Im Zentrum von CI Fortify stehen zwei Fähigkeiten, die Betreiber nach Auffassung der CISA umgehend aufbauen sollen. Die erste ist die Isolation: das bewusste Kappen von Verbindungen zu externen Netzen und Geschäftssystemen, um zu verhindern, dass sich ein Angriff auf die OT ausbreitet. Ziel ist es, eine vollständige Abschaltung zu vermeiden und einen Betriebsmodus zu etablieren, der die Versorgung mit wesentlichen Diensten über Wochen oder sogar Monate hinweg in Isolation aufrechterhalten kann.
Die zweite Fähigkeit ist die Wiederherstellung. Sie betrifft den Fall, dass Isolation allein nicht ausreicht. Betreibern wird geraten, ihre Systeme gründlich zu dokumentieren, aktuelle Backups vorzuhalten und regelmäßig zu üben, kompromittierte Komponenten wiederherzustellen oder auf manuellen Betrieb umzuschalten.
Der kommissarische CISA-Direktor Nick Andersen rief Betreiber dazu auf, die Leitlinien zu prüfen, die Empfehlungen umzusetzen und direkt mit der Behörde zusammenzuarbeiten, um ihre Abwehr zu härten.
Duncan Greatwood, CEO von Xage Security, bewertete den Ansatz: Der Fokus auf Isolation und Wiederherstellung sei wichtig, um die Kontinuität während einer Störung aufrechtzuerhalten – gerade weil kritische Infrastruktur zunehmend ins Visier geopolitischer Spannungen gerate und KI beschleunige, wie schnell Schwachstellen ausgenutzt werden könnten.
„Wenn Organisationen jedoch keine Kontrolle innerhalb der Umgebung haben, reicht Isolation für sich genommen nicht aus", so Greatwood. Bedrohungen bewegten sich oft über vertrauenswürdige Verbindungen, Drittparteien oder kompromittierte Zugangsdaten, lange bevor eine Krisenreaktion überhaupt einsetze. Der Schwerpunkt auf Segmentierung und auf der Aufrechterhaltung des Betriebs selbst in einem eingeschränkten Zustand sei ein bedeutsamer Fortschritt und entspreche eher der tatsächlichen Funktionsweise dieser Umgebungen.