Wie übersetzt man IT-Sicherheit in OT-Sicherheit?

Klaus Mochalski

Willkommen zu einer neuen Folge von OT Security Made Simple. Ich bin Klaus Mochalski, Gründer von Rhebo. Mein heutiger Gast ist Mohammed Saad. Mohammed ist ein langjähriger OT-Cybersecurity-Spezialist. Wenn ich mich richtig erinnere, war er über 12 Jahre in verschiedenen OT-Sicherheitsfunktionen bei Honeywell tätig. Heute ist er ein unabhängiger OT-Cybersicherheitsberater. Aber Mohammed, nun zu dir. Erzähl uns ein wenig über dich.

Mohammed Saad

Oh, danke, Klaus, und danke, dass ich in deinem Podcast sein darf. Wie du gerade erwähnt hast, bin ich seit etwa 20 Jahren im Bereich ICS und OT tätig. Ich bin ausgebildeter Ingenieur für Steuerungs- und Regelungssysteme und habe mehrheitlich Erfahrung in verschiedenen Steuerungs- und Automatisierungssystemen. Und ich bin froh, dass ich die letzten 12 Jahre bei Honeywell gearbeitet habe. Ich war an der Gründung ihres OT-Cybersecurity-Startups beteiligt. Ich liebe die Arbeit mit Kunden. Ich liebe es, Cybersicherheitsprogramme zu konzipieren und zu entwickeln. Im Moment arbeite ich als Berater für OT-Cybersicherheit und Geschäftsentwicklung. Ich helfe also auch OT-Cyberunternehmen und Technologieunternehmen dabei, zu wachsen und zu skalieren, und ich unterstütze unsere Anlagenbesitzer und Kunden dabei, ihr Cybersicherheitsprogramm zu verbessern.

Klaus Mochalski

Es scheint, als hättest du wirklich eine Menge gesehen, wenn es um den Aufbau von Cybersicherheitsprogrammen geht, insbesondere im Hinblick auf OT. Dies ist ein Trend, den wir im letzten Jahr bei erfahreneren Anlagenbesitzern beobachten konnten, d.h. dass die OT-Sicherheit ernster genommen wird als noch vor fünf oder sogar zehn Jahren. Es gibt definitiv eine Entwicklung, und darüber wollen wir sprechen.

Ich möchte von dir gerne erfahren, was du heute als Best-Practice-Ansatz ansiehst. Für mich ist dies eine Fortsetzung einer früheren Folge, die ich mit Jonathan Gordon von TakePoint Research gemacht habe. Wir haben eine Folge mit dem Titel Why CISOs are Becoming a Company's Superman and Superwoman aufgenommen. Die Erkenntnis aus dieser Folge war für mich, dass OT-Cyber-Risiken zu einem Geschäftsrisiko werden oder als solches behandelt werden, wie jedes andere Geschäftsrisiko auch. Als solches wird es grundsätzlich bis hinauf zum Vorstand und zum Managementteam kommuniziert. Der CISO muss Teil dieses Managementteams sein, und sie befassen sich mit dieser Frage, mit diesem Problem, mit dem Cybersicherheitsrisiko, wie mit jedem anderen Geschäftsrisiko.

Und natürlich besteht die Herausforderung im Tagesgeschäft darin, das Problem der bidirektionalen Kommunikation zu lösen. Es geht also nicht nur um einen Bottom-up-Ansatz, bei dem die OT-Ingenieur:innen [den CISO] sagen, was sie brauchen und was nicht, sondern auch um einen Top-down-Ansatz. Und das ist, glaube ich, die große Herausforderung, um diese Kommunikationsdisparität zu lösen, die wir sehr oft sehen. Und das ist es, was ich von dir gerne erfahren möchte. Kommen wir also zu der Frage, was genau du meinst, wenn du von einem Cybersicherheitsprogramm sprichst.

Mohammed Saad

Ja, das stimmt. Als wir vor 10 Jahren mit der OT-Cybersicherheit begannen, bestand das Hauptproblem darin, unseren OT-Kunden zu helfen, die Notwendigkeit einer OT-Cybersicherheitsbewertung gegenüber ihrem Vorstand oder ihren Unternehmen zu erklären. Dabei haben wir festgestellt, dass IT und OT unterschiedliche Sprachen sprechen. Beide sprechen unterschiedliche Sprachen. In Hunderten von Gesprächen sprechen die Leute darüber, dass sich IT von OT unterscheidet.

Aber ich habe so viele Asset Owner gefunden, die sehr erfolgreich sind. Diese Leute wissen, wie wichtig es ist, eine mittlere Organisation zu haben, die die Übersetzung und die Kommunikation zwischen beiden Seiten übernimmt. Denn in der IT geht es immer um Finanzen und Geschäftsrisiken, und sie haben bereits Vorschriften, sie sind auf dem neuesten Stand, und alle großartigen Dinge werden umgesetzt. In der OT geht es immer um veraltete Technologie, veraltete Protokolle, und sie sprechen auch nicht über ein ähnliches Risiko, sondern über ein physisches Risiko, Betriebsverluste und andere Dinge. Ich denke, und das habe ich gesehen, dass eine mittlere Organisation, die wir zuvor als IT- oder OT-Organisation oder OT-Führung oder etwas in dieser Art bezeichnet haben, sehr dabei geholfen hat, die OT-Bedürfnisse an die Unternehmens-IT zu übermitteln und sie genehmigt zu bekommen.

Aber die andere Sache ist, dass die CISOs im Laufe der Entwicklung immer die Verantwortung für die gesamte Cybersicherheit des Unternehmens hatten. Allerdings haben sie die OT-Sachen immer übersehen, weil sie in vielen Fällen die dortigen Anforderungen nicht verstanden haben. Aber nach den vielen Angriffen, die sich derzeit ereignen - und diese Angriffe führen dazu, dass diese Unternehmen große finanzielle Verluste oder Betriebsverluste erleiden - haben sie festgestellt: „Oh, der operationelle Bereich ist viel teurer, wenn man ihn ignoriert!“ Die CISO selbst bekommen jetzt Fragen von ihren CIOs oder dem Vorstand: „Sind wir bereit, uns dieser Art von Angriffen zu stellen?“ Also versuchen [die CISOs] jetzt, dies zu verstehen.

Der Aufbau einer solchen Organisation und der Einsatz von OT-CISOs, die den CISOs der Unternehmen oder den CIOs unterstellt sind, helfen der Organisation, die Cybersicherheit in beiden Unternehmen zu erhöhen.

Ich sehe das übrigens auch als eine kosteneffiziente Lösung, weil man nicht viel mehr für Richtlinien hier und da ausgeben muss. Man muss nur die Richtlinien erweitern. Sicherlich wird die Lösung unterschiedlich sein, aber bei den Richtlinien und Verfahren sollte alles mit dem Risiko verknüpft werden.

Klaus Mochalski

Das ist sehr interessant. Du sprichst hier eine Menge Dinge an, und ich versuche, das für unsere Zuhörer besser zu verstehen. Zunächst einmal sagst du, dass die CISOs verantwortlich sind und dass sie die Fragen bekommen, weil das OT-Cybersicherheitsrisiko jetzt ein gut publiziertes Thema ist, so dass man es nicht mehr ignorieren kann. Da ist es nur natürlich, dass sie die Fragen bekommen. Zweitens sagst du, dass es in den meisten Unternehmen nicht ausreicht, einfach die IT-Abteilung in Sachen OT- und die OT-Teams in Sachen IT-Sicherheit zu schulen. Vielmehr muss dies in einem Unternehmen formalisiert oder institutionalisiert werden, indem eine Abteilung oder ein Team geschaffen wird, das für die Überbrückung der Kluft oder des Kommunikationsgefälles zwischen den OT- und den IT-Teams verantwortlich ist. Diese Teams sollten den CISOs unterstehen. Du hast auch die Rolle von OT-CISOs erwähnt. Sind diese von den CISOs des Unternehmens getrennt? Ist dies nur eine Rolle, die man in einer Person vereinen könnte, oder sollte das personell getrennt werden?

Mohammed Saad

Wenn wir über ein großes Unternehmen sprechen, dessen CISO einer der Führungskräfte ist und direkt an den Vorstand oder so berichtet, dann verantwortet diese Person die gesamte Sicherheit. Und diese OT-CISOs berichten an die CISOs oder deren Organisation, denn schließlich unterstützen sie deren Vision und Aufgabe. Wenn wir über [Unternehmen mit einem oder einer] CIO sprechen, an die ein:e CISO Bericht erstattet, dann müssen wir die OT-CISO ermächtigen, dafür zu sorgen, dass das physische Risiko und das OT-Cybersicherheitsrisiko angegangen wird, und wir auch gegenüber anderen Autorität haben.

Kurz gesagt, können wir also sagen, dass die OT-CISOs standardmäßig den CISOs der Unternehmen unterstellt sein werden. Aber wir können auch sagen, dass diese CISOs in einigen Unternehmen die IT/OT-Führungskräfte sein könnten, denn das hängt von der Größe des Unternehmens ab. Standardmäßig berichten sie an den oder die CISO des Unternehmens und unterstützen diese Rolle.

Klaus Mochalski

Das hört sich nach einer sehr schwierigen Situation an. Ich versuche mir gerade vorzustellen, dass ich in dieser Position bin und diese beiden Welten miteinander verbinden muss. Wie sieht es zum Beispiel mit dem Widerstand aus, den wir oft von IT-Abteilungen bekommen, und wie könnte man damit umgehen? Ich habe das selbst erlebt, zum Beispiel bei [Anbietern], die die Hardware liefern, die ich zu sichern versuche. Wenn auf dem Gerät, sagen wir, ein Cisco-Etikett ist, fühlt sich die IT-Abteilung verantwortlich. Wenn auf dem Gerät ein Honeywell- oder Siemens-Etikett ist, fühlt sich jemand ganz anderes verantwortlich. Normalerweise werden diese Grenzen nicht überschritten oder vermischt. Es gibt eine scharfe Grenze.

Wenn die OT-Leute anfangen, in den Bereich dessen einzudringen, was die IT-Abteilung als ihr Fachgebiet ansieht, dann gibt es in der Regel Widerstand. Die sagen dann: Na ja, wir kümmern uns um Firewalls! Das ist unsere Verantwortung. Wie können die OT-CISOs mit diesem Widerstand der IT-Abteilung umgehen?

Mohammed Saad

Ich erwarte nicht, dass OT-CISOs 100%ige Techniker:innen sind. Sie sollten über organisatorische Fähigkeiten verfügen, denn wenn man meine jüngsten Vorträge und Artikel verfolgt, habe ich über ein Enterprise OT Cybersecurity Program gesprochen. Das bedeutet, dass es nicht nur um ein OT-Cybersicherheitsprogramm aus Sicht der OT-Cybersicherheit geht, sondern darum, wie man es mit dem Unternehmen verknüpft. Ich denke, die IT-Abteilung ist immer bestrebt, die gesamte Organisation zu sichern, weil sie nicht möchte, dass etwas schiefgeht. Die OT-Abteilung ist bestrebt, ihre OT und das ICS zu sichern, und sie möchte nicht, dass jemand die Latenzzeit und den Betrieb der OT beeinträchtigt.

Mit OT-CISOs, die etwas von Organisation, Kommunikation und Führung verstehen und zudem über Erfahrung mit ICS, wie z. B. industriellen Steuerungssystemen, verfügen, können sie in der gleichen Sprache wie die IT kommunizieren. Die IT-Abteilung spricht von Vertraulichkeit, sie spricht immer von Risiko und Risikobewertung und davon, inwieweit das Geschäft überhaupt beeinträchtigt wird. Nicht nur eine Seite, nicht nur der operationelle Betrieb. Ich denke, dass diese Person bei derartigen Widerständen helfen wird.

Klaus Mochalski

Wir brauchen auf jeden Fall jemanden mit Kommunikationsfähigkeiten, vielleicht sogar mit politischem Geschick, denn diese Diskussionen können, wie wir wissen, manchmal ziemlich chaotisch werden. Es ist eine sehr anspruchsvolle Aufgabe. Es sind nicht nur die technischen Fähigkeiten, die hier wichtig sind. Das ist mir klar. Du hast auch erwähnt, dass in der IT-Sicherheit viele Diskussionen von kommerziellen [Interessen] geleitet werden. Das ist wahrscheinlich auch gut so, denn wir reden hier über kommerzielle Unternehmen, also sollte alles von den Finanzen bestimmt sein. Das ist ganz natürlich. Ich denke, das ist etwas, das wir verstehen und vielleicht besser handhaben und auch im Bereich der OT-Sicherheit besser kommunizieren müssen.

Wie können wir, deiner Erfahrung nach, die spezifischen OT-Anforderungen mit den finanziellen Auswirkungen in Einklang bringen? Mit der Kommunikation und den Diskussionslinien der IT-Abteilungen in Einklang bringen, bei denen jede Investition gerechtfertigt und das Risiko quantifiziert werden muss, sowohl in Bezug auf die Wahrscheinlichkeit als auch auf die Folgen? Wir brauchen das Gleiche für die OT. Aber auch in Anbetracht der Tatsache, dass es in der Vergangenheit nicht so viele OT-Vorfälle gab, die eine bestimmte Investitionsentscheidung statistisch untermauern oder rechtfertigen können. Wie können wir mit dieser Herausforderung umgehen? Denn manchmal könnte ein Gegenargument lauten: Nun, wir sehen nicht viele OT-Cybervorfälle, also ist es vielleicht am besten, dieses Thema weitgehend zu ignorieren und nicht zu viel darin zu investieren. Wie gehst du damit um, insbesondere wenn du die Rolle des OT-CISO innehast?

Mohammed Saad

Ja. Ich denke, das Hauptproblem ist wieder die Kommunikation. Denn warum gibt es nicht viel mehr Angriffe, die in der OT eine Katastrophe auslösen? Weil OT vielschichtig ist. Sie besitzt Sicherheit. Es gibt nicht nur die Sicherheits-SPS oder die Sicherheitssysteme, sondern auch die Sicherheit auf der Prozesssteuerungsebene. Es gibt Ventile, es gibt Sicherheitsventile und andere. Man kann sagen, dass es viele Sicherheits- oder Schutzschichten gibt, damit die OT nicht aus dem Ruder läuft. Ich denke, OT-CISOs helfen beim Übersetzen:

• wie OT [strukturiert ist]

• was ICS ist,

• warum es keine Angriffe gibt, und

• was passiert, wenn es einen Angriff gibt.

Ich hatte vor sieben, acht Jahren einen Kunden, der in einem sehr bekannten Öl- und Gasunternehmen tätig war. Sie waren damals von einem der berühmten Angriffe betroffen. Dennoch kämpfte er zwei Jahre lang um die Finanzierung seines OT-Programms. Sie hatten den Angriff. Sie waren in den Nachrichten, und er hatte [immer noch] Probleme, das Budget zu sichern. Und warum? Weil der Angriff, ja, er traf sie. Die Abschaltung erfolgte, aber es war eine operative Abschaltung. Das heißt, sie waren in der Lage, die Raffinerie in nur 6 Stunden wieder in Betrieb zu nehmen. Sie haben also nicht viel Geld verloren. Er hat dann einfach demonstriert, wie groß der Verlust ist, wenn ein Angreifer eine Steuerung in dieser Anlage kompromittieren kann.

Die Diskussion auf der kommerziellen [Seite] wird der OT nicht ganz gerecht, denn manchmal investiert man in die Sicherheit und in den Schutz von Dingen, die nicht passieren sollen. Aber das Verständnis für die Folgen von Sicherheitsverletzungen ist etwas anderes. Diese OT-CISOs, oder deren Organisationen, werden dabei helfen, diese Botschaft an die Unternehmen zu übermitteln.

Klaus Mochalski

Das ist wahrscheinlich ein guter Vergleich, den du mit Sicherheitssystemen gezogen hast, denn bei Sicherheitssystemen ist es ähnlich. Man investiert in etwas, von dem man hofft, dass man es nie brauchen wird. Es ist nur für diesen unwahrscheinlichen Vorfall da, der irgendwann einmal eintreten kann, aber wenn er nicht eintritt, sind alle zufrieden. Und vielleicht sollten wir die OT-Sicherheit aus einer ähnlichen Perspektive betrachten.

Mohammed Saad

Ganz genau. Aber bei Sicherheitssystemen ist es einfach, das Budget zu sichern, weil es hauptsächlich durch den operativen Betrieb bestimmt wird. Aber wenn es um etwas geht, das Netzwerke oder Signale oder was auch immer genannt wird, wird es durch das IT-Budget bestimmt. Und das ist das Problem, das von dort kommt.

Klaus Mochalski

Es tut nicht weh, es blutet nicht, wenn etwas passiert, also ist es schwer vorstellbar. Ganz genau. Ich denke, das ist die kommunikative Herausforderung, vor der wir alle stehen. Ich denke, dies vermittelt unseren Zuhörer:innen ein ziemlich gutes Verständnis dafür, wie sie diese Herausforderung angehen könnten, und zwar von der CISO-Position abwärts, mit dieser Abteilung in dieser Übersetzungsrolle zwischen den OT-Anforderungen und den IT-Abteilungen, die einige der Dienste bereitstellt und definitiv Entscheidungen informiert.

Wäre ich ein Anlagenbesitzer, ein Unternehmen, das mit diesem Programm beginnt, würde ich meine:n CISO auch für die OT-Sicherheit verantwortlich machen. Wie würdest du diese Reise beginnen, die Integration der Cybersicherheit über alle Ebenen hinweg, einschließlich der OT-Sicherheit? Was würdest du als erste Schritte empfehlen, die ersten einfachen Schritte für diese Unternehmen, die sich auf dieser Stufe ihrer Reise befinden?

Mohammed Saad

Ich sage das immer zu meinen Kunden: Sichern Sie die Grundlagen. Schauen Sie nicht auf diese glänzenden Technologien oder Software oder was auch immer. Denken Sie zuerst darüber nach. Sie brauchen einen sehr soliden Rahmen für die Bewertung aller Ihrer Standorte, für die Bewertung der Cybersicherheit. Sie sollten eine Bewertung für alle Ihre Standorte vornehmen. Ich lege großen Wert auf eine sehr gut ausgearbeitete Definition des Scope, des Rahmens, denn die Bewertung basiert auf dem Scope. Sie können vier Zeilen schreiben, und der eine kann es verstehen, der andere nicht.

Verlassen Sie sich nicht nur auf Softwarelösungen, um Berichte darüber zu erstellen, was dort passiert, denn wir alle wissen, dass nicht jede Anlage im OT mit dem Netzwerk verbunden ist. Führen Sie zunächst eine Bewertung der Cybersicherheit durch. Auf der Grundlage Ihres Budgets sowie der Lücken und der Prioritäten bzw. des Schweregrads der einzelnen Cybersicherheitslücken können Sie dann ermitteln, welche Lücke zuerst geschlossen werden soll. Wenn es mehrere Standorte gibt, richtet sich die Entscheidung nach dem Risiko für jeden Standort, dem Budget und dem Schweregrad.

Klaus Mochalski

Das ist ein echtes Muster, das wir auch in diesem Podcast behandelt haben, nämlich dass man immer mit einer Cybersicherheitsbewertung beginnen sollte, und zwar richtig gemacht. Dies wird alle nachfolgenden Entscheidungen beeinflussen, und es ist immer besser, [dies als] ersten Schritt zu tun. Sie müssen nicht alle Probleme in einem Schritt oder in einem Budgetzyklus lösen. Aber diese Bewertung wird Ihnen zeigen, welches die schwerwiegendsten Probleme sind, wenn sie richtig durchgeführt wird, und dann können Sie sie eines nach dem anderen angehen, und Sie müssen sie nicht einmal [alle auf einmal] angehen.

Es ist wichtig, dass man die ersten Schritte unternimmt, aber auf fundierte Art und Weise, so dass man weiß, dass man zuerst die Probleme mit den größten Auswirkungen löst, bevor man die kleineren Probleme in Angriff nimmt. Nicht immer ist eine Lösung, die Ihnen jemand zu verkaufen versucht, die beste Lösung für Ihr Problem.

Auch die Entscheidungen, welche Systeme Sie benötigen und welche Dienstleistungen Sie in Anspruch nehmen wollen, hängen von dieser ersten Bewertung der Cybersicherheit ab, und diese muss richtig durchgeführt werden. Dann muss sie wahrscheinlich regelmäßig wiederholt werden, da sich Ihre Systeme ändern. Die Bewertung muss dann erneut durchgeführt werden. Dann werden Sie immer fundierte Entscheidungen treffen und niemals Geld in die falschen Dinge investieren.

Ich denke, das ist etwas, wovor jedes Management in einem Unternehmen Angst hat.

Mohammed Saad

Ja. Ein weiterer wichtiger Punkt, und deshalb werbe ich für dieses Enterprise OT Cybersecurity Program, sind Richtlinien und Verfahren. IT oder Unternehmen haben immer großartige Richtlinien und Verfahren. OT? In vielen Fällen nichts. Und wenn es um Disaster Recovery geht, trifft man manchmal die Entscheidung, eine Anlage abzuschalten, nur weil man nicht weiß, was zu tun ist. Man fragt sich: Was soll ich nach einem Angriff tun?

Also, hier ist es: Parallel zur Bewertung, sei es eine Cybersicherheitsbewertung oder eine Risikobewertung, sollten Sie daran arbeiten, die [unternehmenseigenen Cybersicherheits-] Richtlinien und Verfahren auf OT auszuweiten. Sicherlich werden die Verfahren nicht die gleichen sein. Aber die Richtlinien darüber, wie man auf einen Angriff reagiert, wie man die Wiederherstellung im Katastrophenfall durchführt, mit wem man kommuniziert und all die anderen Dinge, denn heutzutage ist alles miteinander verbunden.

Klaus Mochalski

Das ist eine weitere wichtige Erkenntnis. Die Kluft zwischen IT und OT muss nicht nur überbrückt werden, sondern ist auch eine potenzielle Quelle des Lernens für beide Seiten. Die OT-Abteilung oder die für die OT-Sicherheit verantwortlichen Personen sollten immer versuchen, von der IT-Abteilung zu lernen, denn [die IT-Abteilung] macht das schon seit vielen, vielen Jahren, manche sogar seit Jahrzehnten. Natürlich verfügen sie über Verfahren, die sehr zuverlässig sind. Das ist etwas, das wir sicherlich auf die Probleme der OT-Cybersicherheit übertragen können.

Mohammed, ich danke dir vielmals. Das war eine sehr interessante Diskussion. Wir haben unser Zeitlimit bereits erreicht. Vielleicht können wir diese Diskussion fortsetzen und uns genauer ansehen, was für die Umsetzung eines solchen Programms erforderlich ist. Ich fand es wirklich interessant, mit dir in diesem Podcast zu diskutieren, wie man ein solches Cybersicherheitsprogramm implementiert.

Mohammed Saad

Herzlichen Dank. Ich weiß es zu schätzen, dass ich hier sein durfte, und freue mich auf ein weiteres Gespräch mit Ihnen.

Klaus Mochalski

Alles klar. Danke dir.

‍