Übertragung von Protokollen, Warnmeldungen und Telemetriedaten über eine Datendiode

Erfahren Sie, wie
Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.
Startseite/ Blog / Begegnung mit Hongkongs neuestem Kritiker…
Kritische Netzwerksicherheit

Einhaltung der neuesten Verordnung zum Schutz kritischer Infrastrukturen in Hongkong (PCICSO)

Von OPSWAT
Jetzt teilen

Die PCICSO(Verordnung zum Schutz kritischer Infrastrukturen (Computersysteme)) ist ein neues Rahmenwerk, das von der Regierung von Hongkong eingeführt wurde, um die Cybersicherheit und Widerstandsfähigkeit von CIOs (Betreibern kritischer Infrastrukturen) zu stärken. Die Verordnung tritt im Januar 2026 in Kraft und legt gesetzliche Verpflichtungen für CIOs fest, ihre Computersysteme vor Cyberbedrohungen zu schützen, Risiken proaktiv zu managen und effektiv auf Cybersicherheitsvorfälle zu reagieren. Diese Regelung macht deutlich, dass von Betreibern kritischer Infrastrukturen nun erwartet wird, strenge und durchsetzbare Kontrollen hinsichtlich des Umgangs mit Systemen, Geräten und Daten nachzuweisen.

Verordnung zum Schutz kritischer Infrastrukturen (Computersysteme) (PCICSO)

Der PCICSO-Regulierungsrahmen basiert auf drei Kernverpflichtungen, um CIOs einen umfassenden und systematischen Ansatz für das Cyber-Risikomanagement zu bieten. Als CIOs gelten Organisationen, die von der Regulierungsbehörde aufgrund ihrer Abhängigkeit von den Kernfunktionen von Computersystemen, der Sensibilität der verwalteten Daten, des Umfangs der operativen und verwaltungstechnischen Kontrolle über die Infrastruktur sowie der zur Einhaltung der Vorschriften vorgelegten Informationen benannt wurden.

Die drei zentralen Verpflichtungen, denen CIOs nachkommen müssen, sind:

  1. Organisatorisch: Führungs- und organisatorische Anforderungen zur Gewährleistung einer klaren Verantwortlichkeit, klarer Richtlinien und einer klaren Aufsicht im Bereich der Cybersicherheit.
  2. Präventiv: Präventive und schützende Maßnahmen, die Betreiber dazu verpflichten, geeignete technische und betriebliche Sicherheitsvorkehrungen zu treffen, um kritische Computersysteme zu sichern.
  3. Meldung und Reaktion auf Vorfälle: Maßnahmen zur Gewährleistung der rechtzeitigen Erkennung, Bearbeitung und Meldung schwerwiegender Cybersicherheitsvorfälle.

Die wichtigsten Punkte

Die Verordnung umfasst zwar eine Vielzahl von Anforderungen, doch gibt es einige wichtige Punkte, die CIOs beachten sollten. Gemäß Anhang 3, Teil 1 der Verordnung sind Betreiber verpflichtet, Richtlinien zu erlassen, die Folgendes vorsehen:

  • Risiken im Zusammenhang mit der Sicherheit von Computersystemen und Systemschwachstellen erkennen, bewerten, überwachen, mindern und darauf reagieren
  • Zugriff auf kritische Computersysteme kontrollieren
  • Verwaltung der Lieferanten von IT-Dienstleistungen und -Produkten, die für die Systeme eingesetzt werden

Branchenführende Lösungen zur Unterstützung der Compliance

Geräte- und Endpoint als Grundlage

In den PCICSO-Richtlinien wird großer Wert auf Endpoint und das Schwachstellenmanagement gelegt; Schwachstellen müssen zeitnah erkannt, bewertet und behoben werden. Nur konforme Geräte sollten mit kritischen Systemen interagieren dürfen, während Endgeräte mit fehlenden Patches, veralteter Software oder Sicherheitsrisiken bis zur Behebung blockiert oder eingeschränkt werden müssen. MetaDefender unterstützt die Einhaltung dieser Anforderungen, indem es die Gerätekonformität vor der Gewährung des Zugriffs durchsetzt und jeden Endpunkt anhand der Unternehmensrichtlinien bewertet. Diese Bewertung umfasst den Schwachstellen- und Patching-Status und stellt sicher, dass nur Geräte, die die erforderlichen Sicherheitsanforderungen erfüllen, eine Verbindung herstellen können.

Darüber hinausEndpoint MetaDefender Endpoint ein einheitliches Schwachstellen- und Patch-Management für alle Endgeräte, das sowohl Betriebssysteme als auch Anwendungen von Drittanbietern abdeckt. Die Lösung erkennt Schwachstellen proaktiv, behebt Risiken und liefert empfohlene Korrekturmaßnahmen, wobei sie Patch-Unterstützung für mehr als 1.100 Anwendungen bietet. Für eine nachweisbare Durchsetzung von Compliance-Vorgaben und die Untersuchung von Vorfällen können alle Endgeräte-Sicherheits- und Compliance-Status zentral über My Central Management überwacht und geprüft werden.

Media Wechseldatenträgern mindern

Die Zugriffskontrolle ist einer der Schwerpunkte der Verordnung. Dies erhöht die Notwendigkeit für CIOs, alle Zugriffswege zu kritischen Systemen, einschließlich Wechseldatenträgern, sorgfältig zu regeln.

Die Verwendung von USB und anderen Wechseldatenträgern ist in Betriebsumgebungen nach wie vor weit verbreitet, insbesondere dort, wo Netzwerke segmentiert oder isoliert sind, was sie zu einem risikoreichen Angriffsvektor in OT/ICS-Umgebungen macht. Laut dem SANS-Bericht zum OT/ICS-Budget 2025 stammten 15,2 % der Angriffsvektoren von kompromittierten Wechseldatenträgern.

Um diese Risiken zu mindern, OPSWAT Unternehmen dabei, Risiken im Zusammenhang mit Wechseldatenträgern zu vermeiden, und zwar durch:

  • Schutz Media am Zugangspunkt:MetaDefender sichert den Datenfluss in kritische Umgebungen, indem es Wechseldatenträger am Zugangspunkt scannt und bereinigt. Das System wurde als Teil der DeltaV Silver Alliance von Emerson anerkannt und hat seine Wirksamkeit in zahlreichen Umgebungen und Anwendungsfällen unter Beweis gestellt.
  • Endpoint und Gerätesteuerung vor dem Start: MetaDefender bietet fortschrittlichen Endgeräteschutz für Betriebsumgebungen, indem es Wechseldatenträger beim Einlegen aktiv scannt und sicherstellt, dass innerhalb kritischer Systeme nur auf virenfreie Geräte oder Inhalte zugegriffen werden kann.
  • Media als zusätzliche Sicherheitsstufe: MetaDefender Endpoint und MetaDefender Media bieten eine zusätzliche Sicherheitsstufe, indem sie Richtlinien für das Scannen und Bereinigen durchsetzen.
  • Zentrale Überwachung der Sicherheitsmaßnahmen: Über My Central Management unterstützen MetaDefender und MetaDefender die zentrale Durchsetzung von Richtlinien zur Steuerung des Gerätezugriffs, zur Überwachung und Verwaltung der Nutzung von Wechseldatenträgern sowie zur Protokollierung von Aktivitäten.

Regelung des Zugriffs auf Supply Chain bei Auftragnehmern und Supply Chain sowie Secure

Da kritische Infrastrukturen nicht völlig isoliert betrieben werden können, ist es im täglichen Betrieb oft erforderlich, externen Geräten, die von Lieferanten, Auftragnehmern und Partnern mitgebracht werden, Netzwerkzugang zu gewähren. Vorübergehend genutzte Geräte wie Laptops von Drittanbietern und Ersatzarbeitsplätze können aufgrund von Zeitdruck oder unzureichenden Überprüfungswerkzeugen die ordnungsgemäße Überprüfung umgehen und so potenzielle erste Angriffsvektoren schaffen.

Aktuelle Branchenzahlen aus den Berichten „SANS 2025 ICS/OT“ und „IBM 2025 Cost of a Data Breach“ zeigen, dass:

  • Angriffe auf Geräte durch kurzzeitige Störungen stiegen um 221 %
  • 27,3 % aller OT-Vorfälle gingen auf vorübergehend angeschlossene Geräte zurück
  • Sicherheitsverletzungen durch Dritte und in der Lieferkette verursachen im Durchschnitt Kosten in Höhe von etwa 4,9 Millionen Dollar pro Vorfall

MetaDefender Drive entwickelt, um diese Probleme zu lösen, indem es vorübergehend angeschlossene Geräte scannt und überprüft, bevor ihnen Zugriff auf Ihre kritischen Netzwerke gewährt wird. Durch sicheres Scannen vor dem Systemstart können Administratoren Geräte über das Host-Betriebssystem hinaus überprüfen, um versteckte Bedrohungen bereits vor dem Eintritt in das Netzwerk zu erkennen.

Für kritische Systeme, die aus betrieblichen Gründen nicht heruntergefahren werden können, unterstützt MetaDefender Drive die Überprüfung während der Sitzung. So ist eine Geräteüberprüfung möglich, während das Betriebssystem läuft, was eine gründliche Überprüfung in kritischen Umgebungen ermöglicht, in denen Ausfallzeiten nicht akzeptabel sind.

Darüber hinaus ermöglicht MetaDefender Drive Smart Touch eine sichere Dateispeicherung, indem Daten ähnlich wie auf einem herkömmlichen USB gespeichert werden, während nicht gescannte Dateien verborgen bleiben, sodass nur gescannte Dateien geteilt oder weitergegeben werden können.

Netzwerksegmentierung und unidirektionaler Datenfluss

Über die logische Segmentierung hinaus erkennt PCICSO an, dass bestimmte kritische Systeme stärkere Garantien erfordern, als sie softwarebasierte Kontrollen bieten können. Firewalls, Zugriffskontrolllisten (ACLs) und Segmentierungsrichtlinien sind nach wie vor anfällig für Fehlkonfigurationen, den Missbrauch von Zugangsdaten und Zero-Day-Exploits. Bei Systemen mit hoher Auswirkungsreichweite, bei denen Verfügbarkeit und Integrität von entscheidender Bedeutung sind, stellt die physische Durchsetzung von Vertrauensgrenzen eine entscheidende Kontrollmaßnahme dar.

MetaDefender erfüllt diese Anforderung durch einen hardwaregestützten unidirektionalen Datenfluss, der sicherstellt, dass Daten zu Überwachungs-, Analyse- und Compliance-Berichtszwecken aus kritischen Umgebungen herausgeleitet werden können, während eingehende Kommunikation verhindert wird. Im Gegensatz zu herkömmlichen Netzwerkkontrollen, die auf der Durchsetzung von Richtlinien beruhen, eliminiert dieser Ansatz bereits durch seine Konzeption ganze Klassen von Angriffsvektoren. Er verhindert, dass Malware, Fernbefehle und laterale Bewegungen zurück in geschützte Systeme gelangen, und unterstützt damit den Schwerpunkt von PCICSO auf der Reduzierung systemischer Risiken und der Begrenzung von Angriffswegen auf kritische Systeme.

Aus betrieblicher Sicht ermöglicht MetaDefender CIOs, ihre Verpflichtungen in Bezug auf Überwachung, Protokollierung und Berichterstattung zu erfüllen, ohne die Systemisolierung zu beeinträchtigen. Protokolle, Telemetriedaten und Betriebskennzahlen können zur zentralen Analyse sicher an IT- oder SOC-Umgebungen übertragen werden, während OT- und Steuerungssysteme unberührt bleiben, was die Einhaltung der Verordnung gewährleistet.

Von der Einhaltung von Vorschriften zur Widerstandsfähigkeit

Die Umsetzung der neuen Richtlinien der Hongkonger Cybersicherheitsverordnung hilft Unternehmen dabei, die Gerätekonformität sicherzustellen, den Dateiverkehr zu kontrollieren, Wechseldatenträger zu verwalten und Netzwerke zu segmentieren. Da kritische Infrastrukturen immer stärker vernetzt sind, aber weiterhin auf Systeme angewiesen sind, die keine Ausfälle vertragen, müssen Sicherheitsmaßnahmen so umgesetzt werden, dass der Betrieb nicht unterbrochen wird.

Die OPSWAT vereint diese Funktionen über Endgeräte, Wechseldatenträger, temporäre Geräte und Datenströme hinweg, deckt gängige Angriffspunkte ab und bietet gleichzeitig die von den Aufsichtsbehörden geforderte Transparenz. Wenn Sie mehr darüber erfahren möchten, wie OPSWAT Organisationen mit kritischer Infrastruktur OPSWAT , diese Anforderungen zu erfüllen und ihre Cyber-Resilienz zu stärken, sprechen Sie noch heute mit einem unserer Experten.

Sprechen Sie mit einem Experten
Tags:

Neueste Beiträge

Registrieren Sie sich für den OPSWAT Newsletter

Holen Sie sich die neuesten OPSWAT Unternehmens-Updates zusammen mit Veranstaltungsinformationen und die Neuigkeiten, die die Branche voranbringen.
Anmelden

Folgen Sie uns auf Social Media

Folgen Sie OPSWAT auf LinkedIn, Facebook, Twitter und YouTube, um mehr zu erfahren!

Bleiben Sie auf dem Laufenden mit OPSWAT!

Melden Sie sich noch heute an, um die neuesten Unternehmensinformationen zu erhalten, Geschichten, Veranstaltungshinweise und mehr.
Abonnieren