Vernetzte Systeme bilden das Rückgrat kritischer Infrastrukturen - von Energie und Wasser bis Verkehr und Gesundheit. Zunehmende Komplexität und Angriffsdruck verlangen systematische Risikoanalysen. Der Beitrag erläutert methoden, Bedrohungsmodelle und metriken, zeigt Priorisierung von Risiken und leitet Maßnahmen für Resilienz, Verfügbarkeit und Compliance (z. B. NIS2) ab.
Inhalte
- Bedrohungsmodell für KRITIS
- Asset-Inventar, Lieferketten
- Angriffsflächen in OT/IT
- Szenarioanalyse und Metriken
- Kontrollen, Tests, Härtung
Bedrohungsmodell für KRITIS
Kritische Infrastrukturen benötigen ein Bedrohungsmodell, das Assets, Funktionen, Abhängigkeiten und Angriffsflächen über IT, OT und cyber-physische Systeme hinweg erfasst. Es verbindet Kronjuwelen-Analyze mit Versorgungs- und Sicherheitsauswirkungen,bildet Gegnermodelle von Cybercrime bis APT sowie Fehlbedienungen und naturereignisse ab und macht Annahmen explizit. Architektur-zonierung (z. B. Purdue), Datenflüsse, vertrauensgrenzen, Drittparteien und Fernzugänge dienen als Struktur. Ergebnis sind klar formulierte Missbrauchsfälle, Kill-chains und Kaskadeneffekte, die Kontrolllücken und Rest-Risiken sichtbar machen.
- Schutzobjekte: Kronjuwelen, Safety-Funktionen, prozesskritische Systeme
- Gegnerprofile: Cybercrime, APT, Insider, Hacktivismus
- Angriffsvektoren: Fernwartung, Lieferkette, drahtlose sensorik, physischer Zugang
- Schwachstellen & Exposure: Legacy-OT, unsichere Protokolle, begrenzte Sichtbarkeit
- Kontrollannahmen: Segmentierung, MFA, Härtung, Monitoring, Logging-Treue
- Auswirkungen & Metriken: MTTD, MTTR, Verfügbarkeitsziele, Safety-Auswirkung
- Szenarien & Kaskaden: Blackout, Wasserqualitätsabweichung, Notfallbetrieb
Die Priorisierung erfolgt risikobasiert nach Wahrscheinlichkeit, Wirkpfadlänge und geschäftskritischer Wirkung. Daraus werden Soll-Kontrollen, Detektionslogik und Resilienzmaßnahmen abgeleitet: Zero-Trust-Prinzipien für OT/IIoT, feingranulare segmentierung, gehärtete und zeitlich begrenzte Fernzugriffe, Anomalieerkennung, sichere Updates, Offline-Backups, Wiederanlaufpläne und Tests (Tabletop, Red/Purple Teaming in OT-nahen Umgebungen). Governance adressiert Verantwortlichkeiten, Change-Management, Lieferkettensicherheit (SBOM, Signaturen, Zulassung von Komponenten) und kontinuierliche Validierung der Annahmen durch Telemetrie und Übungen. Ein kompaktes Mapping typischer Pfade auf Kontrollen unterstützt die Umsetzung:
| Domäne | Pfad | Primäre Kontrolle | Wirkung |
|---|---|---|---|
| OT | Fernwartungszugang | MFA, zeitbegrenzter Zugriff, jump-Host | Produktionsstopp |
| IT | Phishing → Ransomware | EDR, Härtung, E-Mail-Schutz | Datenverlust |
| Physisch | Insider mit Zutritt | Zutrittskontrolle, 4-Augen-Prinzip | Manipulation |
| lieferkette | kompromittierte Bibliothek | SBOM, Signaturen, Freigabeprozess | Backdoor |
Asset-Inventar, Lieferketten
Ein laufend gepflegtes bestandsverzeichnis bildet die Grundlage belastbarer Risikoanalysen in vernetzten Umgebungen. Erfasst werden physische und virtuelle Komponenten, OT/IoT, Identitäten, Datenflüsse sowie deren Beziehungen. Entscheidend sind vollständigkeit, Aktualität und Kontext: Quellen wie CMDB, EDR, NAC, Cloud-Tags und SBOMs werden korreliert, Assets eindeutig identifiziert und nach Kritikalität, Verfügbarkeit, Integrität und Sicherheitsrelevanz klassifiziert. versionen, Konfigurationen, Patchstände und Eigentümerschaft werden entlang des Lebenszyklus konsistent dokumentiert, um Angriffsflächen, Single Points of Failure und regulatorische Anforderungen zielgerichtet zu adressieren.
- Automatisierte Erkennung: aktive/passive Finding, API-Integrationen, OT-Protokollanalyse
- Attributierung & Kontext: Standort, Netzwerkzone, Eigentümer, Datenarten, Compliance-Bezug
- Klassifizierung: Kritikalitätsstufen nach Ausfallauswirkung und Wiederanlaufzeit
- Versionierung & SBOM: Komponenten-Stücklisten, bekannte Schwachstellen, Signaturen
- Kontinuierliche Verifizierung: Abgleich gegen Normen, Härtungsbaselines und Telemetrie
| Kategorie | Beispiel-Quelle | Kritikalität | Abhängigkeit |
|---|---|---|---|
| OT-Controller | NAC, OT-Scanner | Sehr hoch | Remote-Support, Ersatzteile |
| cloud-Workload | Cloud-Tags, EDR | Hoch | Region, CSP-dienste |
| Service-Account | IAM, SIEM | mittel | secrets, rotationszyklen |
| Datenfluss | Flow-Logs, APM | Hoch | Broker, Zertifikate |
| Softwaremodul | SBOM, Repo | Variabel | Signaturen, Upstream |
Externe Zuliefernetze erweitern die Angriffsfläche durch Vorleistungen, Firmware, Wartungszugänge und Logistikpfade. Bewertet werden Konzentrationsrisiken, Tier-Strukturen, Code-Herkunft, Update-kanäle, Rechtsräume und Ereignisabhängigkeiten. Signierte Updates, Härtung von Fernzugängen, geprüfte Lieferquellen und option bezugswege reduzieren systemische Verwundbarkeit. Risikobasierte Verträge, Nachweise (z. B. SBOM/VEX), Service-Level für Patches und vordefinierte Umgehungsstrategien sichern Betriebskontinuität bei Störungen in vorgelagerten Stufen.
- Tier-Transparenz: Sichtbarkeit bis zu kritischen Unterlieferanten und Hosting-Partnern
- Abhängigkeitsgraph: technische und organisatorische Ketten, Impact-Simulationen
- Ereignisgetriebene Bewertung: Geo-, Compliance- und Threat-Intel als Trigger
- Vertragliche Steuerung: Patch-Zeitfenster, Audit-Rechte, Schlüssel-escrow
- Resilienzmaßnahmen: Zweitlieferanten, Lagerbestände, signaturgeprüfte Updates
Angriffsflächen in OT/IT
Die Konvergenz von OT-Anlagen und IT-Netzen erweitert die potenziellen Angriffspfade erheblich. Besonders verwundbar sind Legacy-Komponenten mit proprietären oder ungesicherten Protokollen, flache Netzsegmentierungen mit breiten Vertrauenszonen sowie Remote-Wartungszugänge und Schatteninfrastrukturen. Hinzu kommen moderne Angriffsflächen durch IIoT-Sensorik, edge-Gateways und Cloud-Connectoren, die oft mit Standardkonfigurationen oder unzureichender Identitäts- und Schlüsselverwaltung betrieben werden. Lateralbewegungen vom office-IT-Bereich in Produktionsnetze entstehen häufig über schlecht gehärtete schnittstellen, unvollständige Asset-Inventare und fehlende Telemetrie.
- Geräte & Assets: Unverwaltete Steuerungen, alte Firmware, Schatten-Hosts
- Protokolle & Dienste: Klartext-Kommunikation, unsichere ICS-Ports, offene SMB/WinRM
- Zugang & Identitäten: Gemeinsame Konten, schwache MFA-Implementierung, geteilte Schlüssel
- Netzwerk & Segmente: Flat VLANs, fehlende zonen/Conduits, unüberwachte Ost-West-Pfade
- Lieferkette: Third-Party-Tunnel, Update-kette, Remote-Maintenance-Appliances
- physik & Prozesse: Safety-Bypässe, manipulierte Setpoints, ungesicherte Feldgeräte
Wirksamkeit entsteht durch eine risikobasierte Priorisierung: Auswirkungsgrad auf Verfügbarkeit, sicherheit und Compliance; Eintrittswahrscheinlichkeit anhand Exposition, Exploit-Reife und Telemetrie; sowie Erkennungs- und Reaktionsfähigkeit (MTTD/MTTR) in OT-Kontexten. Nützlich sind Referenzen wie MITRE ATT&CK for ICS, passive Netzwerküberwachung, Anomalieerkennung und kontinuierliche Verifikation. Kritische Pfade werden anhand von Kronjuwelen-Mapping, Segment-Härtung und Least-Privilege-Zugriffen geschlossen; Messgrößen wie Patch-Backlog, Inventory-Abdeckung und Alarmrauschen steuern die Roadmap.
| Komponente | typische Schwachstelle | Risiko-Indikator |
|---|---|---|
| PLC | unsignierte logik-Uploads | hoch |
| HMI | Legacy OS, Default-accounts | mittel |
| SCADA/Hist. | Klartext-Protokolle | hoch |
| Remote-VPN | sparse MFA, Shared Secrets | hoch |
| IIoT-Gateway | Unsichere APIs/Token | mittel |
szenarioanalyse und Metriken
Szenarien in vernetzten Infrastrukturen verbinden Angreiferverhalten mit technischen, organisatorischen und zeitlichen Wechselwirkungen. Wirksam sind Ansätze, die Angriffsgraphen, Stresstests und Digital-Twin-Simulationen kombinieren, um Kaskadeneffekte, Lieferkettenabhängigkeiten und Wiederanlaufschwierigkeiten sichtbar zu machen. Entscheidend ist die Trennung von Annahmen und Messwerten, die Bewertung von Erholungswegen (Resilienzpfade) sowie die Priorisierung nach Exposition, Kritikalität und Entdeckbarkeit.
- Ransomware via Fernwartung: laterale Bewegung von IT nach OT, Notbetrieb über manuelle Steuerung
- Cloud-Historian-Fehlkonfiguration: Datenabfluss + Integritätsverlust, falsche Sollwerte
- GNSS-Spoofing: gestörte Zeitbasis, Desynchronisation im netzbetrieb
- DDoS auf IIoT-Broker: Telemetrieausfall, pufferüberlauf, verzögerte stellgrößen
- Insider mit Sonderrechten: stille Policy-Drift, unautorisierte Firmwarewechsel
- Lieferkettenkompromittierung: manipulierte Updates, verdeckte Persistenz
| Kennzahl | Aussage | Richtwert |
|---|---|---|
| MTTD | Erkennungszeit | < 15 Min (Kern-OT) |
| MTTR | Wiederherstellung | < 4 Std |
| RPO / RTO | Daten-/Betriebsverlust | ≤ 15 Min / ≤ 2 Std |
| p99 Steuerlatenz | Stabilität Regelkreise | < 120 ms |
| Patch-Compliance OT | Hygienegrad | > 95% kritisch |
| Angriffspfadlänge | Abwehrtiefe | ≥ 4 Hops |
| Anomalierate Sensorik | signalqualität | < 0,5% |
| Backup-Drill Quote | wiederanlauftest | > 90% |
Ein belastbares Metriksystem verbindet Leading– mit Lagging Indicators, deckt IT/OT/Cloud gemeinsam ab und wird in normalisierte Dashboards überführt.Reifegrad entsteht durch Coverage-Messung (z. B. ATT&CK for ICS), Risikogewichtung nach Eintrittswahrscheinlichkeit × Auswirkung × Entdeckbarkeit, definierte Toleranzbänder, Backtesting von Erkennungen und regelmäßige Red-/Purple-Team-Übungen. Ein kontinuierlicher Feedback-Loop speist Incidents und Near-Misses in die Szenarien zurück, schärft Schwellenwerte und eliminiert Metriken, die Alarmmüdigkeit fördern.
Kontrollen, Tests, Härtung
Abgestufte Sicherheitskontrollen in OT- und IT-Umgebungen reduzieren Angriffsflächen und Transparenzlücken, die in kritischen Infrastrukturen besonders folgenwirksam sind. auf Grundlage der Risikoanalyse werden präventive (z. B.Netzwerksegmentierung, Härtungs-Benchmarks) mit detektiven Maßnahmen (z. B. Telemetrie, Anomalieerkennung) verzahnt; Richtlinien werden idealerweise als Policy-as-Code umgesetzt, um Konsistenz über standorte und Lieferketten hinweg zu sichern. Zentrale Inventarisierung, Zero-Trust-Prinzipien an OT/IT-Schnittstellen, sowie signatur- und verhaltensbasierte Sensorik bilden die Basis für frühzeitiges Erkennen und schnelles Isolieren abweichender Vorgänge.
- Zugriffskontrolle: MFA, Just-in-Time-Privilegien, Bastion Hosts
- Netzwerksegmentierung: Zonen/Conduits nach IEC 62443, unidirektionale gateways
- konfigurations-Baselines: CIS/BSI-Profile, Drift-Erkennung
- Geheimnisverwaltung: HSM, kurzlebige Token, kein Hardcoding
- Protokollierung & telemetrie: Zeitstempel-Synchronisation, OT-spezifische Parser
- Erkennung: Signatur-, Verhaltens- und Schwellenwert-Korrelation im SOC
Tests validieren Wirksamkeit und Härtung minimiert Exploitierbarkeit über den Lebenszyklus. In produktionsnahen Staging-Umgebungen werden Penetrationstests,Red/Purple Teaming,Fuzzing und Wiederherstellungsübungen durchgeführt; in der Produktion erfolgen sichere Prüfungen mit Freigabeprozessen,Change-Fenstern und Rückfallplänen. Ergebnisse fließen in Patch- und SBOM-Management, Allowlisting, sichere Boot- und Update-Ketten sowie Backups mit regelmäßigen Restore-Drills ein; Metriken wie MTTD/MTTR, Patch-Compliance und Mean Time to Recover dienen der Steuerung.
| Asset | Testart | Frequenz | Härtungsfokus | KPI |
|---|---|---|---|---|
| PLC/RTU | Fuzzing, Safe-Pentest | Halbjährlich | Allowlisting, Secure Boot | Fehlerrate ↓ |
| SCADA-Server | Red Team, Restore-Drill | Vierteljährlich | Hardening-Profile, EDR | MTTR ↓ |
| VPN-Gateway | Config Audit, PenTest | Monatlich | MFA, TLS-Policy | patch % ↑ |
| IoT/Sensorik | SBOM-Scan, Firmware-Check | Vor Rollout | Signierte Updates | CVEs 0 |
Was gilt als kritische Infrastruktur und warum sind risikoanalysen in vernetzten Systemen zentral?
Kritische Infrastrukturen sichern Energie, Wasser, Gesundheit, Verkehr und Finanzen. Vernetzte OT/IT vergrößert Angriffsflächen und Abhängigkeiten. Risikoanalysen erfassen Bedrohungen, Schwachstellen und Auswirkungen und priorisieren wirksame Schutzmaßnahmen.
Welche Methoden und standards unterstützen fundierte Risikoanalysen?
Bewährte ansätze sind ISO/IEC 27005, NIST SP 800-30 und IEC 62443. Methoden wie STRIDE, TARA, Attack Trees, Bow-Tie und FMEA strukturieren Bedrohungen und Folgen. Ergänzend liefern Threat Intelligence, Schwachstellenscans und Penetrationstests aktuelle Lagebilder.
Wie werden Risiken in der Lieferkette vernetzter Systeme bewertet?
Bewertung erfolgt über Third-Party-Risk-Management: Asset- und Service-Mapping, SBOMs, Fragebögen, Nachweise (ISO 27001, SOC 2), Audits und kontinuierliches monitoring. Risiken werden durch Segmentierung, Zero Trust, Least Privilege und Exit- sowie Notfallpläne mitigiert.
Welche Rolle spielen Monitoring, Metriken und Tests für resilienz?
kontinuierliches Monitoring liefert Telemetrie zu IT/OT. Metriken wie MTTD, MTTR, Patch-Compliance, Backup-Erfolg und Anomalieraten dienen als kris. Red- und Purple-Teaming, Tabletop-Übungen sowie Szenariosimulationen prüfen Annahmen und verbessern Reaktions- und Erholungsfähigkeit.
Wie fließen regulatorische Vorgaben in Risikoanalysen ein?
Rechtliche Rahmen wie NIS-2, BSI-KritisV, DORA und branchenspezifische Vorgaben definieren Risikokriterien, Meldepflichten und BCM-Anforderungen. Analysen müssen Nachweise, SoA, Maßnahmenpriorisierung und Zeitpläne liefern und Audits sowie Prüfungen standhalten.
Comments