Cyber-Resilienz für kritische Infrastrukturen gemäß dem australischen SOCI-Gesetz

Das australische SOCI-Gesetz (Security of Critical Infrastructure Act) hat die Art und Weise, wie verantwortliche Stellen Cyber- und Betriebsrisiken bewältigen, grundlegend verändert. Das Gesetz verlagert den Schwerpunkt von der strategischen Ausrichtung auf eine nachweisbare operative Widerstandsfähigkeit, die durch belegte Risikomanagementpraktiken gestützt wird.

Die jüngsten Änderungen bekräftigen die Erwartung der australischen Regierung, dass Betreiber kritischer Infrastrukturen über statische Rahmenbedingungen hinausgehen und praktische, operative Kontrollmaßnahmen einführen, insbesondere im Bereich der Cyber- und Informationssicherheit.

Gemäß Teil 2A des SOCI-Gesetzes müssen verantwortliche Stellen ein CIRMP (Risikomanagementprogramm für kritische Infrastrukturen) einrichten, aufrechterhalten und einhalten. Diese Anforderung gilt branchenübergreifend, unter anderem für:

Der CIRMP verpflichtet Organisationen dazu, Risiken in vier Gefahrenbereichen zu berücksichtigen. Für jeden dieser Bereiche sind durchsetzbare und überprüfbare Kontrollmaßnahmen erforderlich, die wesentliche Risiken für kritische Infrastruktureinrichtungen mindern.

Zu den Gefahrenquellen gehören:

1. Cyber- und Informationssicherheit
2. Personal
3. Lieferkette
4. Physische Sicherheit

In den folgenden Abschnitten wird dargelegt, wie diese Gefahrenkategorien in Sicherheitsmaßnahmen für den Betrieb in Umgebungen kritischer Infrastrukturen umgesetzt werden.

CIRMP verpflichtet Organisationen dazu, Kontrollmaßnahmen zu ergreifen, die wesentliche Cyberrisiken minimieren, die die Verfügbarkeit, Integrität oder Zuverlässigkeit kritischer Infrastruktureinrichtungen beeinträchtigen könnten. Zu den gängigen Cyberbedrohungen zählen Phishing, Malware, Ransomware und Denial-of-Service-Angriffe.

Dateibasierte Bedrohungen gehören nach wie vor zu den häufigsten Einfallstoren. Unternehmen müssen sicherstellen, dass das Hochladen, Herunterladen, Übertragen und Einbringen von Dateien in IT- und OT-Umgebungen sicher erfolgt.

MetaDefender OPSWAT wurde entwickelt, um dateibasierte Bedrohungen abzuwehren, bevor sie Benutzer oder kritische Systeme erreichen. Die Lösung lässt sich in die bestehende Infrastruktur integrieren und überprüft Uploads, Downloads, E-Mail-Anhänge und Dateiübertragungen, ohne den Betriebsablauf zu stören.

MetaDefender Core mehrere Erkennungstechnologien, um eine mehrschichtige Überprüfung zu ermöglichen, darunter:

• Metascan™-Multiscan-Technologie mit mehr als 30 Anti-Malware-Engines
• Signaturbasierte, heuristische und auf maschinellem Lernen basierende Erkennung
• KI-gesteuerte, auf maschinellem Lernen basierende Zero-Day-Erkennung vor der Ausführung
• Datei-Reputation und Hash-Analyse

Bei unbekannten Bedrohungen und Zero-Day-Bedrohungen führt die Deep CDR™-Technologie eine gründliche Dateibereinigung durch, um eingebettete Bedrohungen wie Skripte, Makros und regelwidrige Inhalte rekursiv zu entfernen. Anschließend werden sichere und nutzbare Dateien wiederhergestellt, wobei die Geschäftsfunktionalität erhalten bleibt.

Adaptive ermöglicht die Beobachtung des Verhaltens in einer kontrollierten Umgebung. Proactive DLP™ überprüft Dateiinhalte, um sensible Informationen zu erkennen und richtlinienbasierte Maßnahmen wie das Entfernen, Schwärzen oder Versehen von Inhalten mit Wasserzeichen durchzusetzen, bevor die Dateien an Benutzer oder Systeme weitergegeben werden.

Zu den weiteren Prüfmöglichkeiten gehören:

• Überprüfung des tatsächlichen Dateityps
• Entpacken von Archiven und rekursives Scannen
• File-based vulnerability assessment
• Verhinderung von Datenverlusten und Inhaltsprüfung

Diese Funktionen unterstützen die Ziele des CIRMP durch:

• Verringerung der Abhängigkeit von einer einzigen Erkennungstechnologie
• Zero-Day-Angriffe erkennen und verhindern
• Erstellung nachprüfbarer Nachweise für die Sorgfaltspflicht bei der Erkennung von Bedrohungen

Im Rahmen des CIRMP umfassen Personalrisiken Gefahren, die von Mitarbeitern, Auftragnehmern, Subunternehmern, Praktikanten und anderen Personen ausgehen, die Zugang zu kritischen Infrastruktureinrichtungen haben. Organisationen müssen prüfen, wer als systemrelevanter Mitarbeiter gilt, welche Zugangsrechte diese Personen haben und ob dieser Zugang ein erhebliches Risiko darstellen könnte.

Wechseldatenträger und tragbare Geräte sind nach wie vor häufige Einfallstore für Malware in OT-Umgebungen, insbesondere in isolierten oder segmentierten Netzwerken. Ohne wirksame Kontrollmaßnahmen können diese Einfallstore die Perimeter-Sicherheitsmaßnahmen umgehen.

MetaDefender und MetaDefender Media wurden entwickelt, um Sicherheitskontrollen an Medienzugangspunkten und auf der HMI-Ebene (Human Machine Interface) durchzusetzen.

MetaDefender Kiosk das Scannen und Bereinigen von Wechseldatenträgern, bevor Dateien in sichere Umgebungen gelangen dürfen. Es setzt vordefinierte Sicherheitsrichtlinien durch und erstellt Protokolle zur Erfüllung von Audit-Anforderungen.

Firewall MetaDefender Media Firewall die Inline-Prüfung und die Durchsetzung von Richtlinien bei Datenübertragungen zwischen Netzwerken, einschließlich OT-Segmenten. Sie verhindert, dass unbefugte oder unsichere Dateien in kritische Systeme gelangen.

Diese Maßnahmen tragen zur Einhaltung der CIRMP-Anforderungen hinsichtlich der Gefährdung des Personals bei, indem sie:

• Verringerung des Risikos böswilliger oder fahrlässiger Handlungen von Insidern
• Durchsetzung eines sicheren Umgangs mit Wechseldatenträgern in OT-Netzwerken
• Einschränkung der Verwendung nicht zugelassener Geräte
• Besserer Überblick darüber, wer wann Dateien hochlädt

Das SOCI-Gesetz stuft Gefahren in der Lieferkette im Rahmen des CIRMP ausdrücklich als wesentliche Risikokategorie ein. Die verantwortlichen Stellen müssen sich mit Risiken befassen, die von Lieferanten, Auftragnehmern, OEMs (Original Equipment Manufacturers) und externen Dienstleistern ausgehen.

Risiken in der Lieferkette können entstehen durch:

• Endgeräte von Drittanbietern, die eine Verbindung zu kritischen Netzwerken herstellen
• Fernzugriffsmöglichkeiten auf OT-Umgebungen
• Von Auftragnehmern mitgebrachte mobile Geräte
• Software und Wartungsarbeiten

Viele Betreiber kritischer Infrastrukturen sind auf Fernzugriff angewiesen, um Anlagen zu überwachen, Diagnosen durchzuführen und Upgrades an verteilten oder regionalen Standorten vorzunehmen. Ohne angemessene Sicherheitsvorkehrungen können diese Zugangswege Cyberbedrohungen in sensible Umgebungen einschleusen, darunter auch luftisolierte oder teilvernetzte OT-Netzwerke.

OPSWAT MetaDefender und MetaDefender Access™ wurden entwickelt, um Risiken durch Interaktionen von Drittanbietern mit kritischen Systemen zu minimieren.
MetaDefender Drive und bewertet vorübergehend angeschlossene Laptops, Desktops und Server außerhalb des Host-Betriebssystems, bevor diese eine Verbindung zu gesicherten Umgebungen herstellen. Es erkennt Malware, identifiziert Schwachstellen und überprüft die Integrität der Geräte, um sicherzustellen, dass nur vertrauenswürdige Systeme Zugang zu kontrollierten oder luftisolierten Netzwerken erhalten.

MetaDefender OT Access eine sichere Fernzugriffslösung, die speziell für OT- und CPS-Umgebungen (Cyber-Physical Systems) entwickelt wurde. Sie ermöglicht eine kontrollierte Anbindung für Dritte und Mitarbeiter an entfernten Standorten und sorgt gleichzeitig für eine detaillierte Zugriffskontrolle sowie die Durchsetzung von Richtlinien für das Sitzungsmanagement.

Diese Funktionen erfüllen die CIRMP-Anforderungen hinsichtlich Gefahren in der Lieferkette, indem sie:

• Schutz kritischer Systeme vor Störungen oder Unterbrechungen, die durch Ressourcen von Drittanbietern verursacht werden
• Beschränkung des Zugriffs auf autorisierte Systeme und Funktionen
• Verbesserung der Transparenz bei den Interaktionen von Lieferanten und Auftragnehmern mit kritischen Infrastrukturen

Physische und umweltbedingte Gefahren sind nach wie vor ein zentraler Bestandteil des CIRMP. In modernen kritischen Infrastrukturumgebungen überschneiden sich physische Sicherheitsrisiken zunehmend mit Cyberrisiken, insbesondere dort, wo OT-Systeme auf kontrollierte Datenflüsse zwischen IT- und OT-Netzwerken angewiesen sind.

In vielen kritischen Infrastrukturumgebungen kommen veraltete OT-Systeme zum Einsatz, in denen herkömmliche Endpunktsicherheitslösungen nicht eingesetzt werden können. Daher müssen Sicherheitsmaßnahmen an den Netzwerkgrenzen und an den Datenübertragungspunkten implementiert werden.

In behördlichen Leitlinien und Branchenstandards wird üblicherweise der Einsatz von Einweg-Gateways, auch als Datendiode bezeichnet, zum Schutz sensibler OT-Netzwerke empfohlen. Diese Maßnahmen gewährleisten einen einseitigen Datenfluss, um unbefugten Zugriff, das Einschleusen von Befehlen oder den Abfluss von Daten aus kritischen Systemen zu verhindern.

MetaDefender sorgt für eine hardwarebasierte, unidirektionale Datenübertragung. Durch die physische Unterbindung des Rückverkehrs wird das Risiko von eingehenden netzwerkbasierten Angriffen in segmentierten Umgebungen beseitigt.

Bei Einsatz in einer DMZ-Architektur (Demilitarized Zone) und in Kombination mit mehrschichtigen Firewall-Kontrollen bietet dieser Ansatz folgende Vorteile:

• Geringeres Risiko der Verbreitung von Malware zwischen IT- und OT-Netzwerken
• Schutz vor unbefugtem Fernzugriff auf kritische Systeme
• Aufrechterhaltung der Betriebskontinuität
• Nachweislich risikobewusstes Netzwerkdesign im Einklang mit den CIRMP-Grundsätzen

Durch die Steuerung des Datenflusses zwischen Vertrauenszonen können Unternehmen sowohl ihre physische als auch ihre Cyber-Resilienz in Umgebungen stärken, in denen Verfügbarkeit und Sicherheit von entscheidender Bedeutung sind.

Das australische SOCI-Gesetz und das CIRMP stellen eine deutliche Veränderung der regulatorischen Erwartungen dar. Verantwortliche Stellen müssen über die bloße Dokumentation ihrer Absichten hinausgehen und nachweisen, dass Risikokontrollen in der Praxis umgesetzt und kontinuierlich verbessert werden.

Die Aufsichtsbehörden erwarten von den Organisationen, dass sie nachweisen, dass die Kontrollmaßnahmen:

• angemessen zur Kritikalität und zum Bedrohungsprofil des Objekts
• In operative Arbeitsabläufe integriert
• Unterstützt durch Protokollierung, Überwachung und Governance-Kontrolle
• In der Lage, der Prüfung durch den Vorstand und die Aufsichtsbehörden standzuhalten

CIRMP ist kein statisches Compliance-Rahmenwerk. Es erfordert präventive, durchsetzbare und überprüfbare Kontrollmaßnahmen in den Bereichen Cybersicherheit, Personal, Lieferkette und physische Gefahren.

Präventive Sicherheitsmaßnahmen spielen eine zentrale Rolle bei der Erfüllung dieser Erwartungen. Kontrollmechanismen müssen an gemeinsamen Zugangspunkten, über die Grenzen von IT, OT und ICS hinweg sowie innerhalb der Interaktionspfade mit Drittanbietern zum Einsatz kommen. Zudem müssen sie die erforderliche Transparenz und die notwendigen Nachweise liefern, um Governance, Qualitätssicherung und die Zusammenarbeit mit Aufsichtsbehörden zu unterstützen.

Der Schwerpunkt OPSWATauf dem Schutz kritischer Infrastrukturen unterstützt direkt die operativen und regulatorischen Anforderungen des australischen SOCI-Gesetzes. Die Umsetzung durchsetzbarer technischer Kontrollmaßnahmen im Rahmen des CIRMP stärkt sowohl die Compliance-Situation als auch die Widerstandsfähigkeit in der Praxis.

In Umgebungen mit kritischer Infrastruktur ist präventive Sicherheit kein Luxus, sondern eine Grundvoraussetzung für die Aufrechterhaltung der Verfügbarkeit, der Sicherheit und des öffentlichen Vertrauens. Wenn Sie erfahren möchten, wie Sie Ihre CIRMP-Strategie mit durchsetzbaren präventiven Kontrollmaßnahmen in Einklang bringen können, wenden Sie sich an einen OPSWAT .