Umfassende Ansätze für die Cybersecurity
»IT- und OT-Leute müssen gemeinsame Lösungen finden«
KI und ML sind für die Cybersecurity Segen und Fluch zugleich: Aktuell findet ein KI-basierter Wettlauf zwischen Cybersecurity-Verantwortlichen und Angreifern statt. Doch wie können Unternehmen den Wettlauf gewinnen? Marc Meckel, Manager Systems Engineering bei Palo Alto Networks, informiert.
Markt&Technik: Welche Cybersecurity-Bedrohungen gibt es aktuell für Industrieunternehmen, und wie wird sich die Bedrohungslage in absehbarer Zeit entwickeln?
Marc Meckel: Die verstärkte Cloud-Nutzung und das Internet of Things bieten eine immer größere Angriffsfläche. Vorrangig konzentrieren sich die aktuellen Attacken auf die wichtigen Produktionsanlagen, wodurch die Angreifer hohe finanzielle Schäden anrichten wollen. Sie setzen zunehmend bei der IT-Infrastruktur an, um Schwachstellen im OT-Bereich auszunutzen. In unserer aktuellen Studie »The State of OT Security« berichten rund 75 Prozent der Befragten von regelmäßigen Angriffen. 72 Prozent der Angriffe auf den OT-Bereich geschehen über die IT-Umgebung.
Immer häufiger kommen bei diesen Attacken Tools zum Einsatz, die Technologie auf Basis von künstlicher Intelligenz (KI) und Machine Learning (ML) verwenden. So ist es den Angreifern möglich, viel komplexere Angriffe in kürzerer Zeit und größerer Anzahl durchzuführen. Dafür benötigen die Cyberkriminellen oftmals keine Programmierkenntnisse. Mithilfe von KI und ML werden die Tools kontinuierlich weiterentwickelt, so dass sich Unternehmen immer wieder neuen Bedrohungen stellen müssen. Ist eine Kompromittierung gelungen, erzeugen Hacker beispielsweise einen Anlagenstillstand und setzen das Angriffsopfer mit Ransomware unter Druck.
All diese Cyberattacken sind mittlerweile viel organisierter geworden, und es gibt sogar sogenannte »Malware-as-a-Service«-Anbieter. Das erschwert die Situation für Unternehmen und setzt das ohnehin schon harte Wettbewerbsumfeld unter noch größere Anspannung. Die Gefahrenlage wird damit an allen Fronten problematischer.
Was können und müssen Industrieunternehmen gegen die Bedrohungen tun? Bieten KI und ML hier auch Chancen für die Cybersecurity von Unternehmen?
An vielen Stellen findet zwischen Cyberkriminellen und Security-Teams aktuell ein Wettrüsten bei KI- und ML-Technologie statt. Wenn Unternehmen hier nicht mithalten, kann sie das auf Dauer teuer zu stehen kommen. Viele Unternehmen setzen bisher auf einen »Best-of-Breed«-Ansatz. Dabei nutzen sie nicht eine Komplettlösung eines einzelnen Herstellers, sondern kombinieren die jeweils besten Produkte und Lösungen verschiedener Spezialanbieter. Der Vorteil dieses Vorgehens liegt darin, dass die Unternehmen die führenden Technologien der einzelnen Segmente nutzen können, etwa besondere Firewalls und Antiviren-Software. Kein einzelner Hersteller ist auf allen Gebieten der Spitzenreiter.
Der Nachteil ist, dass die Gesamtkosten für Lizenzen, Support und Administration steigen. Durch eine heterogene Systemumgebung mit vielen Einzellösungen entsteht zudem eine größere Angriffsfläche für Cyberkriminelle. Daher empfehlen wir bei Palo Alto Networks einen ganzheitlichen Schutz über eine einzige Plattform, die sich bei Bedarf auch an die Anforderungen des Kunden anpassen lässt. Ein solcher holistischer Ansatz hilft Unternehmen, sich einen schnellen Überblick über die Bedrohungslage zu verschaffen, aber auch gleichzeitig ein zuverlässiges Sicherheitsniveau für die Infrastruktur zu erreichen. So lassen sich die IT- und OT-Bereiche auch viel besser verknüpfen. Orchestrierte Maßnahmen verursachen geringere Kosten und erhöhen zugleich die Sicherheit.
Welche Probleme entstehen dadurch, dass IT- und OT-Abteilung bisher in vielen Unternehmen nicht zusammenarbeiten?
Cyberkriminelle können beide Bereiche gegeneinander ausspielen, weil durch die Silos viele Schwachstellen entstehen. Bei unserer Studie gaben 40 Prozent der Befragten an, dass IT- und OT-Bereiche sich gegenseitig in ihrem Unternehmen behindern. Nur bei 12 Prozent waren die Abteilungen aufeinander abgestimmt. Entscheidend ist, dass IT- und OT-Abteilung gemeinsame Prozesse und Lösungen finden. Das kann herausfordernd sein, weil sich die Ziele beider Bereiche voneinander unterscheiden. Es ist aber in der heutigen Bedrohungslage zwingend notwendig.
Ein großes Problem ist auch, dass es Unstimmigkeiten bei den Kaufentscheidungen im Bereich der OT-Security gibt. 40 Prozent der Befragten in unserem Report gaben an, dass die Verantwortung dafür zwischen OT- und IT-Abteilung geteilt wird. Bei 28 Prozent hat die OT-Abteilung zwar einen gewissen Einfluss, aber am Ende entscheidet die IT-Abteilung über die zu treffenden Maßnahmen. Lediglich in 12 Prozent der befragten Unternehmen stimmen sich beide Teams bei der Entscheidungsfindung wirklich ab. Bei 39 Prozent ist die Zusammenarbeit sogar vorbelastet oder konfliktreich.
Welche Konsequenzen bringt 5G für die Cybersecurity mit sich?
Es wird noch einige Jahre dauern, bis die 5G-Technologie in Industrieunternehmen angekommen ist. Umso wichtiger ist es jedoch, dass sie bereits erste Vorkehrungen treffen und eine sichere Basis schaffen. Viele Unternehmen sind gar nicht auf einen solchen Wandel vorbereitet. Oft verfügen Maschinenparks noch über veraltete Strukturen. Dies kann aber auch eine Chance eröffnen, denn früher oder später müssen die Anlagen modernisiert werden.
5G-Technologie bringt neue Chancen, aber gleichzeitig auch Risiken für OT-Umgebungen mit sich. Sie ermöglicht eine schnellere Vernetzung der Infrastruktur und erhöht die Flexibilität. Dies wird vielen Unternehmen bei der Verwendung von IoT-Geräten oder Cloud-Technologien helfen. In Bezug auf Remote-Zugänge vermuten 74 Prozent, dass Fernzugriffe in der Zukunft sogar noch zunehmen werden. Das Gefahrenpotenzial wird aber beispielsweise durch DDoS-Attacken (Distributed Denial of Service) oder neuartige Malware-Varianten steigen. Gezielte Angriffe auf die neuen Schwachstellen werden ein großes Risiko darstellen, weil die Anlagen über das ICS (Industrial Control System) sichtbarer werden.
Daher sollten Unternehmen idealerweise so früh wie möglich damit beginnen, die Grundlage für eine effizientere Produktion, aber auch eine bessere Sicherheit mithilfe von 5G-Technologie zu schaffen. Damit können sie die Gefahren reduzieren und trotzdem den größten Nutzen aus 5G ziehen. Laut unserem Report wissen Unternehmen, dass hier eine mögliche Gefahrenquelle besteht. Etwa 70 Prozent der Befragten befürchten, dass 5G-Geräte ein Sicherheitsrisiko für die OT-Abteilung sein könnten.
Immer mehr Unternehmen setzen auf Cybersecurity nach dem »Zero-Trust«-Ansatz. Worum handelt es sich dabei, und welche Rolle spielen dabei Defense in Depth und Endpoint Security?
Aktuell kursieren viele Schlagwörter in den Medien – Defense in Depth, Endpoint Security und Zero Trust. Alle diese Konzepte sind essenzieller Bestandteil einer modernen Security-Lösung. Die Endpoint Security setzt am sogenannten Endpunkt an – beispielsweise einem Arbeitsplatz-PC, einem Notebook oder einer Produktionsanlage. Hier werden die wichtigsten Aufgaben von Benutzern erledigt oder die unternehmenskritischen Prozesse in der Fertigung verarbeitet, und es gilt zu verhindern, dass die Geräte kompromittiert werden.
Insgesamt empfiehlt sich ein Zero-Trust-Ansatz. Dabei handelt es sich um ein holistisches Sicherheitskonzept, das kontinuierlich jedes Element der Infrastruktur überprüft – Benutzer, Gerät und Applikation. Mithilfe von Identitätscheck, Zugriffskontrollen und Verhaltensanalysen wird kontinuierlich jeder Zugang überprüft. Die Prämisse ist stets: Unerwünschte Zugriffe im System dürfen nicht gelingen, und nur erwünschte Aktionen dürfen durchgeführt werden. Dies ist nicht einfach zu implementieren. Einige Plattformlösungen arbeiten bereits mit Zero Trust und verfügen sowohl über Defense in Depth als auch über Endpoint Security. Damit schützen sich Unternehmen beispielsweise vor sogenannten Injection Attacks, mit denen sich Angreifer über eine Hintertür in die IT-Infrastruktur einschleichen wollen.
Viele Unternehmen erkennen die Notwendigkeit eines solchen Ansatzes, wie wir in unserem Report festgestellt haben: Über 70 Prozent der Befragten gaben an, dass sie ihre IT- und OT-Security konsolidieren wollen. Und 87 Prozent sind sogar der Meinung, dass Zero Trust die richtige Antwort auf die OT-Cybersecurity ihres Unternehmens ist. Für Zero Trust sind zwar weitere Investitionen notwendig, aber sie rechnen sich langfristig. Zuverlässige Sicherheitsmaßnahmen verhindern finanzielle Schäden oder Reputationseinbußen, die durch einen erfolgreichen Angriff drohen könnten. Daher empfehlen wir Unternehmen immer, an dieser kritischen Stelle nicht zu sparen.
Palo Alto Networks bietet eine solche Plattform an. Aus welchen Elementen besteht sie, und welche Anwendungen deckt sie ab?
Wir verfolgen den Ansatz, unseren Kunden »Ende-zu-Ende« eine ganzheitliche Plattformlösung über drei Bereiche hinweg zur Verfügung zu stellen: Netzwerksicherheit, Cloud-Sicherheit und Security Operations. Dazu bieten wir auch eine verhaltensbasierte Analyse an. Es geht um eine Konsolidierung verschiedener Maßnahmen in einer Lösung. Unsere Plattform hilft durch diesen umfassenden Ansatz vor allem beim Sammeln von Informationen aus sämtlichen Unternehmensbereichen. Das ist ein großer Vorteil, denn die Ergebnisse sind einfacher zu vergleichen. Zudem müssen die Kunden nicht zahlreiche Ressourcen managen und finanzieren.
Die große Menge gesammelter Daten ermöglicht es uns, Anomalien mithilfe von KI und ML schnell und präzise zu identifizieren. Unser eigenes Security Operations Center (SOC) identifiziert 36 Milliarden Security-Events pro Tag. Diese enorme Menge ist nur mithilfe von KI zu bewältigen und liefert die Basis für sogenannte Actionable Alerts. So erkennen Unternehmen, auf welche Ereignisse sie wirklich reagieren müssen. Unsere Lösungen sind das Ergebnis aus langjähriger Praxiserfahrung und dem Feedback unserer Kunden. Auf dieser Grundlage haben wir unsere Lösungen entwickelt, mit denen sich die gesammelten Daten analysieren und als individuelles Profil aufbereiten lassen. Und das ermöglicht auch eine zuverlässigere Risikoprävention.
Bei unserer Plattformlösung nutzen wir patentierte Technologien und Machine Learning, um Unternehmen bestmöglich vor Bedrohungen zu schützen. Sie erkennt sämtliche Protokolle und Kommunikation in den OT-Netzwerken und schafft dadurch einen Überblick über den gesamten Bestand an OT-Geräten. So behält die Lösung alle geschäftskritischen industriellen Assets und Anwendungen im Blick und reagiert schnell auf Anomalien. Durch eine kontinuierliche Überprüfung auf Grundlage von Zero Trust stoppt sie auch komplexe Angriffe auf 5G-vernetzte OT-Assets und Services.
Vor kurzem haben Sie Precision AI gelauncht. Was ist Ihr Ziel mit dieser Neuerung?
Immer mehr unserer Kunden setzen aktuell generative KI wie ChatGPT ein, um den Betriebsalltag für ihre Mitarbeiter zu erleichtern, aber auch um die Produktion effizienter zu gestalten. Allerdings müssen sie dort immer wieder darauf achten, dass generative KI ihnen keine falschen Informationen durch sogenannte Halluzinationen liefert. Schnell können sich hier Fehler einschleichen. Wenn dies bei der Cybersecurity geschieht, kann es große finanzielle Schäden verursachen und ein massives Sicherheitsrisiko darstellen. Daher haben wir eine generative KI entwickelt, die speziell für die Cybersecurity eingesetzt wird: Precision AI.
Bei Precision AI handelt es sich um ein proprietäres KI-System, das die Vorhersagegenauigkeit und automatisierte Abwehrmaßnahmen mit der Zugänglichkeit generativer KI kombiniert. So lässt sich die Reaktionsfähigkeit verbessern. Außerdem bietet sie autonome Cybersecurity durch sogenannte Copilots für unsere Plattformen Strata, Prisma und Cortex. Auf diese Weise erhalten Kunden einen noch besseren Einblick in ihre Sicherheitsdaten und sogar mehr Kontrolle sowie einen umfassenderen Schutz. Precision AI reduziert die Komplexität der Plattform, ohne sich negativ auf die Cybersecurity auszuwirken.
Unsere Technologie setzt auf traditionellen KI/ML-Ansätzen auf, passt sie aber für die Cybersecurity an. Sie zentralisiert Daten und analysiert sie mithilfe spezieller Modelle, um den Security-Teams bei der Verteidigung der Infrastruktur zu helfen. Precision AI verwendet historische und aktuelle Daten als Input, um rechtzeitig auf bisher sogar unbekannte Sicherheitsbedrohungen reagieren zu können. Das System lernt aus einer riesigen Menge von Sicherheitsdaten und automatisiert auf dieser Grundlage Erkennung, Prävention und Reaktion auf Risiken.
Abschließend noch eine Frage zu den Änderungen in Bezug auf die Sicherheitsregularien. Mit der EU-Richtlinie NIS-2 steht im Oktober eine Neuerung an. Welche Konsequenzen ergeben sich für Unternehmen daraus, und was müssen sie beachten?
Einige Unternehmen sind zwar schon gut auf viele der bevorstehenden Änderungen vorbereitet. Aber manche denken, solange es keine konkrete deutsche Gesetzgebung zu der NIS-2-Richtlinie gibt, müssen sie sich damit nicht befassen. Das rächt sich auf lange Sicht, denn NIS-2 tritt am 17. Oktober 2024 in Kraft, und dann greifen auch die entsprechenden Maßnahmen – egal ob ein Unternehmen sich darauf vorbereitet hat oder nicht. Dies kann zu hohen Geldstrafen führen, wenn die Anforderungen nicht erfüllt werden.
Daher müssen sich die Sicherheitsverantwortlichen frühzeitig damit beschäftigen und ihre Prozesse und Infrastruktur entsprechend anpassen. Das ist schließlich nicht die einzige Baustelle im Bereich der Regularien. Es gibt auch noch andere Richtlinien, auf die sie achten müssen, etwa den Cyber Resilience Act oder den AI Act. Hier den Durchblick zu behalten, ist überaus anspruchsvoll. Idealerweise sollten sich Unternehmen von Experten beraten lassen. Diese können die internen Prozesse und Infrastrukturen durchleuchten und darauf aufmerksam machen, an welcher Stelle noch Nachholbedarf besteht und was geändert werden muss, um auf Änderungen oder neue Regelungen vorbereitet zu sein.
Die Fragen stellte Andreas Knoll.
