Anmelden


Der beste Weg ist durch die Mitte: 'Remoting-out' für kritische Infrastrukturen in Zeiten von Covid-19

Unternehmen auf der ganzen Welt sehen sich aufgrund des Covid-19-Ausbruchs mit zahlreichen Herausforderungen konfrontiert. Da sind zum einen die offensichtlichen gesundheitlichen Gefahren und Störungen im betrieblichen Ablauf, die durch das Virus selbst verursacht werden. Zum anderen haben viele Firmen Schwierigkeiten, ihre Prozesse von "In-Office" auf "Remote-Zugriff" umzustellen. Aber das ist derzeit oft die einzige Möglichkeit in Zeiten von Shut down und Quarantäne produktiv zu arbeiten. Firmen suchen nach neuen Wegen, erleichtern das Social Distancing indem sie Schichtpläne ändern, persönliche Meetings auf ein Minimum beschränken, Bürozeiten verkürzen oder betriebliche Strukturen zu verändern. Ziel ist es, den Betrieb mit einer fast vollständig remote arbeitenden Belegschaft aufzunehmen beziehungsweise fortzusetzen. 

Die Veränderungen sind teilweise drastisch. So berichtet ein Kunde, dass statt wie bisher rund 9 % der Belegschaft jetzt 52 % remote arbeiten. Das bleibt nicht ohne Wirkung auf Prozesse, sondern hat direkten Einfluss auf die Sicherheitslage.

Für die Praktiker in der Cybersicherheit bringt das eine Reihe ganz eigener Herausforderungen und Risiken mit sich. Erstens: Wie implementiert und erweitert man die Möglichkeiten sicher remote zu arbeiten? Zweitens: Wie soll man eine Umgebung überwachen, die sich vollständig von der von vor einem Monat unterscheidet? Was die Sache noch komplizierter macht: Viele Unternehmen sind nicht in der Lage, neue Sicherheitstools zu installieren, bevor sie unter Zeitdruck das Projekt „Remote“ abschließen. Ergo wird zunächst der Sicherheitslevel mehr oder weniger notgedrungen gesenkt, bevor man sich an die Überwachung der neuen Umgebung macht. Würde man formelleren Projektvorgaben folgen (können), sähe eine Remote-Strategie wahrscheinlich anders aus. Mit einer Lösung, die für unterschiedliche Anwendungsfälle optimiert ist. Die Corona-Krise hat uns sehr schnell gelehrt, mit dem zu arbeiten, was wir haben. Man hat, bildlich gesprochen, die Schleusen im Rekordtempo geöffnet. Die betroffenen Sicherheitsteams kämpfen dabei nicht nur mit der entstandenen Flut an Problemen, sondern zusätzlich mit für diesen Zweck unzureichenden Tools. 

Ein Dilemma, das an sich Herausforderung genug ist. Umso mehr, wenn es sich kritische Infrastrukturen handelt. Energieversorger aller Art, Unternehmen im Gesundheitswesen, der Pharmaindustrie und im Transportwesen.

Es muss also in allererster Linie darum gehen, Menschen und Systemen, denen in der Pandemie eine sogenannte systemerhaltende Funktion zukommt, auch in punkto Cybersicherheit den Rücken freizuhalten. Denn auch wenn einige Cyberkriminelle zu Beginn der Pandemie bekundeten beispielsweise Krankenhäuser und andere Organisationen im Gesundheitswesen zu „verschonen“, warnen FBI und Interpol vor steigenden Zahlen bei Ransomware-Angriffen und Betrügern im „Corona-Modus“.

Anbieter von OT- und IoT-Sicherheitslösungen haben sich lange vor der aktuellen Krise damit befasst, wie man sichere, vollständig überwachte Remote-Umgebungen. Über Lösungen wie Secure Pulse und TDI ConsoleWorks haben Cybersicherheitsteams die Möglichkeit, praktisch jede Art von Remote-Zugriff für IT/IoT/OT/ICS-Umgebungen bereitzustellen. Vom VPN bis hin zu clientlosen Remote-Desktops innerhalb des Browsers und so ziemlich alles dazwischen. Werden die Daten zum Asset Inventory (der Erfassung aller in einer Umgebung vorhandenen Systeme) gemeinsam genutzt, lässt sich der Einsatzbereich beider Lösungen nahtlos erweitern. Tauchen in der betreffenden Umgebung neue Objekte auf, erkennt die Überwachungslösung um welche Art von Objekten es sich handelt, woher sie kommen und warum sie überhaupt existieren, und überwacht sämtlich Zugriffe von diesen Systemen auf die Infrastruktur. In einer Remote-Umgebung haben die im Asset Inventory gesammelten Daten eine weitere Funktion. Sie stellen Wissen bereit, um fundierte Entscheidungen zu treffen, welche Zugriffsberechtigungen und wie vergeben werden sollten. Diese zusätzliche Intelligenz ist gleichermaßen hilfreich, wenn ein Unternehmen eine Remote-Arbeitsumgebung einrichten oder erweitern muss. Parallel dazu senkt sie die Arbeitsbelastung bei IT- und IT-Sicherheitsteams, welche die Zugriffsberechtigungen und tatsächlich erfolgten Zugriffe überwachen. 

Hier einige Beispielarchitekturen wie sich solche Remote-Lösungen einsetzen lassen: 

Einen sicheren Remotezugriff zu gewährleisten ist das eine. Seit Ausbruch und exponentieller Verbreitung der Pandemie weltweit, gibt es immer mehr Gruppierungen von Cyberkriminellen, die versuchen, sich den Virus auf ihre ganz eigene Art zunutze zu machen. Das ist wenig überraschend. Sicherheitsanbieter, die die Branche gut kennen, veröffentlichen regelmäßig neue Untersuchungsergebnisse zu Indicators of Compromise (IoCs) – also Anzeichen anhand derer sich eine potenzielle Kompromittierung erkennen lässt. In der Krise zeigt sich zudem wie viel Kommunikation wert ist. Mit virtuellen Veranstaltungen und kostenfreien Community-Tools versuchen Sicherheitsanbieter Unternehmen, die zu den kritischen Infrastrukturen zählen, sicherheitstechnisch durch die aktuelle Situation zu führen. Threat Intelligence Teams wie von Nozomi Networks arbeiten mit Hochdruck daran, Informationen zu sammeln, zu aggregieren, einzuordnen und in ihre Beratung einfließen zu lassen.

Frei nach einem Auszug aus einem Gedicht von Robert Frost „….der beste Weg ist mittendurch”. 

Von Chris Grove, Nozomi Networks