{"id":3989,"date":"2021-06-08T13:39:00","date_gmt":"2021-06-08T13:39:00","guid":{"rendered":"https:\/\/cybercompare.com\/?p=3989"},"modified":"2023-09-06T10:12:19","modified_gmt":"2023-09-06T10:12:19","slug":"ot-sicherheit-diese-beiden-massnahmen-haetten-die-meisten-angriffe-verhindern-koennen","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/ot-sicherheit-diese-beiden-massnahmen-haetten-die-meisten-angriffe-verhindern-koennen\/","title":{"rendered":"OT-Sicherheit: &#8222;Diese beiden Ma\u00dfnahmen h\u00e4tten die meisten Angriffe verhindern k\u00f6nnen&#8220;"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Dale Peterson [Teil 2\/2]<\/h2>\n\n\n\n<p><a href=\"https:\/\/www.linkedin.com\/in\/dale-peterson-s4\/\" class=\"ek-link\">Dale Peterson<\/a> ist der Co-Founder und Managing Director der Digital Bond Inc. Er hat langj\u00e4hrige Erfahrung im Bereich der IT-Sicherheit und ist Creator und Program Chair von S4 Events, der weltweit gr\u00f6\u00dften Konferenz f\u00fcr industrielle Cybersecurity.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized caption-align-left\"><img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/dale-peterson-920x518-1.jpeg\" alt=\"\" class=\"wp-image-3987\" style=\"width:536px;height:302px\" width=\"536\" height=\"302\" srcset=\"https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/dale-peterson-920x518-1.jpeg 920w, https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/dale-peterson-920x518-1-300x169.jpeg 300w, https:\/\/cybercompare.com\/wp-content\/uploads\/2023\/09\/dale-peterson-920x518-1-768x432.jpeg 768w\" sizes=\"(max-width: 536px) 100vw, 536px\" \/><figcaption class=\"wp-element-caption\">Dale Peterson, Co-Founder und Managing Director der Digital Bond Inc.<\/figcaption><\/figure>\n\n\n\n<p><a href=\"https:\/\/cybercompare.com\/?p=8147\" class=\"ek-link\"><em>Hier geht es zum ersten Teil unseres Interviews mit Dale Peterson<\/em><\/a><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong><strong><strong>Was denkst Du derzeit \u00fcber OT-Monitoring und die Erkennung von Anomalien? Du hast ja zu diesen Systemen bereits umfassende Analysen durchgef\u00fchrt.<\/strong><\/strong><\/strong><\/p>\n\n\n\n<p>Richtig, ich habe mich bereits eingehend und seit vielen Jahren damit besch\u00e4ftigt. Und ich bin ein gro\u00dfer Fan der Technologie. Ich glaube, die meisten haben deshalb Schwierigkeiten damit, weil sie die Technologie entweder f\u00fcr den falschen Zweck oder, noch h\u00e4ufiger, ohne die n\u00f6tige Vorbereitung einsetzen.<\/p>\n\n\n\n<p>Was die Nutzung f\u00fcr den richtigen Zweck angeht, so waren OT-Monitoring-L\u00f6sungen urspr\u00fcnglich als Erkennungsprodukte gedacht, wurden aber anfangs h\u00e4ufig genutzt, um ein Bestandsverzeichnis (Asset Inventory) zu erstellen. Die Leute verwalten ihre Anlagen mit Listen und Tabellen, und dann kommt da jemand und zeigt \u00fcber einen SPAN-Port, was eigentlich alles da ist. Der Anlagenverantwortliche ist begeistert und sagt: \u201eWow, das hatte ich ja noch nie. Das ist super.\u201c<\/p>\n\n\n\n<p>Aber es ist eigentlich kein Produkt f\u00fcr die Anlagen- oder Bestandsverwaltung. Wer so etwas sucht, sollte zu einem Produkt greifen, das speziell daf\u00fcr vorgesehen ist, z.B. Langner OT-Base oder Tripwire. Und auch einige Vulnerability-Management-Firmen wie Tenable bieten diese Option. Man br\u00e4uchte aber etwas, das als zentrale Datenquelle f\u00fcr die Anlagenverwaltung dient und vorzugsweise auch Dinge wie die Nachverfolgung von \u00c4nderungen (Change Management) bietet.<\/p>\n\n\n\n<p>Das Erkennungsprodukt sollte dann mit der Inventarisierungssoftware verkn\u00fcpft sein. Wenn es also etwas Neues im Netzwerk erkennt, sollte es die Informationen an die Inventarisierung schicken, die wiederum ihren Datenstand an das Erkennungsprodukt senden sollte. Man muss aber darauf achten, dass man wirklich ein Produkt f\u00fcr die Erkennung von Angriffen kauft und nutzt.<\/p>\n\n\n\n<p>Der Zeitpunkt ist wirklich wichtig. Warum sollte man Geld daf\u00fcr verschwenden, wenn man nicht in der Lage ist, das Produkt zu nutzen? Das haben wir auch in der Unternehmens-IT beobachtet. Es wurden zahlreiche Systeme zur Erkennung von Angriffen gekauft, die dann aber niemand genutzt hat. Wenn man also nicht in der Lage ist, auf Angriffe und Zwischenf\u00e4lle zu reagieren, was bringt dann ein KI-gest\u00fctztes Erkennungsprodukt? Wenn es weder intern noch \u00fcber einen externen Dienstleister ein OT-Notfallteam gibt, lohnt sich die Anschaffung nicht.<\/p>\n\n\n\n<p>Wenn man diese Kapazit\u00e4ten hat und eine OT-Monitoring-L\u00f6sung anschaffen will, sollte man sich fragen, ob ausreichend Personal daf\u00fcr bereit ist, um das Netzwerk tats\u00e4chlich zu \u00fcberwachen. Ich erlebe immer wieder, dass viele so etwas anschaffen, aber nicht wirklich bereit daf\u00fcr sind.<\/p>\n\n\n\n<p>Ist es wirklich das, was der Kunde jetzt tun sollte, um seine Risiken effizient zu mindern? W\u00e4re es beispielsweise nicht besser, Recovery-Kompetenzen zu st\u00e4rken, oder ein Whitelisting einzuf\u00fchren?<\/p>\n\n\n\n<p>Das Problem: Das Marketing der ca. 20 OT-Monitoring-Anbieter ist herausragend. Die erreichen jede F\u00fchrungskraft, jeden Vorstand. Viele Unternehmen stehen also unter Druck von oben und m\u00fcssen Auskunft dar\u00fcber geben, welche Strategie zur Risikoerkennung angewendet wird. Auf gut deutsch, \u201eWelches Produkt setzen wir ein?\u201c.<\/p>\n\n\n\n<p>Als verantwortlicher Manager m\u00f6chte ich da proaktiv handeln. Ich will zum Management gehen und sagen: \u201eHier, das ist unsere Strategie. Wir sind bereit f\u00fcr das Produkt.\u201c Und das am besten, bevor der Vorstand kommt und sagt: \u201eWarum machen wir das noch nicht?\u201c<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong><strong><strong>Kann man sagen, dass man sich, wenn man nicht gerade ein Atomkraftwerk betreibt, in Bezug auf Sicherheitsma\u00dfnahmen und Patch-Management vermutlich auf Level 2 und dar\u00fcber konzentrieren kann?<\/strong><\/strong><\/strong><\/p>\n\n\n\n<p>Nun, in der Hinsicht bin ich sehr nonkonformistisch. Bevor Level 1 auf Stand ist, halte ich es f\u00fcr relativ sinnlos, Risiken durch den Schutz von Level 2 zu mindern. Wenn ich als Angreifer mal bei Level 2 bin, kann ich ja tun, was immer ich will. Mein vorgeschlagener Patching-Entscheidungsbaum <a href=\"https:\/\/www.linkedin.com\/pulse\/ics-patch-what-patch-when-dale-peterson\">ICS Patch<\/a> konzentriert sich deshalb wirklich auf die Risiken.<\/p>\n\n\n\n<p>Hier geht es wieder um die Frage: Wo will ich investieren? Setze ich mein Geld und meine Zeit daf\u00fcr ein, auf Level 2 jedes Quartal alles zu patchen? Oder baue ich lieber auf Application Whitelisting?<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong><strong><strong>Kannst Du uns einen Fall in einem mittelst\u00e4ndischen Unternehmen \u2013 kein gro\u00dfer Versorger, keine Urananreicherungsanlage oder \u00c4hnliches \u2013 nennen, bei dem eine bessere OT-Sicherheit einen Angriff vereitelt oder die Folgen eines Angriffs deutlich verringert h\u00e4tte?<\/strong><\/strong><\/strong><\/p>\n\n\n\n<p>Ich denke, das ist ganz klar. Bei den meisten Angriffen, die \u00f6ffentlich geworden sind, sehen wir das gleiche Problem: Die wahrscheinlich wirksamste Methode, Angriffe zu verhindern, ist aktuell die Zwei-Faktor-Authentifizierung f\u00fcr den Zugang von au\u00dfen.<\/p>\n\n\n\n<p>Bei fast allen Sicherheitsvorf\u00e4llen, die in den vergangenen drei Jahren ver\u00f6ffentlicht wurden, haben sich die Angreifer \u00fcber eine Ein-Faktor-Authentifizierung Zugang verschafft. Die besorgen sich einfach die Zugangsdaten und treiben sich dann monatelang im Netzwerk herum und planen ihren Angriff von innen.<\/p>\n\n\n\n<p>Der zweite wichtige Problembereich ist ebenfalls klar: Wechselmedien. Hier haben wir es in der Regel mit Massenmarkt-Malware zu tun. Das sind wohl die beiden Ma\u00dfnahmen, mit denen die meisten Angriffe der vergangenen Jahre h\u00e4tten verhindert werden k\u00f6nnen.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong><strong><strong>Viele CIOs und CISOs sagen uns, dass sie sich vor Werbung von Cybersecurity- und Beratungsfirmen gar nicht mehr retten k\u00f6nnen. Was w\u00fcrdest Du Anbietern raten, um sich von der Konkurrenz abzuheben?<\/strong><\/strong><\/strong><\/p>\n\n\n\n<p>Das ist eine gute Frage. Ich denke, die meisten machen das schon ganz gut. Die jagen den Kunden eine Heidenangst ein. Oft bringen sie die Kunden dazu, Dinge zu kaufen, die eigentlich nicht das Richtige sind. Die Produkte an sich sind nicht schlecht, aber einfach nicht an der richtigen Stelle.<\/p>\n\n\n\n<p>Wenn ich einen Anbieter beraten m\u00fcsste, w\u00fcrde ich sagen: Gleich \u00fcber dem CISO ansetzen. Oft gibt es im Vorstand oder Board mindestens eine Person, der das Thema Sicherheit besonders am Herzen liegt; manchmal ist es auch der CEO pers\u00f6nlich \u2013 jemand, der sich gern \u00fcber neue Produkte informiert und dann schon mal dem CISO eine bestimmte L\u00f6sung empfiehlt. Der CISO kann versuchen, dagegen zu argumentieren, aber wenn ein Anbieter in der obersten F\u00fchrungsebene eine F\u00fcrsprecherin oder einen F\u00fcrsprecher findet, wird es f\u00fcr den CISO sehr schwer, sich dagegen zu wehren. Hier geht es dann schnell auch darum, seinen Job zu behalten.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong><strong><strong>Was ist Deiner Erfahrung nach eine typische Halbwahrheit oder ein typischer Irrglaube im Bereich ICS-Sicherheit?<\/strong><\/strong><\/strong><\/p>\n\n\n\n<p>Was mich, glaube ich, am meisten st\u00f6rt, ist \u201eCyber-Hygiene\u201c. Zun\u00e4chst einmal ist der Ausdruck irref\u00fchrend. Hygiene ist ja etwas, das jeden angeht. Gerade jetzt sollen wir uns alle die H\u00e4nde waschen und eine Maske tragen. Das Patchen oder Verst\u00e4rken einer Konfiguration geht in meinen Augen hingegen nicht jeden an. Das ist etwas f\u00fcr OT-Sicherheitsprofis. Deshalb ist in meinen Augen schon allein die Bezeichnung daneben.<\/p>\n\n\n\n<p>Au\u00dferdem halte ich das Mantra, dass jeder f\u00fcr die Sicherheit mitverantwortlich ist, f\u00fcr falsch; wenn ich zur Absicherung meines Systems wirklich auf die Mitwirkung aller Besch\u00e4ftigten angewiesen bin, werde ich scheitern. Ich zeige immer gern Statistiken zum Anschnallen im Auto in den USA; daran zeigt sich sehr sch\u00f6n, dass man niemals alle Menschen dazu bringt, sich richtig zu verhalten \u2013 selbst wenn es in ihrem eigenen Interesse ist, und selbst wenn es gesetzlich vorgeschrieben ist. Was wurde nicht alles in Sicherheitssysteme im Auto investiert, bis wir auf den heutigen Stand gekommen sind. Dar\u00fcber hinaus predigen wir immer noch sicheres Verhalten im Stra\u00dfenverkehr, aber es werden sich eben nie alle daran halten.<\/p>\n\n\n\n<p>Wenn wir beim Absichern und Sch\u00fctzen von OT-Systemen \u00fcber Verhaltens\u00e4nderungen so weit kommen wollen wie in der Verkehrssicherheit, br\u00e4uchten wir Jahrzehnte. Deshalb sollten wir lieber daran arbeiten, es den Ingenieuren, Technikern und Anlagenbedienern leichter zu machen, und ihnen einfach eine Authentifizierungsmethode an die Hand geben. Und wenn sie an einer Engineering-Workstation jemanden sitzen sehen, den sie noch nie gesehen haben, sollen sie Bescheid sagen. Alles andere muss in meinen Augen automatisiert sein.<\/p>\n\n\n\n<p>Viele erfassen die Cyber-Hygiene als ihre wichtigste Kennzahl. Das ist meiner Meinung nach ein gro\u00dfer Fehler. Leider bin ich nicht sicher, ob sich diese Bewegung noch aufhalten l\u00e4sst. Die Dynamik ist schon ziemlich gro\u00df geworden. Auf Fachkonferenzen h\u00f6rt man das rauf und runter. Immer wieder hei\u00dft es, Patches seien das A und O. Ich w\u00fcrde mich freuen, wenn die CISOs in diesem Punkt dazulernen w\u00fcrden.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong><strong><strong>Letzte Frage: Wenn Du allen CIOs auf der Welt eine E-Mail schicken k\u00f6nntest, was w\u00e4re die Kernbotschaft?<\/strong><\/strong><\/strong><\/p>\n\n\n\n<p>Konzentrieren Sie sich auf Ihre Risiken. Behandeln Sie Ihre OT-Cybersicherheit genau wie alle anderen Sicherheitsthemen in Ihrem Unternehmen. Investieren Sie Geld und Zeit, um Risiken zu verringern, und konzentrieren Sie sich wirklich auf beide Seiten der Gleichung: Verringern Sie sowohl die Wahrscheinlichkeit als auch die Folgen von Angriffen.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong>Nochmals vielen Dank f\u00fcr Deine Zeit und Deine Perspektiven, Dale!<\/strong><\/p>\n\n\n\n<p>\u00dcbrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider \u2013 aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenw\u00e4rtigen Entwicklungen vertiefend und freuen uns \u00fcber Ihr Feedback sowie Anfragen zu einem Austausch.<br><br>Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abh\u00e4ngig von der kundenindividuellen Situation.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dale Peterson [Teil 2\/2] Dale Peterson ist der Co-Founder und Managing Director der Digital Bond [&hellip;]<\/p>\n","protected":false},"author":24,"featured_media":3985,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[19],"tags":[],"class_list":["post-3989","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-interviews-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3989","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=3989"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3989\/revisions"}],"predecessor-version":[{"id":3990,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3989\/revisions\/3990"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/3985"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=3989"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=3989"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=3989"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}