Es kann keine Smart-Factory ohne OT-Security geben

Die größte Sicherheitsgefahr für die Industrie geht von Cyber-Kriminellen aus, die nicht staatlich oder politisch motiviert sind. Sie sind für 61 Prozent der registrierten OT-Angriffe verantwortlich – mit dem Ziel der finanziellen Erpressung. Dies geht aus dem Security Navigator 2024, einer Untersuchung von Orange Cyberdefence hervor.

  • Es kann keine Smart-Factory ohne OT-Security geben
    Es kann keine Smart-Factory ohne OT-Security geben
  • Unabhängig vom Standort wird für die Produktion ein State-of-the-art Cybersicherheitskonzept benötigt.
    Unabhängig vom Standort wird für die Produktion ein State-of-the-art Cybersicherheitskonzept benötigt.

Aufgeschlüsselt nach Sektoren ist die Produktion (58 %) bei weitem der am häufigsten angegriffene Sektor – dreimal so häufig wie der zweitplatzierte mit Banken & Versicherungen. Um die Größenordnung der Bedrohung der Cybersicherheit zu verdeutlichen: Wäre Cyberkriminalität ein Land, so wäre es nach China und den USA die drittgrößte Volkswirtschaft. Würde man Cyberkriminalität anhand des BIP messen, wäre sie profitabler als der weltweite Handel mit allen wichtigen illegalen Drogen zusammen.

Risiko oder Chance - die zwei Seiten der Digitalisierung 

Produktionsanlagen, Sensoren oder Roboter sind heute zunehmend mit der IT und der Cloud vernetzt. Durch die Konvergenz von OT- und IT-Netzwerken wollen Unternehmen das Potenzial von Remote-Management, Big Data und fortschrittlichen Analysen nutzen, um ihre Effizienz zu steigern oder sich neue Geschäftsfelder zu eröffnen. 

Allerdings wurden OT-Geräte oft nicht sicherheitsorientiert entwickelt und sind mit den etablierten IT-Prozessen nicht kompatibel. Dies erhöht das Risiko von Cyberattacken, die nicht nur für die Betriebstechnologie gefährlich werden, sondern gegebenenfalls auch Mensch und Infrastruktur physisch bedrohen. So können beispielsweise während einer Attacke Werte in einem System verändert und Sicherheitsmechanismen deaktiviert werden, so dass eine Anlage erst bei einem Sicherheitsabstand von 0,1 m statt 1 m ihre Geschwindigkeit reduziert – eine Situation, die sehr gefährlich werden kann.

Warum Industrieunternehmen zur Zielscheibe werden

Durch die zunehmende Digitalisierung und Vernetzung sowie ausgefeilte Angriffsmethoden sind Unternehmen anfällig für Cyber-Attacken.

Hierfür gibt es drei Gründe: 
Der erste liegt in der Kultur bzw. gängigen Praxis vieler Industrieunternehmen: Die Lebenszyklen von OT-Systemen sind lang, oft 20 bis 30 Jahre. Um gegen potenzielle Angriffe gewappnet zu sein, müssten diese OT-Systeme dringend regelmäßig, das heißt täglich bis stündlich, aktualisiert werden. Dies geschieht jedoch oft noch nicht. 

Zweitens neigen Produktionsunternehmen trotz der drohenden Folgen schneller dazu, Lösegeld zu zahlen als andere Ziele. Der Grund: Sie denken, dass sie sich die Kosten einer ungeplanten Unterbrechung einer Produktionsmaschine nicht leisten können. Diese liegen zwischen 39 Tausend und 2 Millionen Dollar pro Stunde - je nach Sektor. (Siemens, True Costs of Down Time in 2022).
Und drittens fehlt das entsprechende Bewusstsein für die Notwendigkeit, ihre Betriebstechnologie abzusichern. 

Ohne Sicherheit für die OT-Systeme ist eine intelligente Fertigung jedoch grob fahrlässig. Doch selbst Unternehmen, die sich um OT-Security bemühen, stehen vor der Herausforderung, dass Experten mit IT-Security- und OT-Fachwissen auf dem internationalen Cybersecurity-Markt rar sind. 

OT-Sicherheit muss zur Chefsache werden

In einer idealen Welt entwickelt und verantwortet der Leiter der OT-Security eine maßgeschneiderte OT-Sicherheitsstrategie, um industrielle Kontrollsysteme, Prozessleittechnik, SCADA-Systemen (Supervisory Control and Data Acquisition) und andere OT-Systeme zu schützen. Das IT-Sicherheitsteam wird zur Integration von IT- und OT-Systemen eingebunden, um Sicherheitslösungen zu implementieren, Risikobewertungen durchzuführen und die Behandlung von Sicherheitsvorfällen zu koordinieren. Die Compliance-Abteilung überwacht die Erfüllung nötiger Vorschriften und Standards. 

Doch in der Praxis fehlt den Verantwortlichen oft das nötige Budget, um einen umfassenden Sicherheitsrahmen umzusetzen. Zudem darf für die Implementierung der Produktionsbetrieb nicht ausgesetzt werden, da dies zu Umsatzeinbußen führen würde. Bei der enormen Bedrohungslage ist dies allerdings zu kurz gedacht. Man stelle sich nur die finanziellen Verluste durch Produktionsausfälle, die Kosten für Reparatur und Wiederherstellung sowie die Auswirkungen auf Lieferketten vor. Nicht zu vergessen sind Datenverlust, Verletzungen des geistigen Eigentums und Reputationsschäden. Es ist also höchste Zeit, dass OT-Security vom Management als strategisches Unternehmensziel priorisiert wird und angemessene finanzielle Mittel bereitgestellt werden. Als Faustregel kann man hier von rund 5 bis 7 Prozent des IT-Budget ausgehen.

Der Weg zur Minimierung einer 7,8 Billionen Dollar Bedrohung

Doch wie lässt sich ein robuster Sicherheitsrahmen konkret umsetzen, der auf die Bedürfnisse der Fertigungsindustrie zugeschnitten ist und den Schutz von Produktionsanlagen, vernetzten Maschinen und kritischen Systemen umfasst? Fehlen die Inhouse-Ressourcen und Kenntnisse empfiehlt es sich, auf die Expertise eines externen Partners zurückzugreifen. Die wichtigsten Handlungsfelder sind: 

  • Identifizierung und Klassifizierung von OT-Assets: Durch eine gründliche Bestandsaufnahme und Klassifizierung aller operativen Technologien und zugehörigen Assets wird ein klares Verständnis für die OT-Umgebung geschaffen, um potenzielle Schwachstellen zu identifizieren. 
  • Risikobewertung und -management: Kontinuierliche Analysen und Bewertungen der Risiken in der OT-Infrastruktur ermöglichen die Identifizierung und Implementierung angemessener Sicherheitsmaßnahmen, um Bedrohungen zu minimieren und die Widerstandsfähigkeit gegenüber Angriffen zu stärken.
  • Implementierung von Sicherheitskontrollen und -maßnahmen: Durch die Umsetzung geeigneter Sicherheitskontrollen wie Zugriffskontrolle, Netzwerksegmentierung, Verschlüsselung und Überwachung wird die Sicherheit der Systeme gewährleistet und unbefugter Zugriff verhindert.
  • Incident Response: Ein klar definierter Plan zur Reaktion auf Sicherheitsvorfälle ist notwendig. Dieser umfasst die Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle, um Schäden zu begrenzen und die betroffenen Systeme wiederherzustellen.
  • Schulung der Belegschaft: Mitarbeiter sind oft die erste „Verteidigungslinie“ gegen Cyberangriffe. Gezielte Schulungen schärfen das Bewusstsein für Sicherheitsrisiken und machen die Belegschaft zu einem aktiven Teil der Sicherheitsstrategie.

Die Bedrohungslage ist akut, und die Kosten von Cyberangriffen werden steigen. Für 2023 geht Cybersecurity Ventures von einem weltweiten Verlust von 7,8 Billionen Dollar aus. Es ist dringend geboten, OT-Security als integralen Bestandteil der Unternehmensstrategie zu etablieren und die erforderlichen Ressourcen bereitzustellen. Durch gezielte Investitionen, Schulungen und Partnerschaften können Unternehmen nicht nur ihre eigenen Interessen schützen, sondern auch zur Stärkung der globalen Cyber-Resilienz beitragen. 
 

Infobox: Die häufigsten Einfallstore

Die größten Gefahren für Industrieunternehmen gehen von folgenden Sicherheitslücken aus:

  • Eine Unternehmenskultur nach dem Prinzip „Never change a running system“.

  • schwache Zugriffskontrollen und unsichere Remote-Zugriffsmöglichkeiten beispielsweise für Wartungs- und Diagnosezwecke.

  • schwache, veraltete Passwörter und eine unzureichend verschlüsselte Kommunikation.

  • verwundbare Systeme durch veraltete Software und Be-triebssysteme, die nicht mehr unterstützt werden und an-fällig für Sicherheitslücken sind. Fehlende regemäßige Up-dates und Patches erhöhen zudem das Risiko.

  • Last but not least: Der Einsatz von USB-Sticks.

Autor: Emmanuel Routier, Vice President Smart Industries, Orange Business