In dieser Folge von OT Security Made Simple begrüßen wir Jonathan Gordon von der OT-Cybersicherheitsforschungs- und Analysefirma Takepoint. Jonathan Gordon erklärt, dass die OT-Sicherheit den Bottom-up- und den Top-down-Ansatz miteinander verbinden muss, um erfolgreich zu sein, und dass die CISOs an vorderster Front stehen, um diesen Prozess voranzutreiben und zu moderieren.
Hören Sie uns auf:
Transkript
Klaus Mochalski
Hallo und willkommen zu einer neuen Folge des Podcasts OT Security Made Simple. Ich bin Ihr Podcast-Moderator, Klaus Mochalski. Ich bin der Gründer von Rhebo, und mein heutiger Gast ist Jonathan Gordon. Er arbeitet bei Takepoint Research. Und damit übergebe ich an dich, Jonathan, für eine kurze Vorstellung.
Jonathan Gordon
Hallo Klaus, danke, dass ich dabei sein darf. Mein Name ist Jonathan Gordon. Ich bin der leitende Analyst bei Takepoint Research. Ich kümmere mich also in erster Linie um industrielle Cybersicherheitspraktiken, was wirklich viele Diskussionen und die Erstellung gezielter Forschung und umsetzbarer Erkenntnisse für alle beinhaltet, die mit dem Schutz und der Sicherung von Industrieunternehmen zu tun haben.
Klaus Mochalski
Dein Spezialgebiet ist also ganz speziell die OT. Das ist ein Hintergrund, mit dem du dich in den letzten Jahren beschäftigt hast, nehme ich an.
Jonathan Gordon
Ja, das stimmt. Wir machen das jetzt seit etwa sieben oder acht Jahren, und am Anfang ging es um OT- und ICS-Cybersicherheit, also sozusagen um die unteren Ebenen. Im Laufe der Zeit sind wir dann einen Schritt weiter gegangen und haben uns alles angesehen, was sich auf Industrieunternehmen auswirken kann. Es geht also um die Fähigkeit, zu produzieren oder funktionsfähig zu bleiben. Es geht um alle Cyber-Bedrohungen, die entweder von der OT oder den ICS oder sogar von anderen Quellen ausgehen. Richtig.
Klaus Mochalski
In der Vorbereitung auf diese Folge haben wir über die aktuellen Themen gesprochen, die du in den letzten Wochen und Monaten am häufigsten gesehen hast und wie sich diese im Laufe der Zeit entwickelt haben. Und du hast erwähnt, dass es jetzt eine Differenzierung der Unternehmen gibt. Man kann reifere Anlagenbesitzer darin unterscheiden, wie sie ihre Sicherheitsmaßnahmen organisieren, im Gegensatz zu den früheren Tagen der OT-Sicherheit. Welche Erfahrungen hast du mit diesen reiferen Betrieben in den letzten Monaten und vielleicht auch in den letzten Jahren gemacht bzw. was waren die wichtigsten Erkenntnisse?
Jonathan Gordon
Es ist eine wirklich interessante Zeit. Ich habe viel Zeit damit verbracht, mit Eigentümer:innen und Betreiber:innen von Anlagen in verschiedenen Regionen, Märkten und Sektoren zu sprechen und von ihnen zu lernen. Und die meisten Menschen in dieser Nischenbranche haben das Gefühl, dass sich die Branche manchmal sehr langsam bewegt, oder? Manchmal ist es so, als würde man eine verlorene Welt der Technologie entdecken, die viele schon für ausgestorben hielten. Aber der Wandel vollzieht sich, und in letzter Zeit neigt man wohl dazu, ihn in Wachstumsschüben zu vollziehen. Und ich glaube, wir befinden uns gerade in einem dieser Schübe.
Einige der Gespräche, die wir in den letzten sechs bis zwölf Monaten, also etwas länger, geführt haben, wirken, als würden sie reifen. Es ist kein einheitlicher Prozess, sondern hängt von der Region und dem Sektor ab. Aber die meisten Diskussionen haben sich bis vor kurzem immer auf das konzentriert, was wir "bottom up" nennen. Es geht darum, dass ich ein Instrument oder einen Prozess für dieses oder jenes benötige, oder wir hatten gerade einen Vorfall, und das Management ist entschlossen, etwas zu unternehmen. Es ist also immer reaktiv oder sehr darauf ausgerichtet, wie wir etwas von unten nach oben machen.
Und in letzter Zeit geht es immer mehr um das, was wir als "von oben nach unten" betrachten. Wer auch immer in der Organisation verantwortlich ist - die CISOs oder Industrie-CISOs, wenn man so will - wer auch immer als Schlüsselfigur anerkannt wird - kümmert sich um die Cybersicherheit und das Cyberrisiko. Sie überlegen, wie sie das Risiko aus strategischer Sicht angehen und wie sie es mit den Geschäftszielen des Unternehmens in Einklang bringen können. Es geht also wirklich darum, einen Business Case für die industrielle Cybersicherheit zu entwickeln. Und das ist etwas, worüber wir immer mehr sprechen. Das zeigt, dass der Markt einen gewissen Reifegrad erreicht hat.
Klaus Mochalski
Es klingt so, als ob dies ein sehr viel geplanterer Ansatz ist, als viele Projekte, die wir in der Vergangenheit gesehen haben. Insgesamt scheint es eine sehr gute Idee zu sein, das Risiko im OT-Bereich, der Betriebstechnik, wie jedes andere Risiko in Ihrem Unternehmen zu beurteilen und entsprechend zu behandeln. Um das Risiko zu quantifizieren, sollten die Auswirkungen betrachtet werden, und erst dann sollte man sich überlegen, was zu tun ist. Dabei kann es sich um Werkzeuge handeln, aber auch um die Anpassung von Prozessen oder die Neueinstellung von Mitarbeitern, aber das kommt erst viel später.
Man beginnt also grundsätzlich von oben nach unten. Es scheint ziemlich offensichtlich, dass dies der richtige Ansatz ist. Aber wie geht man dabei vor? Wir haben auch schon einige CISOs erlebt, die keine große Erfahrung mit der Betriebstechnik im Allgemeinen haben, und damit meine ich nicht den Teil der Cybersicherheit, sondern ganz allgemein die spezifischen Anforderungen der Betriebstechnik. Was bedeutet es, eine Pumpe in einem Pumpwerk zu betreiben? Und wie wird diese Lücke überbrückt, wenn man diesen Top-Down-Ansatz hat. Und gleichzeitig gibt es die Expert:innen, die Betriebsingenieur:innen, die diese Systeme bedienen müssen. Wie passen diese beiden Aspekte zusammen?
Jonathan Gordon
Das ist eine großartige Frage. Das ist so etwas wie die ewige Frage in unserem Raum. Es ist wirklich ein Aufeinanderprallen zweier sehr unterschiedlicher Welten. Und die Verantwortlichkeiten der CISOs im industriellen Kontext unterscheiden sich deutlich von denen eines traditionellen Unternehmens. Welche Strategien sie auch immer implementieren, sie müssen nahtlos in diese beiden Welten, die OT, die IT und das andere Team dazwischen, das sich zufällig in dieser Organisation befindet, integriert werden.
Ich denke, der Schlüssel ist, zu verstehen, wie das Unternehmen funktioniert. Es ist für jeden, der in den Prozess involviert ist, egal ob in der Anlage oder im Kontrollraum, von entscheidender Bedeutung, zu verstehen, wie das Unternehmen Geld verdient. Warum ist es im Geschäft? Wer sind die Kunden? Welche Art von Dienstleistungen, welche Art von Produkten bieten sie für wen an? Und was sind die Risiken, die die Fähigkeit beeinträchtigen könnten, diese Kunden zu beliefern? Und das ist von entscheidender Bedeutung, egal ob Sie im operativen Geschäft, in der Technik, als CISO oder als Chief Risk Officer usw. tätig sind.
Und ich meine, wir wissen, dass wir in der Industrie häufig auf diese Legacy-Systeme angewiesen sind, die eine Reihe von Herausforderungen für die Cybersicherheit mit sich bringen. Aber es gibt auch Menschen, die sich darauf konzentrieren, ob sie nun im Betrieb oder in der Technik tätig sind, diese Systeme am Laufen zu halten. Und die eigentliche Frage ist, wie man diese beiden manchmal gegensätzlichen Welten zusammenführt. Und ich denke, wenn man einen Schritt zurücktritt und sich das Ziel vor Augen führt und sich wirklich darauf konzentriert, was wir zu erreichen versuchen, dann ist es wirklich so, dass wir versuchen, zuallererst das Geschäft zu ermöglichen.
Wir sehen, dass viele verschiedene Technologien zum Einsatz kommen. Ob es um die Herstellung von Babynahrung oder den Schutz des Güterverkehrs geht, es kommen viele verschiedene Technologien zum Einsatz. Und die traditionelle Rolle der CISOs bestand darin, diese zu betrachten und zu sagen: Okay, das ist von Natur aus unsicher. Wir sollten die Dinge langsamer angehen und sie aus der Sicherheitsperspektive betrachten. Ich glaube aber, dass wir uns immer mehr damit beschäftigen, wie wir das Unternehmen in die Lage versetzen können, innovativ zu sein, die Produktivität fortzusetzen oder zu steigern und die Kunden besser zu bedienen - und das auf sichere Weise.
Der Schwerpunkt verlagert sich also wirklich. Und wenn wir uns auf diese Ermöglichung konzentrieren können, die die Perspektiven der Betriebsautomatisierung in Bezug auf Produktivität und Zuverlässigkeit zusammen mit dem Schutz und der Sicherheit sowie der Cybersicherheit umfasst, können wir uns auf das Risiko konzentrieren, das Risiko identifizieren und dann das Risiko mindern oder auf das Risikomanagement übertragen. Und dann ist es für jeden in dieser Wertschöpfungskette sinnvoll. Das Hauptaugenmerk liegt also auf dem Wert, der für das Unternehmen gefährdet ist, und dann sind alle Beteiligten in gewisser Weise aufeinander abgestimmt. Egal, ob Sie in der OT- oder IT-Abteilung oder in einer anderen Abteilung tätig sind, in Ihrem Bereich macht es Sinn, und dann können sie beginnen, miteinander zu kommunizieren, richtig?
Klaus Mochalski
Ja, das macht absolut Sinn. Wenn Sie also ein Unternehmen sind, das, sagen wir mal, einen Fertigungsbetrieb hat, der digitalisiert wurde und moderne Automatisierungsumgebungen betreibt, dann ist das ein wichtiger Teil Ihres Unternehmens, den Sie schützen müssen. Und so fällt es natürlich in den Bereich der CISOs, diesen zu schützen, wie alle anderen wichtigen Vermögenswerte des Unternehmens. Ich denke, das ist klar.
Aber nach dem, was du erklärst, scheint es, als ob auf die CISOs eine Reihe neuer Herausforderungen zukommen. Die erste offensichtliche ist, dass sie die zugrundeliegende Technologie und die zu schützenden Vermögenswerte gut verstehen müssen. Sie müssen sich also mit der OT-Infrastruktur in ihren Unternehmen vertraut machen. Sie brauchen ein grundlegendes Verständnis dafür, was eine SPS tut, was eine SPS sicher oder unsicher macht. Sie müssen ein grundlegendes Verständnis haben. Wir haben darüber diskutiert, und darüber sollten wir noch ein wenig sprechen, ob dies eine andere Art von CISO erfordert oder ob sie zusätzliche Qualifikationen im OT-Bereich erwerben müssen. Das ist also ein Gebiet.
Das andere Gebiet, das ich als Herausforderung ansehe - und vielleicht ist das etwas, das es schon immer gab - ist, dass sie an der Harmonisierung arbeiten müssen, d.h. daran, alle verschiedenen Teile des Unternehmens so auszurichten, dass jeder versteht, dass sie auf dasselbe Ziel hinarbeiten. Das ist der Erfolg des Unternehmens. Und oft wird gesagt, dass die Optimierungskriterien in der OT anders sind als in der IT. Aber das stimmt nur auf technischer Ebene. Auf einer höheren Ebene sind sie gleich: Gewinn für das Unternehmen zu erzielen und dafür zu sorgen, dass man nicht von [einem Cyberangriff] getroffen wird oder dass ein bestimmtes Risiko keine erheblichen Folgen für das Unternehmen hat. Die Abstimmung zwischen all diesen verschiedenen Parteien, den verschiedenen Interessengruppen, den Mitarbeitern in den Abteilungen und Teams des Unternehmens ist daher von entscheidender Bedeutung.
Brauchen wir heute also andere Arten von CISOs, die dieses tiefe technische Wissen auf der OT-Seite mitbringen? Wie tief muss es gehen, und wie viele Moderatoren und Treiber der Harmonisierung brauchen wir hier?
Jonathan Gordon
Ja, das stimmt. Die CISOs werden also zu einer Art Supermenschen, die alle möglichen Fähigkeiten braucht. Aber ich denke, das ist sehr interessant. Je weiter man aufsteigt, desto mehr kommt man in eine Rolle, in der [dies geschieht]. Und es liegt auch an den Budgets, nicht wahr? Wir sehen, dass die Budgets für Cybersicherheit zunehmend unter den CISOs zentralisiert werden, sogar in Industrieunternehmen. Das unterstreicht die Notwendigkeit einer strategischen Aufsicht und eines strategischen Verständnisses, wie diese Entscheidungen zu treffen sind. Und ich denke, dass mehr denn je viele dieser Soft Skills zum Tragen kommen.
So ist es von entscheidender Bedeutung zu verstehen, wie das Unternehmen tatsächlich Werte schafft, wer die Kunden sind, wie es Einnahmen generiert und so weiter, und was das Risiko ist. Sie müssen in der Lage sein, mit ihren Kollegen auf der Unternehmensseite zu kommunizieren, nicht nur mit den Ingenieur:innen, dem Betrieb und der technischen Seite, sondern auch innerhalb des Unternehmens. Das kann der CFO, der CRO oder definitiv der CEO sein. Sie bekommen auch mehr Zeit vor dem Vorstand, um wirklich zu erklären, wie sie mit diesen Cybersicherheitsrisiken umgehen.
Klaus Mochalski
Eigentlich klingt das für mich nach dem offensichtlicheren Teil, nämlich dass sie alle Details des Unternehmens verstehen müssen und wissen müssen, wie das Unternehmen Geld erwirtschaftet, und dass sie täglich mit dem Vorstand zusammenarbeiten müssen.
Für mich klingt es nach dem schwierigeren Teil ihrer Aufgabe, eine sachkundige Diskussion mit einer gewissen technischen Tiefe zu führen, selbst mit, sagen wir mal, einem OT-Außendiensttechniker. Ist dies etwas, das CISOs auch können sollten?
Jonathan Gordon
Du hast völlig Recht. Der Schlüssel liegt darin, diese offenen Diskussionen zu ermöglichen und sich wirklich abzustimmen. Aber es geht darum, diese Diskussionen zu führen, egal ob sie sehr technisch, weniger technisch oder sehr geschäftsorientiert sind, und sich auf das Publikum einzulassen. Ich glaube, das ist der Schlüssel. CISOs müssen wissen, wer ihr Publikum ist. Sie müssen wissen, wer im Raum sitzt, was für diese Personen dabei herausspringt, was ihre Weltsicht ist, ob sie sich darauf konzentrieren, eine bestimmte Produktionslinie am Laufen zu halten.
Manchmal sehen Ingenieur:innen oder Betriebsmitarbeitende die Cybersicherheit selbst als ein Risiko für die Zuverlässigkeit oder die Produktion. CISOs verlangen vielleicht, etwas zu tun oder einen Prozess zu ändern, den sie schon immer so gemacht haben. Der Schlüssel liegt im Aufbau von Vertrauen auf jeder Ebene. Und es geht darum, zuerst zu verstehen und dann verstanden zu werden. Es geht also darum, Fragen zu stellen und wirklich Zeit in der Anlage zu verbringen, mit Ingenieur:innen, im Kontrollraum, um genau zu verstehen, was die Leute in der Anlage tun, worauf sie sich konzentrieren, welche Art von Technologie sie einsetzen. Aber in Wirklichkeit geht es vor allem um die Menschen. Wir haben über diese Soft Skills gesprochen. Es geht darum, Menschen zu verstehen und mit ihnen auf ihrer Ebene und in ihrem Umfeld zu kommunizieren.
Und dann, ja, auf der technischen Seite ist es sehr hilfreich, wenn man versteht, was die Teile der Betriebstechnologie tun, richtig? Wenn man den Unterschied zwischen einer SPS und einer ITU und SCADA und DCS usw. versteht. Aber ich denke, der Schlüssel ist, dieses Vertrauen aufzubauen. Und je tiefer man in der Technik einsteigt, desto mehr verschmilzt das Vertrauen mit dem technischen Wissen. Es geht also darum, die Menschen in den Fabriken zu verstehen und ihnen zu helfen, zu begreifen, dass sie an vorderster Front stehen, wenn es darum geht, ihre Produktionslinien vor Cybervorfällen zu schützen. Es geht also darum, dass jeder diese Risiken in seinem Umfeld versteht.
Und manchmal können diese Diskussionen sehr, sehr technisch sein. Und je nachdem, wie groß das Unternehmen ist, für das Sie arbeiten, sind einige der Teams sehr viel kleiner. Manchmal ist es dieselbe Person, die sich um die IT-Sicherheit und die OT-Sicherheit kümmert und die am Wochenende den Rasen mäht. In manchen Fällen sind die Teams aber auch größer. Es hängt also wirklich davon ab, wie engagiert die CISOs sind, wie groß ihr Team ist und wie technisch sie sein müssen. Aber auf jeden Fall hat man einen viel größeren Vorteil, insbesondere bei der Klärung und dem Verständnis der Weltanschauung der Menschen in der Produktion, in der Anlage, wenn man etwas mehr als die Grundlagen der OT versteht..
Aber ich denke, dass es letztendlich darum geht, Vertrauen zu schaffen, indem man viele Fragen stellt und sich wirklich damit auseinandersetzt, und nicht einfach reingeht und sagt: Okay, wir sind hier, um die Umwelt zu sichern. Ich zeige euch, wie man das macht. Es geht wirklich darum, zu verstehen, bevor man eine Entscheidung trifft. Und beim Aufbau eines Teams geht es darum, Zusammenarbeit und Vertrauen aufzubauen, sowohl in technischer Hinsicht als auch bei der Abstimmung mit den Geschäftszielen.
Klaus Mochalski
Ja, das stimmt. Und so kann es durchaus sein, dass es in einem großen Unternehmen nicht nur um eine einzige Position geht. Es ist nicht so, dass die CISOs das alles machen. Möglicherweise gibt es CISOs, die nicht in der Lage sind, diese sachkundige Diskussion mit SPS-Ingenieur:innen zu führen, aber für die von dir erwähnte vertrauensbildende Maßnahme kann sie notwendig sein. Sie brauchen also die richtigen Rollen auf der Ebene des CISO und des CISO-Teams, nennen wir es mal so. Damit man diese Diskussionen erleichtern kann, um dieses Vertrauen aufzubauen, denn ich kann mir auch vorstellen, dass es sonst wirklich schwierig wird. Man erhält zwar bestimmte Informationen, aber nicht alle Informationen, die man braucht, um sich ein umfassendes Bild über das Unternehmen und die Risiken für das Unternehmen zu machen, die man in allen Bereichen braucht.
Jonathan Gordon
Ja, es ist eine schwierige Position. Letztendlich ist das Unternehmen dazu da, Werte zu schaffen. Das ist der Auftrag, und zwar für jede:n, ob man nun in einem großen oder in einem kleineren Unternehmen arbeitet. Und die Idee ist, diese klare Vision für alle Beteiligten zu schaffen, ob sie nun im Kontrollraum oder in der Vorstandsetage sitzen. Es geht also darum, sie zu befähigen und das zu sichern. Es geht also um die Produktivität, die Zuverlässigkeit, die Sicherheit und die Cybersicherheit und darum, wie das alles zusammenpasst. Letztendlich geht es darum, das Geschäft zu ermöglichen und es gleichzeitig zu schützen. Richtig.
Klaus Mochalski
Ich denke, dass dies eine sehr wichtige Botschaft an unsere Zuhörenden ist, um dies abzuschließen. Aus eigener Erfahrung mit den Unternehmen, mit denen du in der Vergangenheit zusammengearbeitet haben, du sagtest sechs bis zwölf Monate: Mit welchem Aufwand und welchen Investitionen müssen die Unternehmen rechnen, die in Bezug auf die IT-Sicherheit einigermaßen ausgereift sind? Nehmen wir an, es sind einige OT-Sicherheitsmaßnahmen vorhanden. Die Netzwerke wurden segmentiert. Es gibt Firewalls zwischen den verschiedenen Segmenten. Vielleicht wurden sogar OT-Monitoringtools und SIEM-Systeme, insbesondere für die OT-Umgebung, in Betracht gezogen.
Aber wenn man nun diese Reise von oben nach unten antreten und dies zu einem Teil der gesamten Risikobewertung, der gesamten Organisation, machen will, was muss man dann tun, oder kannst du eine Schätzung abgeben, wie lange das dauern würde und wie viele Ressourcen es ungefähr erfordern würde?
Jonathan Gordon
Wow, das ist die Eine-Million-Dollar-Frage. Ich denke, die Antwort ist, dass es wirklich auf den Entwicklungssprung ankommt. Du skizzierst ein Unternehmen, das relativ ausgereift ist. Es hat also bereits einige kompensatorische Netzwerkkontrollen eingeführt, vielleicht auch Endpunktsicherheit, und möchte nun den nächsten Schritt tun, um bestimmte Risiken zu verringern. Ich denke, dass es immer noch Quick Wins gibt, die man auf jeder Ebene durchführen kann. Die Frage ist jedoch, was der nächste Meilenstein ist oder wo man im Hinblick auf den Reifegrad ankommen möchte. Es gibt Leute, die gerade erst anfangen, und es gibt Leute, die schon reifer sind.
In der Regel handelt es sich dabei um größere Organisationen. Die Quantifizierung ist also recht interessant. Viele dieser Ansätze zur Identifizierung des Risikos und zur Ermittlung des Risikowertes für das Unternehmen helfen dabei, das schwer fassbare Konzept des ROI [Anm.: Return On Investment] in der Cybersicherheit zu verstehen. Wenn man also darüber nachdenkt, wie man das Budget oder die Zeit oder sogar die Fähigkeiten, die man an Bord haben muss, quantifizieren kann, dann kann dieser risikobasierte Ansatz der Identifizierung und Quantifizierung der Konsequenzen dabei helfen, das Budget für den nächsten Schritt zu erstellen, denke ich.
Ob nun eine MITRE ATT&CK-Pfadanalyse oder eine Plattform zur Identifizierung von Schwachstellen usw. eingesetzt werden soll, die Frage ist, was der nächstbeste Schritt ist, um die identifizierten Risiken mit den schwerwiegendsten Konsequenzen und der höchsten Wahrscheinlichkeit für das Unternehmen zu beseitigen.Das ist der beste Weg, um zu einer Antwort zu kommen. Richtig?
Klaus Mochalski
Es gibt natürlich keine einfache Antwort auf diese Frage, aber Anlagenbesitzer:innen sollten Sie sich nicht scheuen, den ersten oder, sagen wir, den nächsten Schritt zu tun. Es gibt schnelle Gewinne zu erzielen. Und am Ende wird das gesamte Unternehmen davon profitieren, und es wird nicht nur zusätzliche Kosten verursachen. Das gesamte Unternehmen wird von dem Programm profitieren, das man in der OT durchführt, wenn es in eine größere Sicherheitsstrategie eingebunden ist.
Jonathan Gordon
Ja. Letztendlich geht es darum, diesen Top-Down-Ansatz, den strategischen Ansatz, den geschäftsorientierten Ansatz mit dem technologischen - dem Bottom-Up-Ansatz - zu verschmelzen und sich sozusagen in der Mitte zu treffen, aber sicherzustellen, dass alle verstehen, was und warum es getan wird und wie es sich auf sie auswirkt. Sehr gut.
Klaus Mochalski
Ich denke, das ist ein großartiger Schlusssatz, mit dem wir abschließen sollten. Es war sehr interessant, mit dir zu sprechen. Ich hoffe, wir konnten unseren Zuhörenden vermitteln, dass der Top-Down-Ansatz etwas ist, das man auf jeden Fall in Betracht ziehen sollte, und dass er ein Zeichen für ein ausgereiftes Unternehmen in Bezug auf die Sicherheit in allen Bereichen ist. Und das ist nur etwas, das wir, das vor allem du empfehlen kannst. Jonathan, vielen Dank, dass du bei uns in der Sendung warst. Es war ein Vergnügen, dich dabei zu haben.
Jonathan Gordon
Ich danke dir vielmals. Danke, dass ich dabei sein durfte. Auf Wiedersehen.