»Wir erwarten eine Konsolidierung«
TXOne Networks zu den Trends in der OT-Security
Einfachheit und Systematisierung der Lösungen – dies ist einer der Trends in der OT-Security. Nicht von ungefähr hat TXOne Networks eine zentrale Management-Konsole vorgestellt, mit der sich die drei Produktlinien des Unternehmens zentral steuern lassen. CEO Dr. Terence Liu erklärt die Hintergründe.
Markt&Technik: Herr Dr. Liu, Sie sind mit ihrem Unternehmen schon öfter auf der Hannover Messe gewesen. Was führt Sie immer wieder hierher?
Dr. Terence Liu: Wir kommen gerne nach Hannover, die Messe ist voller Innovationen und für uns eine wichtige Plattform, um im persönlichen Austausch mit unseren Kunden und Partnern zu bleiben. Uns ist wichtig, dies mit einem eigenen Stand zu machen, um einen Wiedererkennungswert unter den Besuchern zu erzielen.
Was haben Sie auf der Messe vorgestellt?
Auf der diesjährigen Hannover Messe haben wir »SageOne« erstmals gezeigt. Dabei handelt es sich um eine zentrale Management-Konsole, die den OT-Security-Verantwortlichen einen Überblick über die CPS-Angriffsfläche (Cyber-Physical System) ihrer OT-Umgebung verschafft. Mit dieser Konsole lassen sich auch unsere drei Produktlinien zentral steuern, nämlich »Stellar« für die Sicherheitsprüfung, »Element« für die Endpunkt-Sicherheit und »Edge« für die Netzwerksicherheit.
Was macht SageOne noch, außer dass es die anderen Produktlinien verwaltet?
Eine wichtige Funktion von SageOne ist »Threat Intelligence« zum Sammeln, Analysieren und Anwenden von Informationen als Wissensdatenbank über potenzielle und vorhandene Bedrohungen. Unsere Abteilung »TXOne Threat Research« führt eine Vielzahl von Untersuchungen zu Schwachstellen von ICS-Geräten und -Protokollen durch (Industrial Control System). Sie analysiert Malware und Ransomware im Zusammenhang mit OT-Bedrohungen. Die Informationen können auch aus vielen anderen Quellen stammen: öffentlich zugängliche Daten, Branchen-Berichte und privatwirtschaftliche Informationen. Durch die On-Premise-Installation verbleiben die Informationen von den Geräten aber immer beim Unternehmen selbst. Wir haben keinen Zugriff darauf, wenn uns dies nicht erlaubt wird.
Die Intelligenz hinter der Plattform fasst außerdem die Informationen aus den drei anderen Produktlinien zusammen und stellt sie den OT-Security-Verantwortlichen aufbereitet und in Korrelation gesetzt zur Verfügung. Die Experten verstehen dann, welche OT-Assets sich in ihrem Unternehmen wo befinden, welche Schwachstellen diese haben und wie sie abgesichert sind. Danach können sie sich dann beispielsweise mit dem Thema Cyber-Physical System Detection and Response (CPSDR) auseinandersetzen, dann mit dem Thema Incident Response. Letztlich kann jedes Team mit dem anfangen, was es als notwendig ansieht. Bei einem Team ist es die Endpoint Protection, bei einem anderen die Network Protection. Letztlich geht es nicht darum, 10.000 OT-Assets zu analysieren und abzusichern, sondern diejenigen herauszufiltern, die die größten Schwachstellen haben und die von außen am einfachsten anzugreifen sind. Es geht also um eine Priorisierung der Risiken.
Warum setzen Sie auf Prävention, also die Abwehr von Cyberangriffen, und nicht auf nachträgliche Erkennung?
Wenn wir einen Blick auf die Entwicklung der OT-Security werfen, dann lässt sich diese mit der Evolution der IT-Sicherheit vergleichen, nur dass die IT-Sicherheit deutlich älter ist. Zunächst haben alle verstanden, dass es Hackern irgendwann gelingen wird, in ein System einzudringen. Wenn sie sich nur lange genug anstrengen, wird es ihnen irgendwann gelingen. Deshalb begann die Sicherheitsindustrie mit der Entwicklung von Präventions-, dann Erkennungs-Technologien, und nun sind wir beim Risikomanagement angekommen. Bei Erkennungs-Technologien geht es darum, die Cyberkriminellen aufzuspüren, und man will den Eindringling in einer Woche statt in drei Monaten finden und isolieren. Nach einiger Zeit, vielleicht nach sieben Jahren, fing die Industrie an, darüber nachzudenken, wie man das Risiko verringern kann, damit der Hacker eine geringere Chance hat, überhaupt in das System einzudringen. Aus unserer Sicht ist das nicht die richtige Reihenfolge; Ziel muss unseres Erachtens sein, das Risiko eines erfolgreichen Cyberangriffs von vornherein zu verringern. Bei der OT-Security geht es darum, zu wissen, woraus sich die OT-Umgebung zusammensetzt, und dann, welche Schwachstellen es gibt und wie sie geschlossen werden können. Dann kommt es darauf an, Präventions- und Erkennungs-Technologien einzubinden sowie Incident-Response-Fähigkeiten zu entwickeln.
In OT-Umgebungen geht es ja vor allem um gewachsene Strukturen und um Lebenszyklen, die deutlich länger sind als die in der Office-IT. Wie gehen Sie mit diesen Alt-Systemen um?
Wir können mit unseren Lösungen sowohl ältere als auch moderne Betriebssysteme von Windows XP bis hin zu Windows 11 abdecken und diese absichern. Wir bieten auch ein Produkt für Kunden an, die Vorbehalte gegenüber Software-Agenten haben. Hierbei handelt es sich um den »Portable Inspector«. Er bietet tragbare, installationsfreie Sicherheit im USB-Formfaktor und überprüft neue Geräte, bevor sie in die Produktion gehen, führt regelmäßige Audits und Bestandsverwaltungs-Funktionen durch und bietet erweiterte Sicherheit für Out-of-Band- und isolierte Geräte. Die Verantwortlichen können also auch ohne Software prüfen, ob das Gerät kompromittiert wurde oder nicht.
Welche Trends sehen Sie in der OT-Security?
Zum einen Konsolidierung. Ähnlich wie bei der IT-Security wird es nach und nach auch bei der OT-Security eine Konsolidierung geben. In der IT-Security sehen wir Unternehmen mit 60 und mehr unterschiedlichen Security-Produkten für die verschiedenen Aufgaben. Dies ist wenig überschaubar, zumal die Produkte nicht nahtlos ineinandergreifen; die Informationen werden in verschiedenen Plattformen aufbereitet, aber nicht zusammengeführt. Deshalb versuchen mehr und mehr Unternehmen einen Übergang zu weniger Anbietern und zu mehr Verwaltung in einer Plattform.
In der OT-Security sind es bislang eher weniger Lösungen, aber wir stehen dort ja noch am Anfang, und schon jetzt gibt es immer mehr Produkte auch für die Anforderungen der OT-Security, also ist auch hier die Konsolidierung nur eine Frage der Zeit.
Zum anderen sehen wir eine Zuspitzung der Cybersicherheitslage für OT-Umgebungen. Die Anzahl der Angriffe steigt ebenso wie die der Cyberkriminellen-Gruppen, die sich mit dieser Art von Systemen auskennen und die finanziellen Mittel aufbringen. Zu diesen gehören Hacker-Banden wie Lapsus$, LockBit, Cuba, RansomHouse und LV, die in den Jahren 2022 und 2023 mehrere Ransomware-Angriffe, Erpressungsversuche und andere bösartige Aktivitäten durchführten. Der Hauptangriffsvektor für OT ist immer noch eine Virusinfektion, aber es gibt durch die zunehmende Vernetzung über das Internet immer mehr Einfallstore.
Die Ergebnisse unseres aktuellen Reports zu OT-Security Risiken belegen: Unternehmen müssen bei ihren OT/ICS-Sicherheitsstrategien weit über die Einhaltung von Vorschriften hinausgehen, wenn sie sich erfolgreich auf die immer raffinierteren Bedrohungen einstellen wollen. Verfügbarkeit, Zuverlässigkeit und Sicherheit der OT wird von neuen Governance-Strukturen, verbesserten technischen Fähigkeiten, den Teams, der Integration fortschrittlicher Erkennung sowie von der Reaktion auf Bedrohungen innerhalb der Frameworks und dem Risikomanagement über die gesamte Lieferkette hinweg abhängen.
Das Interview führte Andreas Knoll.
Lesen Sie mehr zum Thema
