Mit der neuen NIS2-Richtlinie, die bis Oktober 2024 in allen europäischen Staaten umgesetzt werden muss, hat die EU auf die wachsende Bedrohung reagiert und erhöht die Cyber-Security-Vorgaben. Zugleich wird der Kreis der von der Richtlinie betroffenen Unternehmen und Branchen deutlich vergrößert, weit über die Organisationen und Unternehmen hinaus, die zu den kritischen Infrastrukturen (KRITIS) zählen. Es kann als sicher gelten, dass NIS2 – in Deutschland KRITIS-Dachgesetz – nicht die letzte Verschärfung der Cyber-Sicherheitsregulierungen bleiben wird.
IT/OT-Sicherheit in Zeiten von Industrie 4.0
Industrielle Systeme blieben lange Zeit von Cyberangriffen verschont, vor allem wegen ihrer Isolierung von anderen Netzwerken und dem proprietären Charakter der eingesetzten Hardwareplattformen. Mit Industrie 4.0 und Technologien wie IIoT (Industrial Internet of Things) haben sich für die Prozess- und Fertigungsindustrie neue Möglichkeiten eröffnet, wie Predictive Maintenance, Effizienzsteigerung und Automatisierung, aber auch für neue Engineering-Ansätze, wie zum Beispiel Lean und Digital Engineering. Zugleich führt die Vernetzung von Geräten und Systemen zu wachsender Datendurchlässigkeit zwischen Industriesystemen und Internet – und geht mit zunehmenden Sicherheitsbedrohungen einher.
In der Fertigungsindustrie erweisen sich besonders alte Systeme als Schwachstellen für Cyberbedrohungen, denn sie sind häufig mit unzureichenden Sicherheitsmaßnahmen ausgestattet. Da Maschinen in der Regel eine sehr lange Laufzeit haben, laufen viele noch auf alten Systemen. Bleiben sie ungeschützt, können in Verbindung mit innovativen IoT-Technologien große Sicherheitslücken entstehen. Auch der Faktor Mensch beziehungsweise unbeabsichtigte Sicherheitsverstöße spielen eine große Rolle, wenn es zu Cyberattacken kommt.
Die Risiken von Cyberangriffen
Attacken auf Unternehmen richten sich auf unterschiedliche Ziele. Klassische IT-Angriffe richten sich auf:
Entwenden von Geschäftsinformationen, wie Konstruktionszeichnungen, Forschungsergebnisse oder Kundenlisten
Identitätsdiebstahl durch Phishing-Angriffe, zum Beispiel auf Kunden- oder Mitarbeiterdaten
Verschlüsselung, Zugriffsverlust auf Daten und Erpressung durch Malware und Ransomware
Angriffe auf Operational Technologies (OT) zielen demgegenüber vor allem auf Steuerungssysteme oder Sensoren. Sie können Produktionsausfälle und sogar zerstörte Technik nach sich ziehen. Die Folgen von IT/OT-Attacken für betroffene Unternehmen sind vielfältig: Neben Datenverlust, Ausfallzeiten und finanziellen Schäden kann es zu auch Haftungsansprüchen, regulatorischen und rechtlichen Konsequenzen sowie Reputationsverlust kommen.
Hinzu kommt, dass in der IT etablierte Sicherheitsmethoden für einen Schutz, der auch die Industrieumgebungen umfasst, bei weitem nicht ausreichen, da sie sich oft nicht direkt auf Produktionssysteme der Prozess- und Fertigungsindustrie übertragen lassen. Erforderlich sind adäquate und dedizierte Methoden für OT. Dies stellt die Prozess- und Fertigungsindustrie vor wachsende Herausforderungen in Sachen IT-Sicherheit.
Anforderungen an einen umfassenden Schutz
Was ist also notwendig, um ein Unternehmen und seine Produktionsanlagen ausreichend und dauerhaft vor Cyberangriffen zu schützen? Über die Abwehr von externen Einflüssen beziehungsweise Hackerangriffen hinaus umfasst die IT-Sicherheit noch weitere, auf die unternehmensinterne Sicherheit zielende Maßnahmen, die auf drei Grundwerten basieren:
Datensicherheit: Backup-Mechanismen, manipulationsgeschützte Datenablage, Validitätsprüfung von Daten
Datenintegrität: Schutz vor unbefugtem Gebrauch und Informationsgewinnung mittels Rechten, Gruppen, Verschlüsselung und Zutrittskontrollen
Verfügbarkeit: Gesicherter Zugriff auf Dienste, Dateien und Informationen zu jeder Zeit
Eine wichtige Rolle spielt stets auch der menschliche Faktor – Stichwort Social-Engineering-Angriffe. Diese verleiten Menschen zum Beispiel dazu, Informationen weiterzugeben oder Software hochzuladen. Für eine ausreichend sichere IT-Infrastruktur gemäß den Zero-Trust-Prinzipien sollten Unternehmen nicht darauf vertrauen, dass sich Benutzer oder Geräte innerhalb ihres Netzwerks bereits als vertrauenswürdig erwiesen haben. Vielmehr sollten regelmäßig beziehungsweise automatisch:
Benutzern nur so viele Rechte vergeben werden, wie für ein ordentliches Arbeiten maximal nötig ist
alle Benutzer, Systeme und Geräte vor und hinter der Firewall kontrolliert, das heißt jeder Zugriff individuell authentifiziert werden
Mechanismen sämtliche Zugriffe auf Daten und Systeme kontrollieren, wie Authentifizierung und Zugriffsrechte
Projekte modularisiert werden
die Belegschaft hinsichtlich der Gefahren des Social Engineering geschult und sensibilisiert werden
Eine zukunftsoffene IT-Security
Schon beim Aufbau von Anlagen und der Auswahl der entsprechenden Industriesoftware sollte ein solches Sicherheitskonzept mit geplant werden, inklusive Security Operations Center (SOC), zusätzlichen Plug-ins für Schnittstellen und bereits integrierten Sicherheitsfunktionalitäten für die IT. Es bildet die Grundlage für ausreichende Flexibilität, Skalierbarkeit und Bedienbarkeit, um mit dem Unternehmen zu wachsen und veränderte Anforderungen schnell umsetzen zu können. Anders als bei maßgeschneiderten Sicherheitslösungen können auf einer entsprechend konzipierten Plattform Zugriffskontrollen, Überwachungssysteme und Compliance-Anforderungen, wie zum Beispiel für neue Sicherheitsrichtlinien, jederzeit implementiert werden: durch einfaches Anpassen von Parametern oder Konfigurationen. Parametrieren ist oft schneller als Programmieren und erfordert weniger technisches Fachwissen.
Der Industriesoftware-Experte Copa-Data bietet mit der Automatisierungssoftware und Engineering-Plattform Zenon eine ultimative Gesamtlösung für die digitale Transformation. Mit integrierten Sicherheitsoptionen bietet sie umfassenden Schutz vor ungewolltem Datenverlust und unautorisierten Zugriffen. Zenon kann ohne große Aufwände in jede IT/OT-Sicherheitsarchitektur eingebunden werden.