The OWASP Top 10 ist ein weltweit anerkanntes Rahmenwerk, das traditionell die zehn kritischsten Sicherheitsrisiken im Web- und Anwendungsbereich der IT-Welt identifiziert. Es wurde nun auf operative Technologie (OT)-Umgebungen ausgeweitet. Die neu geschaffene OWASP OT Top 10 umfasst unter anderem Sicherheitsaspekte wie unzureichende Authentifizierung, unsicheren Fernzugriff und unzureichende Überwachung. Diese Bedrohungen können den Betrieb stören und die Sicherheit gefährden.
Das Ziel dieses Projekts ist es, das Bewusstsein zu schärfen, praktische Anleitungen zu geben und Einzelpersonen innerhalb von Organisationen dabei zu unterstützen, ihre Cybersicherheitsmaßnahmen zu priorisieren. Durch die Aufschlüsselung komplexer Risiken in umsetzbare Erkenntnisse hilft die OWASP Top 10 for OT Ingenieur:innen dabei, ihre Abwehrmaßnahmen zu stärken und ihre Widerstandsfähigkeit gegenüber sich entwickelnden Bedrohungen zu verbessern.
Warum eine Top 10 für OT-Sicherheit?
Die Einteilung der zehn wahrscheinlichsten und schwerwiegendsten Bedrohungskategorien, die in verschiedenen Branchen auftreten, kann dabei helfen, Prioritäten zu setzen und Leitlinien für den Umgang mit den Bedrohungen zu erstellen. Für jede Kategorie gibt es auch entsprechende Standards, mit denen Risiken bestimmten Teilen des Standards zugeordnet werden können. Zu diesen Standards gehören bewährte Verfahren der Branche, wie ISO2700 und IEC62443, sowie Rechtsvorschriften, wie die NIS-Richtlinie, und etablierte, von der Community entwickelte Rahmenwerke wie die MITRE ATT&CK Matrix.
Laut ot.owasp.org besteht der Hauptzweck dieses Projekts darin, „das Bewusstsein für die wichtigsten Sicherheitsrisiken und Schwachstellen zu schärfen, die für Operational Technology(OT)-Umgebungen spezifisch sind. Durch die Bereitstellung umsetzbarer Empfehlungen wollen wir die Sicherheitslage von OT-Systemen verbessern und kritische Infrastrukturen vor Cyberbedrohungen schützen.“
Unter anderem kann es als Leitfaden für kleinere Versorgungsunternehmen dienen, wo sie mit ihren Sicherheitsmaßnahmen beginnen sollten, und als Referenzquelle für Versorgungsunternehmen, die bereits weit mit der Sicherung ihrer Umspannwerke und Netze fortgeschritten sind.
Ein weiteres Hauptziel ist es, IT-Expert:innen dabei zu helfen, die Schwachstellen der OT besser zu verstehen und zwischen der IT- und der OT-Welt zu vermitteln.
Screenshot der OWASP-Website
© OWASP Foundation
Anwendung der OT Top 10 in der Realität
Was den ersten Punkt auf der Liste betrifft, „Unbekannte Assets und undokumentierte Dienste“, so kann man sagen, dass dies wohl in jeder Umgebung auftritt. Im IT-Kontext könnte sich dies auf Datenbankserver, Mobiltelefone oder Notebooks beziehen. In der OT-Welt beziehen wir uns meist auf IEDs und andere dedizierte OT-Geräte, wenn wir von Assets sprechen. Sind Überwachungskameras also Assets? JA! Allerdings können nicht nur die zuvor beschriebenen Assets problematisch sein, wenn sie nicht dokumentiert und verwaltet werden. Externer Zugriff ist in allen OT- und IT-Umgebungen ein „notwendiges Übel“. Die OT Top 10-Liste beschreibt die mit diesem Thema verbundenen Risiken, liefert bekannte Beispiele für reale Angriffe und bietet Strategien zur Risikominderung und Gegenmaßnahmen. Am Ende jedes Punktes finden Sie auch Verweise auf Standards, Rahmenwerke, Gesetze und geeignete Untersuchungsinstrumente.
Angesichts der Natur solcher Top-10-Listen gibt es jedoch noch viel mehr als das, was aufgelistet ist:
Die OWASP OT Top 10 sollten Ihr Ausgangspunkt sein und Ihnen helfen, einige der kritischsten Risiken im Zusammenhang mit OT-Technologie zu identifizieren. Im Laufe Ihrer Sicherheitsmaßnahmen werden Sie noch viele weitere Risiken identifizieren. Sobald Sie die für Ihre Umgebung relevanten Top-10-Punkte abgearbeitet haben, verfügen Sie über die Tools und das Wissen, um alle weiteren Risiken anzugehen.
Erfahren Sie mehr über die OWASP Top 10 für OT unter ot.owasp.org und helfen Sie uns dabei, die Betriebstechnologie für alle sicherer zu machen.
Gemeinschaftsprojekt für OT-Cybersicherheit | OWASP & OMICRON
Die Open Web Application Security Project (OWASP) Foundation ist seit langem eine feste Größe bei der Bereitstellung von Standards und Richtlinien für die Community. Ursprünglich konzentrierte sie sich nur auf Webtechnologien und zentrale IT-Funktionen. Um der breiteren IT-Community zu dienen, hat sie ihre Aktivitäten auf andere Bereiche ausgeweitet.
Bei OMICRON liegt unser Hauptaugenmerk jedoch auf dem Energiesektor. Dennoch sind wir uns der Bedeutung der Cybersicherheit in Operational-Technology-Umgebungen bewusst. Da die Industrie zunehmend auf vernetzte Systeme angewiesen ist, wächst das Risiko für kritische Infrastrukturen exponentiell. Gesetzgeber haben diese Notwendigkeit erkannt und Sicherheitsmaßnahmen in unseren industriellen Umgebungen verbindlich vorgeschrieben. Um diesen Herausforderungen zu begegnen, wurde mit Unterstützung der Mitarbeitenden und Ressourcen von OMICRON die OWASP Top 10 for OT erstellt.
Schreiben Sie uns!
Wir freuen uns, Ihnen unverbindlich
weiterhelfen zu können.
- Haben Sie Fragen?
- Benötigen Sie mehr Informationen?
- Möchten Sie eine Demo anfordern?
