Experten haben ein neues Bewertungssystem für die Auswirkungen von Cyberangriffen auf Operational Technology (OT) entwickelt. Das OTI Impact Score-Modell soll helfen, die tatsächlichen Folgen von Industrieangriffen objektiv zu messen und die Reaktion darauf zu verbessern.
Auf der S4x26-Konferenz in Miami wurde ein innovatives Messsystem für die Bewertung von Cyberangriffen auf Industrie-Steuerungssysteme vorgestellt. Das sogenannte OTI Impact Score-Modell orientiert sich an der Richterskala zur Messung von Erdbebenstärken und soll Unternehmen, Behörden und der Öffentlichkeit helfen, die tatsächlichen Auswirkungen von OT-Angriffen realistisch einzuschätzen.
Dale Peterson, Co-Entwickler des Modells und Leiter der Sicherheitsberatungsfirma Digital Bond, erklärt das Problem: “Politiker, Geschäftsführer und die Medien verstehen oft nicht wirklich, welche Auswirkungen ein OT-Angriff hat. Entweder halten sie ihn für viel schlimmer als er ist, oder ein wirklich ernsthafter Vorfall bekommt kaum Aufmerksamkeit.”
Das OTI-System bewertet Cybervorfälle anhand von drei Kriterien: Schweregrad (von geringer Störung bis zu katastrophalen Schäden), geografische Reichweite und Dauer des Vorfalls. Diese Werte werden unabhängig voneinander auf einer Skala bewertet, dann multipliziert und durch 100 dividiert, um einen Gesamtscore zu erhalten.
Ein wichtiger Aspekt des Modells: Als OT-Cybersicherheitsvorfall gilt jedes Ereignis, bei dem ein Steuerungssystem nicht normal betrieben werden kann – unabhängig davon, ob der Angriff das OT-Netzwerk direkt getroffen hat. Dies ist eine entscheidende Unterscheidung, denn viele Angriffe treffen zunächst IT-Netzwerke und verursachen dann Ausfallkaskaden. Das Clorox-Unternehmen beispielsweise war 2023 Ziel eines Ransomware-Angriffs auf sein Lagerverwaltungssystem, was zu Produktionsstörungen führte.
Das System wurde von Munish Walther-Puri und Dale Peterson entwickelt und soll die Bewertung innerhalb von 12 Stunden durchführen lassen. Branchenfachleute aus dem ICS/OT-Bereich werden über ein Online-Portal Bewertungen vornehmen.
Zur Veranschaulichung analysierten die Entwickler zwei bekannte Fälle: Der Colonial-Pipeline-Ransomware-Angriff von 2021 erhielt ein Score von 3,9 (hohe Auswirkungen), da er zu Benzin- und Kerosinknappheiten führte, ein Drittel der US-Bevölkerung betraf und neun Tage Wiederherstellungszeit brauchte. Dagegen bekam ein Angriff auf ein Wasserwerkssystem in Muleshoe, Texas 2024, ein Score von 0,0: Ein Tank lief nur 30 bis 45 Minuten über, die Wasserversorgung blieb sicher, und Operatoren schalteten schnell auf manuelle Kontrolle um.
Sarah Fluchs, CTO der OT-Sicherheitsberatung Admeritia, betont die Wichtigkeit einer solchen Bewertung: “Letztendlich ist nicht entscheidend, ob es ein OT- oder IT-Angriff war. Was zählt, ist die tatsächliche Auswirkung auf das Unternehmen und die Bevölkerung.”
Hollie Hennessy von Omdia sieht das System als hilfreich an, zumal Daten zeigen, dass 45 Prozent der OT-Sicherheitsentscheider in reinen OT-Rollen arbeiten, während die anderen aus IT-, Infrastruktur- oder Netzwerk-Abteilungen kommen. Omdia-Forschungen zufolge haben in den letzten 12 Monaten 30 bis 40 Prozent der Organisationen mit OT- oder IoT-bezogenen Cybervorfällen zu kämpfen gehabt.
Die Entwickler hoffen, dass Behörden wie die US Cybersecurity and Infrastructure Security Agency (CISA) und Industrie-Organisationen das System unterstützen werden, um es als internationalen Standard zu etablieren. Offene Fragen bleiben allerdings: Wie misst man beispielsweise Reputationsschäden, und wann gilt ein Cybervorfall offiziell als abgeschlossen?
Quelle: Dark Reading