OT-Security braucht zunächst Asset-Transparenz

Welches besondere Risiko gibt es im OT-Umfeld?
Peter Machat: Viele Unternehmen sehen nicht, welche Assets sie überall haben, insbesondere im OT- und Healthcare-Umfeld. Da treibt sich so viel mit einer IP-Adresse rum, wovon die Firmen nichts wissen. Ich kann aber nur absichern, was ich kenne. Daher ist meine erste Frage an Neukunden meistens: Wie sieht euer Notfallplan aus? Habt ihr ein Incident Response System? Und erstaunlicherweise ist oft immer noch die Antwort: Nicht so wirklich. Daher ist das Erste, was zu machen ist, einen Plan zu erarbeiten, was gemacht werden muss, wenn man angegriffen wird. Das heißt, man braucht ein Konzept, wer, wann und was gemacht werden muss, wenn ein Angriff passiert. Und ausschlaggebend für dieses Konzept ist die Transparenz.

Wie lässt sich diese Transparenz herstellen?
Armis bietet diese Transparenz, indem wir mit Hilfe von Kollektoren zeigen, welche Assets im Unternehmen eine IP-Adresse haben. Zusätzlich analysieren wir, was es an sichtbaren Daten- und Netzwerkverkehr gibt. Wobei es immer einen gewissen Anteil gibt, der sich nicht genau identifizieren lässt. Aus all diesen Informationen lassen sich dann die Geräte, deren Softwarestände und Schwachstellen identifizieren. Der Mehrwert ist dabei, nicht nur aufzuzeigen, welche Schwachstellen es gibt, sondern sie zu priorisieren, entsprechende Aktionen anzutriggern, zum Beispiel sie weiterzugeben an Lösungen wie ServiceNow oder Jira-Ticketsystem, um dann priorisiert die hochklassifizierten CVEs, also Schwachstellen, zu schließen.

Wie viele Schwachstellen werden dabei gefunden?
Wenn wir anfangen, sind das manchmal tausende Schwachstellen, weswegen die meisten unserer Kunden erstmal überfordert sind. Wir zeigen dann auf, wo das Unternehmen ansetzen muss. Hier kommen die Lösungen von Silk Security zum Einsatz, um das Ganze auszulösen und durchzuführen.

Wie lassen sich die Schwachstellen identifizieren?
Es gibt offizielle CVD-Listen der Anbieter, die wir automatisch abgleichen. Zusätzlich setzen wir ATI (Applied Threat Intelligence) ein. Wir setzen dafür Bots im Darknet, die uns zum Beispiel zeigen, an welchen Schwachstellen wird im Darknet gerade gearbeitet, wo werden in Zukunft Schwachstellen ausgenutzt, die noch gar kein CVE haben. Dann muss sofort reagiert werden. Beispiel Log4j. Wir wussten Monate vorher, da ist was. Wir hatten nur keinen Namen dafür. Aber wir haben unseren Kunden gesagt, du musst aufpassen und reagieren. Und das ist ein entscheidender Vorteil.

Mit Blick auf den Markt, verstehen Unternehmen inzwischen, mit welchem Risiko sie agieren, weil sie zu wenig oder das Falsche falsch tun?
Die Unternehmen verstehen inzwischen schon, dass sie was machen müssen. Dabei hilft auch die Kritis-Diskussion im NIS2, DORA oder der Cyber-Resilience-Act. Wenn Sie jetzt aber fragen, ob die Firmen schnell genug sind, stellen wir fest: Die könnten schneller sein. Aber es ist häufig eine Budget- und Priorisierungs-Frage. Aber insgesamt wird die Awareness immer stärker.

Sind die Unternehmen vielleicht überfordert?
Die Leute vom IT-/OT-Security-Bereich wissen, dass sie was tun müssen, aber sie sind schon zu 120 Prozent damit ausgelastet, die IT am Laufen zu halten. Die Leute in der IT sind daher oft nah am Burnout. Und auf der anderen Seite habe ich Hacker, die von Regierungen unterstützt werden, um irgendwelche kritischen Infrastrukturen anzugreifen. Dies sind nicht mehr die typischen Hacker mit Kapuze, sondern das sind Nation-State-Criminals, ob aus China oder Russland. Ein normaler IT-Manager, der die Security quasi nebenbei mitmacht, hat gegen diese staatlich beauftragten Hacker keine Chance mehr. Es gibt aber wenige Firmen, die deswegen neue Leute einstellen, um sicherer zu werden. Stattdessen kommt die Arbeit irgendwo in der IT-Abteilung on top obendrauf. Deswegen ist der Ansatz richtig, mit Partnern zusammenzuarbeiten, die genau verstehen, was zu tun ist, und den Firmen unter die Arme greifen.

Peter Machat

verantwortet das Business von ARMIS in DACH, Osteuropa und Israel.