Laut einer kürzlich veröffentlichten Langzeitstudie von Bitkom werden in Deutschland bis 2040 etwa 663.000 IT-Fachleute fehlen. Bereits im letzten Jahr konnten in Deutschland rund 104.000 Stellen nicht besetzt werden. Das ist eine besorgniserregende Entwicklung, insbesondere in Zeiten der zunehmenden Vernetzung zwischen OT- und IT-Umgebungen.
Kompromittierte OT-Geräte stellen ein erhebliches Risiko dar. Verluste entstehen dabei nicht nur durch Zahlungen von Ransomware-Forderungen, sondern auch durch Umsatzeinbußen und hohe Kosten im Zusammenhang mit der Wiederherstellung und der Verhinderung eines erneuten Auftretens. Die Identifizierung von Schwachstellen und Verhaltensanomalien in der Vielzahl komplexer OT-Geräte ist arbeitsintensiv und zeitaufwändig. Das bindet wertvolle Ressourcen.
Die größten Herausforderungen bei der Sicherung von OT-Umgebungen sind:
- Eine spürbare Qualifikationslücke bei der Cybersecurity-Expertise in Betriebsteams sowie ein Mangel an Kenntnissen zu Produktionsabläufen in den Security Operations Centers (SOCs).
- Aufgrund der sensiblen Natur von ICS-Umgebungen (Industrial Control System) müssen die Tools oft passiv sein. Das bedeutet, sie sind nicht so konfiguriert, dass sie automatisch eine Abschaltung auslösen, wenn kein verifizierter Fehler vorliegt.
- Viele OT-Umgebungen arbeiten mit älteren Geräten, was in Verbindung mit Herstellerbeschränkungen die Abdeckung durch Sicherheitstools für Endpunkte einschränkt.
- Begrenzte Wartungsfenster und die Notwendigkeit eines kontinuierlichen Betriebs erschweren das Patch-Management. Hinzu kommt, dass das Management oft der Verfügbarkeit Vorrang vor der Sicherheit einräumt und daher Schwachstellen jahrelang offen bleiben.
Traditionell wurden IT- und OT-Netzwerke getrennt betrieben. OT-Systeme waren von außen nicht zugänglich, da keine Verbindung mit anderen Systemen bestand. Dieser Ansatz des Air-Gapping ist oft nicht mehr möglich, da IT- und OT-Systeme zunehmend integriert arbeiten. Oftmals bestehen auch unbekannte IT/OT-Konvergenzen, die Angreifer ausnutzen können. Da die Integration von IT und OT voranschreitet, sind gemeinsame Anstrengungen für die Entwicklung eines ausgereiften OT-Cybersicherheitsprogramms unerlässlich.
Doch selbst vollständig isolierte Systeme können durch menschliche Fehler kompromittiert werden. Dies geschieht etwa durch Social Engineering, wobei Mitarbeiter oder Dienstleister unbeabsichtigt Malware in das System einbringen. Eine weitere Trennung zwischen IT- und OT-Umgebungen kann darüber hinaus die Reaktionsfähigkeit auf einen Sicherheitsvorfall verlangsamen.
IT- und OT-Sicherheit bündeln
IT-Teams haben die Vorteile der digitalen Transformation in ihren Geschäftsabläufen schon seit langem erkannt, während OT in der Regel hinterherhinkte. Das ändert sich jetzt. Da die Vernetzung von IT und OT weiter voranschreitet, sind gemeinsame Anstrengungen für die Entwicklung eines ausgereiften OT-Cybersicherheitsprogramms unerlässlich.
Viele Unternehmen verlassen sich bei der Erkennung von Bedrohungen auf entsprechende Indikatoren (Indicator of Compromises, IOCs). Diese übersehen aber häufig Insider-Bedrohungen und neuartige Angriffe, weil die Taktiken, Techniken und Verfahren sowie Angriffs-Toolkits in der Praxis noch nicht bekannt sind. Dagegen können KI-gestützte Lösungen, die sich auf anomale Verhaltensweisen konzentrieren, um neuartige Bedrohungen zu erkennen, mit Maschinengeschwindigkeit reagieren und die Wiederherstellung nach Cybervorfällen in Industriesystemen unterstützen.
Dabei müssen IT- und Sicherheitsteams die besonderen Risiken in der OT erkennen, die über den Verlust von sensiblen Daten, Integrität oder Verfügbarkeit hinausgehen. Denn Cyberangriffe auf OT-Umgebungen können auch zu Fehlfunktionen und gefährlichen Arbeitsbedingungen, Unfällen oder zum Austreten von Gefahrstoffen führen. Auf der anderen Seite müssen OT-Teams aufkommende Sicherheitsrisiken erkennen und verstehen, dass veraltete Sicherheitsstrategien wie Air-Gapping nicht mehr funktionieren.
Wie KI die OT-Sicherheit verbessert
Um möglichen Schwachstellen in ihrer OT-Infrastruktur zuvorzukommen, müssen Unternehmen von einem reaktiven Cybersecurity-Ansatz zu proaktiven Strategien übergehen. Eine selbstlernende KI kann das Verhalten innerhalb der OT-Infrastruktur analysieren, anhand dieses Wissens automatisch Anomalien erkennen und Sicherheitsteams aktiv alarmieren. KI-basierte Technologie bietet:
- Verhaltensanalyse durch maschinelles Lernen: KI analysiert riesige Datenmengen (Millionen von Sicherheitsereignissen) und erkennt Muster, wodurch die Fähigkeit, Cyberangriffe zu verhindern und die Reaktionszeiten zu verkürzen, verbessert wird.
- Überwachung und Optimierung von industriellen Prozessen: KI kann den Wartungsbedarf vorhersagen und dabei helfen, Anlagenausfälle zu vermeiden, die zu ungeplanten Produktionsstillständen führen.
- KI-basierte Automatisierung von Sicherheitsaufgaben wie Netzwerküberwachung, Identifizierung von Anlagen und Impact-Analysen. Dies verbessert nicht nur die Effizienz, sondern ermöglicht es Sicherheitsanalysten auch, sich auf komplexere und strategische Aufgaben zu konzentrieren.
Die KI-Plattform von Darktrace nutzt fortschrittliche mathematische Modelle, um strategische Risiken in Echtzeit zu bewerten und risikoreiche Angriffspfade zu entdecken. Darüber hinaus nutzt sie Natural Language Processing (NLP), um Maßnahmen zur Sicherheit und Risikominderung klar darzustellen. Berichte über Sicherheitsvorfälle und umfassende Zusammenfassungen werden eigenständig erstellt. Das reduziert erheblich die Arbeitsbelastung und Reaktionszeiten der Sicherheitsteams. Diese Funktionalität erleichtert auch die Einhaltung von Vorschriften.
Anstatt sich auf das Wissen über frühere Angriffe zu verlassen, lernt KI-Technologie, was für ihre Umgebung „normal“ ist, und entdeckt durch die Erkennung subtiler Verhaltensänderungen bislang unbekannte Bedrohungen. Nur durch den Einsatz von KI für die OT-Cybersicherheit und die Zusammenarbeit mit der IT lassen sich kritische OT-Anlagen vor Angriffen schützen und vor potenziell fatalen Folgen bewahren.