In einer Welt, die sich von der Pandemie erholt, schreiten die Vernetzung und Digitalisierung in einem noch nie dagewesenen Tempo voran. Mit der fortgeschrittenen Technologiedurchdringung und der Vernetzung von Industriegeräten sind Unternehmen zunehmend auf Betriebstechnologie (OT) angewiesen, um ihre Geschäfte am Laufen zu halten und wettbewerbsfähig zu sein.
Darüber hinaus sind diese Fortschritte in vielen Fällen zu einer wichtigen Grundlage für neue Einnahmequellen geworden. Die zunehmende Bedeutung und Leistungsfähigkeit von OT birgt aber auch Risiken in Sachen Sicherheit in sich. Daniel Bren, CEO und Mitbegründer von OTORIO, beschreibt den Status Quo, kommende Herausforderungen und wie diese überwunden werden können:
„Die nächsten fünf Jahre werden für industrielle Kontrollsysteme (ICS) und OT-Sicherheit entscheidend sein. Aufgrund verschiedener Faktoren sind sich Experten einig, dass ein größerer ICS/OT-Cyberangriff unvermeidlich ist. Die Analysten von Forrester haben alarmierend vorausgesagt, dass 60 Prozent aller Unternehmen im Jahr 2023 einen größeren oder kleineren OT-Sicherheitsvorfall erleben werden. Die Frage ist nicht, ob, sondern wann ein größerer ICS/OT-Angriff stattfinden wird.
Eine weitere wichtige Sorge, die berücksichtigt werden muss, ist die Tatsache, dass die potenziellen Auswirkungen eines solchen Angriffs wahrscheinlich Menschen und Eigentum verletzen, Umweltschäden verursachen und zum Verlust wichtiger, kostspieliger Geräte führen.
Was sollte ich tun, um zu verhindern, dass mein Unternehmen zu einer Statistik wird?
Ein proaktiver Ansatz zur Verringerung der Risiken für cyber-physische Systeme trägt dazu bei, dass Unternehmen der industriellen Fertigung sowie kritische und intelligente Infrastrukturen einen stabilen Betrieb aufrechterhalten können. Eine Konzentration auf die Verringerung von Risiken und Schwachstellen für die ICS- und OT-Sicherheit ist weitaus effektiver als eine Reaktion, nachdem eine Anomalie entdeckt wurde oder eine Sicherheitsverletzung stattgefunden hat. Zu diesem Zeitpunkt ist der Schaden bereits angerichtet.
Es gibt drei Schritte, um den Betrieb des Unternehmens im Jahr 2023 widerstandsfähig zu halten. Zuallererst gilt es, das Bewusstsein für OT-Cybersicherheit bei den Inhabern der Geschäftseinheiten fördern. Zweitens geht es darum, einen risikobasierten Ansatz für die OT-Sicherheit umzusetzen. Und drittens gilt es, sicherzustellen, dass die cyber-physischen Systeme regelmäßig Risiken bewerten und Schwachstellen reduzieren, um Sicherheitsverletzungen zu verhindern, die zu Ransomware-Vorfällen führen.
Bewusstsein der Führungsetage
Während das Bewusstsein für OT-Cybersicherheit eine Schlüsselkomponente bleibt, wurde den Aufforderungen zum Handeln nicht genug Aufmerksamkeit geschenkt. Bei der ICS-Sicherheit geht es nicht nur um Technologie, sondern auch um die Kontinuität des Geschäftsbetriebs. Die erste Herausforderung für Unternehmen besteht also darin, den Inhabern der Geschäftseinheiten bewusst zu machen, dass sie nicht nur ein Budget für die OT-Sicherheit bereitstellen müssen, sondern auch eine aktive Rolle als Partner bei der Risikominderung mit ihren IT- und OT-Sicherheitsexperten übernehmen müssen.
Die Schlüsselfrage, die beantwortet werden muss, ist, wie Management und Sicherheitsexperten ihre Kollegen in den Geschäftsbereichen mit informativen, positiven Informationen über die Auswirkungen und die Bedeutung der OT-Sicherheit beraten sollten. Ein häufig praktizierter Ansatz ist eine „Angststrategie“, um das Bewusstsein zu schärfen. Es ist bereits erwiesen, dass die Angststrategie nur bis zu einem bestimmten Punkt führt. Dies gilt vor allem, wenn Unternehmen versuchen, die Bemühungen ihres Teams um Schadensbegrenzung zu unterstützen. Deshalb erfordert die Entwicklung eines nachhaltigen Bewusstseins bei den Geschäftsinhabern einen anderen Ansatz.
Risikobasierter Ansatz für OT-Sicherheit
Der übliche risikobasierte Ansatz für die OT-Cybersicherheit sollte zwei Elemente umfassen: die Identifizierung kritischer Risiken und die Festlegung einer hohen Priorität für diese Risiken. Daher erfordert ein risikobasierter Ansatz sowohl Fähigkeiten zur Risikobewertung als auch zum schnellen Reagieren. Fähigkeiten zur Risikobewertung umfassen mehrere einzigartige Kompetenzen, insbesondere für die OT-Sicherheit. Ein einfaches Beispiel ist die Bewertung der Sicherheitslage eines Unternehmens, doch dieses entscheidende Element allein ist nicht ausreichend.
Die eigentliche Herausforderung besteht darin, die technischen Erkenntnisse mit ihren Auswirkungen auf das Unternehmen zu korrelieren – sowohl finanziell als auch betrieblich. Wie können Unternehmen also nicht nur jedem OT-Sicherheitsbefund einen finanziellen Wert zuweisen, sondern auch den entsprechenden Risikominderungen, die sie durch die Implementierung verschiedener Abhilfemaßnahmen erreicht haben?
Aufgrund der Realität haben Regulierungsbehörden auf der ganzen Welt damit begonnen, die Steuerung von Cyberrisiken voranzutreiben. Dies erfordert von den Unternehmen, dass sie mit den Änderungen der Vorschriften Schritt halten. Unabhängig davon, ob sich neue Vorschriften auf das Unternehmen auswirken oder bestehende Vorschriften zu einer höheren Durchsetzungspriorität werden, können die Verantwortlichen es sich nicht leisten, sie als niedrige Priorität zu behandeln.
So hat die deutsche Regierung beispielsweise die KRITIS-Verordnung (IT-Sicherheitsgesetz 2.0) erlassen, die vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik, durchgesetzt wird. Das Gesetz erkennt Unternehmen oder Einrichtungen mit kritischen Infrastrukturen (KRITIS) als wichtig für das Land und seine Bürger an. Der Gesetzgeber hat erkannt, dass der Ausfall oder die Beeinträchtigung von KRITIS-Einrichtungen zu dauerhaften Engpässen in der Versorgungskette, erheblichen Beeinträchtigungen der öffentlichen Sicherheit und anderen dramatischen Folgen führen würde.
Nach dieser Definition gelten Unternehmen und Einrichtungen in vielen Sektoren als kritische Infrastrukturen. So fallen darunter Energie, Transport und Verkehr, Wasser, Finanzen und Versicherungen, Ernährung, Medien und Kultur, Staat und Verwaltung, Gesundheit, Informationstechnologie, Telekommunikation und sogar Abfallentsorgung. Die deutschen KRITIS-Vorschriften verlangen von den Unternehmen und Betreibern, dass sie Cyberrisiko-Governance-Prozesse anwenden, die mit einer regelmäßigen Bewertung beginnen.
Am wichtigsten ist es, dass Infrastrukturbetreiber verstehen, wie Compliance-Risiken aus den internen Prozessen des Unternehmens entstehen können. Dazu gehören auch neue Technologiesysteme, Software- und Hardwarelösungen von Drittanbietern sowie Drittanbieter-Serviceprovider. All diese Faktoren können sich auf Compliance-Risiken auswirken, selbst wenn es keine „externen“ Änderungen gibt.