Dale Peterson [Teil 2/2]
Dale Peterson ist der Co-Founder und Managing Director der Digital Bond Inc. Er hat langjährige Erfahrung im Bereich der IT-Sicherheit und ist Creator und Program Chair von S4 Events, der weltweit größten Konferenz für industrielle Cybersecurity.
Hier geht es zum ersten Teil unseres Interviews mit Dale Peterson
Was denkst Du derzeit über OT-Monitoring und die Erkennung von Anomalien? Du hast ja zu diesen Systemen bereits umfassende Analysen durchgeführt.
Richtig, ich habe mich bereits eingehend und seit vielen Jahren damit beschäftigt. Und ich bin ein großer Fan der Technologie. Ich glaube, die meisten haben deshalb Schwierigkeiten damit, weil sie die Technologie entweder für den falschen Zweck oder, noch häufiger, ohne die nötige Vorbereitung einsetzen.
Was die Nutzung für den richtigen Zweck angeht, so waren OT-Monitoring-Lösungen ursprünglich als Erkennungsprodukte gedacht, wurden aber anfangs häufig genutzt, um ein Bestandsverzeichnis (Asset Inventory) zu erstellen. Die Leute verwalten ihre Anlagen mit Listen und Tabellen, und dann kommt da jemand und zeigt über einen SPAN-Port, was eigentlich alles da ist. Der Anlagenverantwortliche ist begeistert und sagt: „Wow, das hatte ich ja noch nie. Das ist super.“
Aber es ist eigentlich kein Produkt für die Anlagen- oder Bestandsverwaltung. Wer so etwas sucht, sollte zu einem Produkt greifen, das speziell dafür vorgesehen ist, z.B. Langner OT-Base oder Tripwire. Und auch einige Vulnerability-Management-Firmen wie Tenable bieten diese Option. Man bräuchte aber etwas, das als zentrale Datenquelle für die Anlagenverwaltung dient und vorzugsweise auch Dinge wie die Nachverfolgung von Änderungen (Change Management) bietet.
Das Erkennungsprodukt sollte dann mit der Inventarisierungssoftware verknüpft sein. Wenn es also etwas Neues im Netzwerk erkennt, sollte es die Informationen an die Inventarisierung schicken, die wiederum ihren Datenstand an das Erkennungsprodukt senden sollte. Man muss aber darauf achten, dass man wirklich ein Produkt für die Erkennung von Angriffen kauft und nutzt.
Der Zeitpunkt ist wirklich wichtig. Warum sollte man Geld dafür verschwenden, wenn man nicht in der Lage ist, das Produkt zu nutzen? Das haben wir auch in der Unternehmens-IT beobachtet. Es wurden zahlreiche Systeme zur Erkennung von Angriffen gekauft, die dann aber niemand genutzt hat. Wenn man also nicht in der Lage ist, auf Angriffe und Zwischenfälle zu reagieren, was bringt dann ein KI-gestütztes Erkennungsprodukt? Wenn es weder intern noch über einen externen Dienstleister ein OT-Notfallteam gibt, lohnt sich die Anschaffung nicht.
Wenn man diese Kapazitäten hat und eine OT-Monitoring-Lösung anschaffen will, sollte man sich fragen, ob ausreichend Personal dafür bereit ist, um das Netzwerk tatsächlich zu überwachen. Ich erlebe immer wieder, dass viele so etwas anschaffen, aber nicht wirklich bereit dafür sind.
Ist es wirklich das, was der Kunde jetzt tun sollte, um seine Risiken effizient zu mindern? Wäre es beispielsweise nicht besser, Recovery-Kompetenzen zu stärken, oder ein Whitelisting einzuführen?
Das Problem: Das Marketing der ca. 20 OT-Monitoring-Anbieter ist herausragend. Die erreichen jede Führungskraft, jeden Vorstand. Viele Unternehmen stehen also unter Druck von oben und müssen Auskunft darüber geben, welche Strategie zur Risikoerkennung angewendet wird. Auf gut deutsch, „Welches Produkt setzen wir ein?“.
Als verantwortlicher Manager möchte ich da proaktiv handeln. Ich will zum Management gehen und sagen: „Hier, das ist unsere Strategie. Wir sind bereit für das Produkt.“ Und das am besten, bevor der Vorstand kommt und sagt: „Warum machen wir das noch nicht?“
Kann man sagen, dass man sich, wenn man nicht gerade ein Atomkraftwerk betreibt, in Bezug auf Sicherheitsmaßnahmen und Patch-Management vermutlich auf Level 2 und darüber konzentrieren kann?
Nun, in der Hinsicht bin ich sehr nonkonformistisch. Bevor Level 1 auf Stand ist, halte ich es für relativ sinnlos, Risiken durch den Schutz von Level 2 zu mindern. Wenn ich als Angreifer mal bei Level 2 bin, kann ich ja tun, was immer ich will. Mein vorgeschlagener Patching-Entscheidungsbaum ICS Patch konzentriert sich deshalb wirklich auf die Risiken.
Hier geht es wieder um die Frage: Wo will ich investieren? Setze ich mein Geld und meine Zeit dafür ein, auf Level 2 jedes Quartal alles zu patchen? Oder baue ich lieber auf Application Whitelisting?
Kannst Du uns einen Fall in einem mittelständischen Unternehmen – kein großer Versorger, keine Urananreicherungsanlage oder Ähnliches – nennen, bei dem eine bessere OT-Sicherheit einen Angriff vereitelt oder die Folgen eines Angriffs deutlich verringert hätte?
Ich denke, das ist ganz klar. Bei den meisten Angriffen, die öffentlich geworden sind, sehen wir das gleiche Problem: Die wahrscheinlich wirksamste Methode, Angriffe zu verhindern, ist aktuell die Zwei-Faktor-Authentifizierung für den Zugang von außen.
Bei fast allen Sicherheitsvorfällen, die in den vergangenen drei Jahren veröffentlicht wurden, haben sich die Angreifer über eine Ein-Faktor-Authentifizierung Zugang verschafft. Die besorgen sich einfach die Zugangsdaten und treiben sich dann monatelang im Netzwerk herum und planen ihren Angriff von innen.
Der zweite wichtige Problembereich ist ebenfalls klar: Wechselmedien. Hier haben wir es in der Regel mit Massenmarkt-Malware zu tun. Das sind wohl die beiden Maßnahmen, mit denen die meisten Angriffe der vergangenen Jahre hätten verhindert werden können.
Viele CIOs und CISOs sagen uns, dass sie sich vor Werbung von Cybersecurity- und Beratungsfirmen gar nicht mehr retten können. Was würdest Du Anbietern raten, um sich von der Konkurrenz abzuheben?
Das ist eine gute Frage. Ich denke, die meisten machen das schon ganz gut. Die jagen den Kunden eine Heidenangst ein. Oft bringen sie die Kunden dazu, Dinge zu kaufen, die eigentlich nicht das Richtige sind. Die Produkte an sich sind nicht schlecht, aber einfach nicht an der richtigen Stelle.
Wenn ich einen Anbieter beraten müsste, würde ich sagen: Gleich über dem CISO ansetzen. Oft gibt es im Vorstand oder Board mindestens eine Person, der das Thema Sicherheit besonders am Herzen liegt; manchmal ist es auch der CEO persönlich – jemand, der sich gern über neue Produkte informiert und dann schon mal dem CISO eine bestimmte Lösung empfiehlt. Der CISO kann versuchen, dagegen zu argumentieren, aber wenn ein Anbieter in der obersten Führungsebene eine Fürsprecherin oder einen Fürsprecher findet, wird es für den CISO sehr schwer, sich dagegen zu wehren. Hier geht es dann schnell auch darum, seinen Job zu behalten.
Was ist Deiner Erfahrung nach eine typische Halbwahrheit oder ein typischer Irrglaube im Bereich ICS-Sicherheit?
Was mich, glaube ich, am meisten stört, ist „Cyber-Hygiene“. Zunächst einmal ist der Ausdruck irreführend. Hygiene ist ja etwas, das jeden angeht. Gerade jetzt sollen wir uns alle die Hände waschen und eine Maske tragen. Das Patchen oder Verstärken einer Konfiguration geht in meinen Augen hingegen nicht jeden an. Das ist etwas für OT-Sicherheitsprofis. Deshalb ist in meinen Augen schon allein die Bezeichnung daneben.
Außerdem halte ich das Mantra, dass jeder für die Sicherheit mitverantwortlich ist, für falsch; wenn ich zur Absicherung meines Systems wirklich auf die Mitwirkung aller Beschäftigten angewiesen bin, werde ich scheitern. Ich zeige immer gern Statistiken zum Anschnallen im Auto in den USA; daran zeigt sich sehr schön, dass man niemals alle Menschen dazu bringt, sich richtig zu verhalten – selbst wenn es in ihrem eigenen Interesse ist, und selbst wenn es gesetzlich vorgeschrieben ist. Was wurde nicht alles in Sicherheitssysteme im Auto investiert, bis wir auf den heutigen Stand gekommen sind. Darüber hinaus predigen wir immer noch sicheres Verhalten im Straßenverkehr, aber es werden sich eben nie alle daran halten.
Wenn wir beim Absichern und Schützen von OT-Systemen über Verhaltensänderungen so weit kommen wollen wie in der Verkehrssicherheit, bräuchten wir Jahrzehnte. Deshalb sollten wir lieber daran arbeiten, es den Ingenieuren, Technikern und Anlagenbedienern leichter zu machen, und ihnen einfach eine Authentifizierungsmethode an die Hand geben. Und wenn sie an einer Engineering-Workstation jemanden sitzen sehen, den sie noch nie gesehen haben, sollen sie Bescheid sagen. Alles andere muss in meinen Augen automatisiert sein.
Viele erfassen die Cyber-Hygiene als ihre wichtigste Kennzahl. Das ist meiner Meinung nach ein großer Fehler. Leider bin ich nicht sicher, ob sich diese Bewegung noch aufhalten lässt. Die Dynamik ist schon ziemlich groß geworden. Auf Fachkonferenzen hört man das rauf und runter. Immer wieder heißt es, Patches seien das A und O. Ich würde mich freuen, wenn die CISOs in diesem Punkt dazulernen würden.
Letzte Frage: Wenn Du allen CIOs auf der Welt eine E-Mail schicken könntest, was wäre die Kernbotschaft?
Konzentrieren Sie sich auf Ihre Risiken. Behandeln Sie Ihre OT-Cybersicherheit genau wie alle anderen Sicherheitsthemen in Ihrem Unternehmen. Investieren Sie Geld und Zeit, um Risiken zu verringern, und konzentrieren Sie sich wirklich auf beide Seiten der Gleichung: Verringern Sie sowohl die Wahrscheinlichkeit als auch die Folgen von Angriffen.
Nochmals vielen Dank für Deine Zeit und Deine Perspektiven, Dale!
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
