Skip to main content

Stellen Sie sich einen digitalen Angriff wie eine Invasion in mehreren Akten vor: Jeder Schritt, jede Phase des Angriffs wird durch die Cyber-Kill-Chain veranschaulicht. Sie umfasst üblicherweise die Abschnitte Aufklärung (Reconnaissance), Waffenbildung (Weaponization), Lieferung (Delivery), Exploitation, Installation, Kommando & Kontrolle (Command & Control) und Umsetzung der Ziele (Actions on Objectives). Während dieses Modell im IT-Bereich gut dokumentiert und verstanden wird, unterscheidet sich der Ablauf in der OT – der Steuerungstechnik für industrielle und andere Anlagen – teils beträchtlich von dem bei IT-Systemen.

In der OT, wo es um direkte Kontrolle physischer Prozesse geht, sind die Auswirkungen von Eingriffen und Störungen oft sofort und physisch sichtbar. Dies kann von gestoppten Fertigungslinien über Fehlfunktionen in der Stromversorgung bis hin zu gefährlichen Zwischenfällen in Chemieanlagen reichen. Daher ist das Verständnis um die Cyber-Kill-Chain in der OT nicht nur eine Frage der Datensicherheit, sondern vielmehr der physischen Sicherheit und des Schutzes von menschlichem Leben und Umwelt.

IT-Sicherheit befasst sich hauptsächlich mit Daten: deren Integrität, Verfügbarkeit und Vertraulichkeit. OT-Sicherheit hingegen hat die zusätzliche Komplexität der physischen Sicherheit. Viele OT-Systeme sind zudem auf langfristige Nutzung ausgelegt und nicht unbedingt für schnelle Änderungen oder regelmäßige Updates konzipiert. Dies bedeutet, dass das Cyber-Kill-Chain-Modell für OT angepasst werden muss, um spezifische Aspekte wie die Nutzung älterer Systeme, geringere Anpassbarkeit und potentielle physische Gefahren miteinzubeziehen.

Ein weiterer wichtiger Unterschied besteht darin, dass OT-Systeme oft als Teil kritischer Infrastrukturen dienen und deshalb ein hohes Maß an Zuverlässigkeit und Verfügbarkeit erfordern. Die Auswirkungen einer Störung oder eines Angriffs sind entsprechend höher. Daher ist die richtige Implementierung sicherheitstechnischer Maßnahmen und eine angepasste Risikobewertung unverzichtbar.

Zusammenfassend ist es klar, dass die Sicherheitskonzepte, die für die IT entwickelt wurden, nicht einfach eins zu eins auf die OT übertragen werden können. Beide Bereiche erfordern eine spezifische Herangehensweise und eine tiefgehende Kenntnis der jeweiligen Systeme und Risiken. Sicherheitsverantwortliche in Unternehmen müssen sich dieser Unterschiede bewusst sein, um angemessene und wirksame Schutzmaßnahmen zu erarbeiten und umzusetzen.