität wird erreicht, wenn jede Gruppe die Herausforderungen, Grenzen und Entscheidungsprozesse der anderen versteht.

Kritische Infrastruktursysteme sind ein komplexes Gefüge aus Menschen und digitalen und physischen Systemen. Alles an diesem Orchester ist ausgeklügelt; es ist auf eine primäre Funktion und einen Zweck ausgerichtet. Um Integrität und Zuverlässigkeit zu gewährleisten, verfügt die Branche über standardisierte Methoden und Technologien, die in allen Bereichen und von allen Mitarbeitern wiederverwendet und angepasst werden können. Das wissen jedoch auch die Angreifer, die dieses Wissen in ihre Fähigkeiten einfließen lassen. Unternehmen glauben manchmal, dass sie alle Angriffe abwehren und alle Schwachstellen schließen können, doch die Realität ist das Living-of-the-Land-Prinzip, also der Missbrauch bestehender Instrumente und Dienste, die normalerweise für betriebliche Zwecke eingesetzt werden.

Towards 2013, the Dragonfly group shifted the focus of its espionage campaign to European and US energy companies. By 2021, the Volt Typhoon group had infiltrated and built an espionage network in energy, water, transportation, and communications companies. This vast espionage network was uncovered in 2023 and partially dismantled in 2024.

In the early 2000s, experts tried to convince critical infrastructure sectors why they needed to close their cybersecurity gaps. This was, and still is, a difficult endeavor, as many of these organizations struggle to operate a solid and robust network infrastructure – a fundamental requirement for cybersecurity. In the face of ransomware and state-sponsored threats, organizations are wondering what to do next. But some haven’t even taken the first step. They don’t know how to monitor threats to ensure that critical OT operations remain secure in the face of cyberattacks.

For an OT/ICS environment to be operationally resilient, it is important to understand the basic functional requirements of critical systems. These include integrity and availability to maintain security and control while balancing people and technology, as well as manual and automated systems and processes.

The concept of critical systems begins with a „bottom-up“ understanding. This understanding includes an understanding of what is produced or delivered and the direct systems required to perform these activities. Combined with an analysis of operational and process risk, this leads to a better understanding of what is critical, but also where operational resilience needs to be considered. Of course, there are very different perspectives when looking at different organizations.

Many industries are faced with rising operating costs and the need to adopt new methods and technologies to remain competitive or profitable. Therein lies the challenge. These companies must constantly balance the need to fund new technologies or architectural philosophies with the need to ensure the viability of the business.

In addition, there are several new but necessary approaches to regulatory control that have either been proposed or are in the early stages. Regulation makes sense when it is used to set goals and objectives in an unregulated environment, but regulation becomes rigid when it encounters agile adversaries. Owners and operators of regulated systems must remain flexible in deciding where and how to deploy cybersecurity to strengthen operational resilience as the threat landscape changes.

Looking at the industry today, every critical infrastructure organization falls at least partially into one of these three perspectives:

1. Some organizations have maintained their IT-based solutions because they 1) needed a more robust network infrastructure and 2) did not have the OT staff to effectively take on the role of cybersecurity. This has led to conflict, disruption and a lack of effective response capabilities. These organizations struggle with a bottom-up approach due to the size and complexity of their operating environments.
2. Organizations that either rely on a perceived security vulnerability or have overloaded their OT systems with external systems. I say „perceived“ because for most organizations, OT/ICS with air gaps is no longer feasible. These companies either haven’t looked or don’t understand the solutions they’ve deployed. Maybe it’s the perspective, the definition of an air gap, or the trust in their service providers. For companies today, there is usually some operational relationship between IT, OT and even the cloud due to the challenges of increasing productivity. In manufacturing, there was a close relationship between IT and OT long before the term convergence was coined.
3. There are organizations, including critical infrastructure, that have not yet begun to implement cybersecurity or are still in its infancy. They are often faced with unqualified personnel or insufficient financial resources to implement adequate cybersecurity measures. For smaller utilities, this is a significant challenge as their cost structure is focused on the need to maintain normal, basic operations outside of a cyber event. Implementing additional security tools and solutions is likely to result in them being underutilized or undermanaged, leaving them vulnerable to attack.

Securing OT Systems

Organizations need to focus on preventing cyber incidents. But they also need to know how to respond to incidents and, just as importantly, how to maintain operations during an incident. There needs to be a close relationship and collaboration between security operations and operational resilience. While regulation creates a culture and provides funding, it can lead to a conflict between security goals and compliance, limiting the effectiveness of cybersecurity funding.

For example, there are many challenges to implementing IT vulnerability management programs within OT:

– An automated rollout that leads to unplanned outages and instability.

– Using IT methodologies that are not aligned with ICS operations as well as Funding and ROI that exceed maintaining operational resilience as a benchmark.

– Implementing an IT vulnerability management program distracts from performing necessary cybersecurity tasks.

Finally, implementation gaps and operational priorities must balance the fact that ICSs have limited security capabilities and limited adaptability to current security operations. Operational priorities can bring operational effectiveness and flexible security capabilities to the entire team of security and operations personnel. The expert group meeting at the ICS Summit in Munich in mid-May will also address this development.

Bottom Line

All employees must have a clear understanding of their operational mission and the threats that exist regardless of the current state of an organization’s cybersecurity. The job of every ICS defender is to keep operations running before, during and after a cyber incident. ICS teams involved in critical infrastructure protection run the risk of getting stuck in the tunnel vision of their day-to-day activities. In many cases, teams do not take the time to put themselves in the shoes of other teams. This is unfortunate because this practice helps identify opportunities to improve effectiveness and strengthen defenses. For example, an IT security analyst or architect does not need to be an ICS specialist to defend these systems. Because they are part of the same defense team, the analyst can easily talk to the OT engineer. Maximum effectiveness is achieved when each group understands the challenges, limitations, and decision-making processes of the other.

Critical infrastructure systems are a complex orchestra of people and digital and physical systems. Everything about this orchestra is sophisticated; it is focused on a primary function and purpose. To ensure integrity and reliability, the industry has standardized methods and technologies that can be reused and adapted across all domains and by all personnel. However, attackers are aware of this and are incorporating this knowledge into their capabilities. Organizations sometimes believe that they can stop all attacks and close all vulnerabilities, but the reality is that they are living off the land, misusing existing tools and services that are normally used for operational purposes.