Der jüngste Cyber-Hack einer Wasseraufbereitungsanlage in Oldsmar, Florida, ist ein weiteres nachdrückliches Beispiel für die wachsende Gefahr durch cyber-physischen Bedrohungen. Die Umstellung auf konvergente Sicherheit von IT, Betriebstechnologie (OT) und physischen Sicherheitssystemen war noch nie dringender.
Der Vorfall
Der Angriff auf die Wasseraufbereitungsanlage scheint eine versuchte Übernahme des Computersystems gewesen zu sein, bei dem ein Hacker Zugang erlangte und versuchte, die Natriumhydroxidwerte (die das Wasser behandeln) von 100 Teilen pro Million auf 11.100 Teile pro Million zu ändern. Die beabsichtigte Änderung der Chemikaliendosierung wurde bemerkt, bevor sie ausgeführt wurde – und konnte eine potenzielle Katastrophe bei der Wasserversorgung der 14.000 Einwohner des Gebiets vermeiden. Wäre der Prozess abgeschlossen worden, hätte der erhöhte Gehalt an Natriumhydroxid, auch bekannt als Lauge, das Wasser der Stadt auf potenziell tödliche Werte ansteigen lassen können.
Einer Nachrichtenagentur zufolge konnte der Hacker den Angriff durchführen, indem er ein Fernzugriffssoftwareprogramm namens TeamViewer kompromittierte, das auf einem Computer der Anlagen installiert war. Mit TeamViewer können Mitarbeiter Bildschirme zur Fehlerbehebung und bei IT-Problemen gemeinsam nutzen. Glücklicherweise bemerkte ein Mitarbeiter, der den Computer überwachte, die Mausbewegungen und Tastenanschläge des Hackers und reagierte darauf, bevor der Angriff ausgeführt werden konnte.
Bloomberg Law nannte es einen „Weckruf, der seit 20 Jahren im Entstehen ist“. Experten verwiesen auf die Notwendigkeit eines besseren Schutzes auf kommunaler Ebene und eines erhöhten Bewusstseins für Cyber-Vorfälle bei kritischen Infrastrukturen und Kontrollsystemen.
Unternehmen arbeiten immer noch in Silos, aber Angreifer nicht
Laut „The State of Security Convergence in the United States, Europe and India“, einem 2019 veröffentlichten Konvergenzbericht der ASIS Foundation, passen sich Organisationen häufig nur langsam an Veränderungen an – außer, sie werden dazu gezwungen. „Die Zurückhaltung gegenüber Konvergenz basiert oft auf menschlichen Problemen“, heißt es in dem Bericht. Das Personal in physischer Sicherheit, IT und OT arbeitet meistens in veralteten, isolierten Strukturen und scheut Veränderungen, weil sie befürchten, dass Konvergenz eine Einschränkung ihrer Rollen bedeutet. Böswillige Akteure denken jedoch nicht auf diese Weise und profitieren letztendlich davon, dass diese traditionellen Rollen isoliert voneinander arbeiten.
Erschwerend kommt hinzu, dass die Überwachungssysteme für diese Funktionen selten integriert sind und noch seltener korrelieren, um ein kontextbezogenes Verständnis eines sich entwickelnden Sicherheitsvorfalls zu ermöglichen. Sowohl Menschen als auch Systeme sind voneinander isoliert – der Inbegriff von halbherziger Sicherheit.
Die Branchen in kritischen Infrastrukturen ignorieren weiterhin die Tatsache, dass Millionen von Dollar für diese halbherzigen Sicherheitsmaßnahmen ausgegeben werden, während Verstöße unvermindert weitergehen und Bedrohungsvektoren steigen. Aktuelle Ausgaben für regulatorische Compliance und Netzwerksicherheit lassen allzu oft eine strukturelle Schwachstelle außer Acht: Sicherheit ist immer noch in Unternehmenssilos gefangen und muss sich daraus befreien.
Drei Empfehlungen
1. Das intelligente Unternehmen braucht intelligente Sicherheit
Die veränderte und sich ständig verändernde Bedrohungslandschaft erfordert ein Umdenken mit dem Schwerpunkt auf Sicherheitskonvergenz. Die Bewältigung von neuen und aufkommenden Bedrohungen erfordert intelligente Plattformen, die Anwendungen effektiv konvergieren und Big Data, maschinelles Lernen und prädiktive Analysen in OT-, IT- und physischen Sicherheitsumgebungen nutzen können.
2. Die unvermeidliche menschliche Seite der Sicherheit
Im Zentrum der konvergenten Sicherheit stehen Menschen, Identität und Vertrauen. Fernarbeit und Fernzugänglichkeit sind während der Pandemie sprunghaft angestiegen und es besteht zunehmend Konsens darüber, dass die Zukunft vieler Unternehmen einen erheblichen Anteil an Remote-Arbeitskräften enthalten wird. Aber wissen Sie, wer sich um den Betrieb Ihrer kritischen Infrastruktur kümmert?
Stellen Sie sich den Mitarbeiter vor, der sich ohne legitimen Zugriff oder ohne Verwendung seiner eigenen Zugangskarte bei den Betriebssystemen von Versorgungs- oder Energieunternehmen anmelden kann, indem er einfach dicht hinter jemandem hergeht und ihm in ein Gebäude folgt. Zugang zu OT-Systemen ohne Ausweisverifizierung sollte automatische Kontrollen und Alarme auslösen, um die Sicherheitskräfte zu veranlassen, einen physischen Verstoß zu untersuchen – sei er nun harmlos oder nicht. Die Personalabteilung ist ein grundlegender Bestandteil der Lösung in risikobereiten Unternehmen und entscheidend für ein effektives Management der Belegschaft, da es als maßgebliche Quelle der Wahrheit für die Identität fungiert. Eine konvergierte Sicherheitstechnologieplattform mit einer einzigen Ansicht von Cyber-, physischen und betrieblichen Parametern bietet eine einheitliche und proaktive Reaktion auf eine Vielzahl von Vorfällen – mit Echtzeit-Datenverbindungen in allen wichtigen Unternehmensanwendungen.
3. Schutz vor Insider-Bedrohungen 2.0
Einheitliches Sicherheitsbewusstsein und KI-gestützte situative Intelligenz bieten eine zentralisierte Sicht auf komplexe Bedrohungen in Cyber-, physischen und operativen Bereichen, während automatisierte Workflows die Reaktion basierend auf Risiko und Dringlichkeit priorisieren. Echtzeitdaten werden mit KI-Identitätsinformationen in Erkenntnisse und Maßnahmen umgewandelt und Informationen werden weiter konsolidiert, um Bedrohungen für eine fundierte Entscheidungsfindung zu korrelieren.
Der Weg nach vorne
In einer Pressemitteilung vom September 2020 prognostizierte Gartner, dass bis 2024 für 75 % der CEOs die Haftung für cyber-physische Sicherheitsvorfälle „die gesellschaftsrechtlichen Haftungsbeschränkungen durchbrechen“ wird. Als Reaktion darauf werden „Regulierungsbehörden und Regierungen umgehend auf eine Zunahme von schwerwiegenden Vorfälle reagieren, die aus der mangelnden Sicherung des CPS resultieren und die geltenden Regeln und Vorschriften drastisch verschärfen“, sagte Katell Thielemann, Research Vice President bei Gartner. „Bald werden CEOs nicht mehr in der Lage sein, sich auf Unwissenheit zu berufen oder sich hinter Versicherungspolicen zurückzuziehen.“
Wir leben in noch nie dagewesenen Zeiten. Angriffe auf anlagenintensive Umgebungen wie kritische Infrastrukturen und das Gesundheitswesen werden weiter zunehmen, da böswillige Akteure neue Möglichkeiten zum Ausnutzen potenzieller Schwachstellen schaffen. Von COVID-19 bis hin zu Cyberangriffen – die Bedrohungen sind vielfältig und komplex. Als führendes Unternehmen auf dem Gebiet der Sicherheit und Technologie ist es unsere Aufgabe, uns dieser Herausforderung zu stellen. Bei Alert Enterprise glauben wir, dass nur ein konvergenter Ansatz, der über die IT-zentrierte Cybersicherheit hinausgeht, der Weg in die Zukunft ist.
Von Mark Weatherford
Alert Enterprise, CISO