Im Januar 2025 veröffentlichte die U.S. Cybersecurity and Infrastructure Security Agency (CISA) zusammen mit internationalen Partnern eine wegweisende Anleitung mit dem Titel „Secure by Demand: Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products“. Ziel dieser Richtlinie ist es, Betreibern kritischer Infrastrukturen eine Grundlage für die Auswahl sicherer Operational-Technology-(OT-)Produkte zu bieten und gleichzeitig die Hersteller in die Verantwortung zu nehmen, Sicherheit als integralen Bestandteil ihrer Entwicklung zu verankern.
Warum OT-Sicherheit entscheidend ist
Operational-Technology-Systeme steuern und überwachen wesentliche Dienste in Sektoren wie Energie, Wasser, Transport und Fertigung. Ihre Bedeutung macht sie zu bevorzugten Zielen für Cyberkriminelle. Häufige Schwachstellen wie unsichere Authentifizierung, veraltete Protokolle und mangelnde Protokollierung erhöhen das Risiko von Angriffen. Angesichts der zunehmenden Komplexität und Vernetzung dieser Systeme ist eine robuste Sicherheitsstrategie unerlässlich, um die gesellschaftliche und wirtschaftliche Stabilität zu gewährleisten.
Die von CISA und internationalen Partnern entwickelte Richtlinie stellt sicher, dass Sicherheitsmaßnahmen von Anfang an in die Produktentwicklung integriert werden, anstatt nachträglich auf den Betreiber abzuwälzen.
Kernpunkte der CISA-Richtlinie
Die Anleitung definiert zwölf zentrale Sicherheitsmerkmale, die bei der Auswahl von OT-Produkten berücksichtigt werden sollten. Diese umfassen unter anderem:
- Konfigurationsmanagement: Sichere Kontrolle und Nachverfolgbarkeit von Systemeinstellungen zur schnellen Wiederherstellung nach Vorfällen.
- Protokollierung: Standardisierte Protokollierungsfunktionen, um Vorfälle zu erkennen und zu analysieren.
- Offene Standards: Förderung der Interoperabilität und Vermeidung von Herstellerabhängigkeiten.
- Datenintegrität und -schutz: Sicherstellung der Vertraulichkeit und Integrität von Betriebsdaten, die für Angreifer von besonderem Wert sind.
- Sicherheit „out of the box“: Produkte, die bereits mit sicheren Voreinstellungen ausgeliefert werden und gängige Schwachstellen wie Standardpasswörter vermeiden.
„Secure by Design“: Verantwortung der Hersteller
Die CISA fordert eine „Secure by Design“-Philosophie, bei der Hersteller von Beginn an Sicherheitsstandards einhalten. Dieser Ansatz reduziert die Abhängigkeit der Betreiber von nachträglichen Sicherheitslösungen und erhöht die Widerstandsfähigkeit der Produkte gegen Bedrohungen.
Die Richtlinie ermutigt Betreiber, bei der Beschaffung von OT-Produkten gezielt auf Hersteller zu setzen, die Transparenz und Verantwortungsbewusstsein zeigen. Dazu gehört, Bedrohungsmodelle offen zu legen, Schwachstellenmanagement zu etablieren und regelmäßige Updates bereitzustellen.
Globale Zusammenarbeit und regulatorische Anforderungen
Die Richtlinie wurde in Kooperation mit internationalen Partnern wie dem deutschen BSI, dem britischen NCSC und der Europäischen Kommission entwickelt. Sie harmoniert mit regulatorischen Initiativen wie der EU-Cyberresilienzverordnung, die Sicherheitsanforderungen an digitale Produkte definiert.
Darüber hinaus werden Betreiber ermutigt, Produkte auszuwählen, die mit internationalen Standards wie ISA/IEC 62443 oder NIST kompatibel sind, um langfristig eine sichere Basis für ihre Systeme zu schaffen.
Langfristige Auswirkungen
Mit der „Secure by Demand“-Initiative verfolgt die CISA das Ziel, nicht nur den Auswahlprozess für OT-Produkte zu standardisieren, sondern auch die Hersteller zu motivieren, proaktiv Sicherheitsstandards zu integrieren. Dies wird entscheidend sein, um die Belastung kritischer Infrastrukturen durch Cyberbedrohungen zu minimieren und das öffentliche Vertrauen in essenzielle Dienste zu erhalten.
Die neue CISA-Richtlinie stellt einen wichtigen Schritt zur Verbesserung der OT-Sicherheit dar. Sie bietet Betreibern klare Kriterien für die Produktauswahl und fordert gleichzeitig Hersteller auf, Verantwortung für die Sicherheit ihrer Produkte zu übernehmen.
- Cannabissamen & THC: Verkauf von Cannabisprodukten an Tankstellen - 8. Februar 2025
- Einordnung von CBD-Öl als neuartiges Lebensmittel - 8. Februar 2025
- Strafbarkeit des Weiterleitens eines Gewaltvideos nach § 201a StGB - 7. Februar 2025