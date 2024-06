Die Notwendigkeit, sich effektiver vor organisierter Cyberkriminalität zu schützen, steigt. Ein ganzheitliches Security-Konzept sorgt für höhere Cyberresilienz.

Februar 2024: Batteriehersteller Varta ist von einem signifikanten IT-Sicherheitsvorfall betroffen. Die Produktion wird zeitweise stillgelegt. Es stellte sich heraus: Eine organisierte Hackergruppe steckte hinter dem Cyberangriff. Noch im März litt das Unternehmen laut eigenen Angaben unter »erheblichen Beeinträchtigungen«. Weitere Cyberattacken, zum Beispiel auf den deutschen Stahlproduzenten Badische Stahlwerke oder die zivile Sparte des Rüstungskonzerns Rheinmetall im letzten Jahr, zeigen, dass zunehmend produzierende Unternehmen von Cyberangriffen betroffen sind. Und: Trotz teils hoher Absicherungsstandards der IT-Systeme sind die Angreifer erfolgreich.

Digitalisierung überholt Betriebstechnologie. Ob finanzielle oder wirtschaftliche Interessen: Die Schäden für die betroffenen Unternehmen sind hoch. Es steigt der Handlungsbedarf, sich effektiver vor organisierter Cyberkriminalität zu schützen. Vordringliches Ziel muss sein, das Sicherheitsniveau in Produktionsumgebungen zu erhöhen – für Organisationen aller Branchen ist das eine Herausforderung. Denn gerade bei Fertigungsunternehmen sorgt Industrie 4.0 und die damit verbundene zunehmende Zusammenführung von IT- und OT-Infrastrukturen für eine rasant ansteigende Gefährdungslage. Die so wichtige Betriebstechnologie (OT) wird immer häufiger zur Zielscheibe der Angreifer. Hacker manipulieren Anlagen, Roboter und industrielle Steuerungssysteme, setzen sie physisch außer Kraft oder verändern chemische Zusammensetzungen beispielsweise bei Wasseraufbereitungsanlagen. Cyberangriffe auf OT-Systeme gefährden nicht nur die Verfügbarkeit und Integrität der betroffenen Systeme, sondern können auch erhebliche Sicherheits- und Umweltrisiken mit sich bringen.

Warum aber sind OT-Systeme so angreifbar geworden? Um Produktionsprozesse effizienter zu gestalten, haben Fertigungsunternehmen die Digitalisierung vorangetrieben und Maschinen und Anlagen in einer gemeinsamen IT-Umgebung miteinander vernetzt. Die Krux dabei: Lange Lebenszyklen der Maschinen treffen auf den kurzen Lifecycle der IT. Industrielle Anlagen verursachen hohe Investitionskosten und werden daher oft jahrzehntelang eingesetzt. Folglich ist es nicht immer möglich, das neueste Betriebssystem aufzuspielen oder ein modernes Antivirenprogramm einzusetzen. Das macht OT-Umgebungen angreifbar und öffnet Cyberkriminellen die Tür zum gesamten Unternehmensnetzwerk. Gleichzeitig gibt es auch immer noch geschlossene OT-Systeme, die nicht in die »normale« IT-Verwaltung eingebunden werden können.

Interessantes Angriffsobjekt: industrielle Anlagen. Auch werden industrielle Anlagen als Angriffsobjekt immer interessanter. Sie agieren »smart« und kommunizieren automatisiert miteinander (Machine to Machine) – ein Sicherheitsrisiko. Es entstehen OT-spezifische Schwachstellen, die einen unerlaubten Netzwerkzugriff vereinfachen und mögliche Wegbereiter für Industriespionage sind, wirtschaftliche Schäden verursachen oder Auswirkungen auf die Wettbewerbsfähigkeit nach sich ziehen. OT-Umgebungen aus der »Urzeit« in die Gegenwart zu transferieren und ganzheitliche Sicherheitsmaßnahmen zu integrieren, ist eine Mammutaufgabe.

Das auch deswegen, weil die gesetzlichen Anforderungen an das Sicherheitsniveau von Unternehmen zugenommen haben. Zuletzt nochmal befeuert durch die Anfang 2023 in Kraft getretene NIS2-Richtlinie (Network and Information Security Directive 2), die darauf abzielt, EU-weit ein höheres Sicherheitsniveau zu gewährleisten. Bis Oktober 2024 muss sie in deutsches Recht umgesetzt werden. Die NIS2-Richtlinie verschärft die ursprüngliche NIS-Richtlinie und deckt eine breitere Palette an Unternehmenssektoren und -arten ab, auch über kritische Infrastrukturen (KRITIS) hinaus. Die richtige Einstufung verunsichert möglicherweise betroffene Unternehmen; die damit verbundenen, zu ergreifenden Maßnahmen überfordern.

Fertigungsunternehmen kommen nicht mehr um eine systematische Steuerung der Security herum, die IT und OT gleichermaßen miteinbezieht.

Maßnahmen auf organisatorischer und technischer Ebene. Was genau bedeutet das? Fertiger brauchen ein ganzheitliches IT-Sicherheitskonzept, das auf organisatorischer und technischer Ebene greift. So erreichen sie das für OT-Umgebungen notwendige Sicherheitsniveau. Dabei müssen die Maßnahmen bei IT- und OT-Systemen aufeinander abgestimmt sein. Denn eine kurzfristige IT-Sicherheitsmaßnahme wie die Systeme vom Internet zu trennen, würde die Produktion stilllegen. Mit gezielten organisatorischen und technischen Security-Maßnahmen ergreifen Unternehmen solide Vorkehrungen.

OT-Systeme inventarisieren, Sichtbarkeit generieren

Welche OT-Systeme befinden sich im Netzwerk, welche kommunizieren wann und wie miteinander? Unternehmen, die ihre OT-Systeme einer Inventur unterziehen, schaffen Sichtbarkeit. Anomalien lassen sich leichter erkennen.

Zugänge prüfen, Schleusen schaffen

Wer hat Zugang zu Netzwerk und Systemen? Welche Prozesse und Systeme sind kritisch und müssen in einen »Sicherheitskäfig« ausgegliedert werden? Unternehmen bekommen einen transparenten Überblick darüber, mit wem die Maschine kommuniziert und wer darauf zugreift.

Anomalien identifizieren, Risiken bewerten

Sind kritische Prozesse definiert und werden engmaschig überwacht, lassen sich Abweichungen unmittelbar erkennen. Tritt eine Anomalie auf, bewerten Fachverantwortliche wie OT-Sicherheitsexperten, IT-Sicherheitsanalysten oder beispielsweise auch industrielle Kontrollsystemingenieure das Risiko nach festgelegten Kriterien und ermitteln den erforderlichen Handlungsbedarf. Für die schnelle Auswertung und Strukturierung der sicherheitsrelevanten Daten wird zunehmend auch künstliche Intelligenz in die Kontrollmechanismen integriert.

Sicherheit kontrollieren

Prüfungen etwa durch Audits oder Offensive-Security-Aktivitäten wie Penetrationstests oder Hackerangriffe durch Red Teams liefern einen Beleg dafür, dass die getroffenen Maßnahmen wirken beziehungsweise zeigen auf, wie diese verbessert werden können.

User trainieren

Regelmäßige Awareness und Security Trainings erhöhen die Sensibilität für IT-Risiken und Gefahren in der Belegschaft.

Fazit. Ein ganzheitliches Konzept aus Prozessen und Instrumenten auf organisatorischer und technischer Ebene trägt essenziell dazu bei, die richtigen präventiven Maßnahmen und Abwehrmechanismen unternehmensindividuell zu ergreifen, das Security Level in Produktionsumgebungen zu erhöhen und eine stabile Cyberresilienz aufzubauen. Industrieunternehmen treten damit Cyberangriffen gut gerüstet entgegen.

Edgar Reinke,

Security-Experte und

Strategic Technology Officer

bei Damovo

