Das verarbeitende Gewerbe ist ein entscheidender Teil der europäischen Wirtschaft und umfasst viele Bereiche von der kleinen Produktion bis hin zu groß angelegten industriellen Prozessen. Mit zunehmender Digitalisierung und Vernetzung ist der Sektor mit immer größeren Cybersicherheitsrisiken konfrontiert, die schwerwiegende Folgen für die öffentliche Gesundheit und Sicherheit haben könnten. Um diesen Risiken zu begegnen, stuft die NIS2-Richtlinie Organisationen aus dem verarbeitenden Gewerbe als wichtige Einrichtungen ein und legt neue Cybersicherheitsanforderungen fest, die nun erfüllt werden müssen.
Die große Relevanz der Umsetzung von NIS2 für Industrieunternehmen wird in der aktuellen öffentlichen Debatte deutlich. So berichtet der Tagesspiegel, dass der Bundesverband der Deutschen Industrie (BDI) ein Positionspapier veröffentlicht hat. Darin fordert der Verband unter anderem eine EU-weit harmonisierte Umsetzung und großzügigere Umsetzungsfristen. Zudem umfasst die Richtline im Bereich der digitalen Infrastruktur viele neue Unternehmen, die unter die kritischen Sektoren fallen. Einem Bericht von heise zufolge sind dies nach Schätzungen fast 160.000 Unternehmen und öffentliche Einrichtungen in der gesamten EU, davon fast 20.000 in Deutschland.
Erhöhung der Cybersicherheit in Europa
Die NIS (Netz- und Informationssysteme) -Richtlinie war die erste EU-weite Rechtsvorschrift, die darauf abzielte, die Sicherheit von Netz- und Informationssystemen in der Europäischen Union zu verbessern. Seit ihrer Veröffentlichung im Jahr 2016 sind die betroffenen Organisationen verpflichtet, geeignete Maßnahmen zur Sicherung ihrer Netzwerk- und Informationssysteme zu ergreifen und alle Vorfälle zu melden, die erhebliche Auswirkungen auf die Kontinuität ihrer Dienste haben.
Mit NIS2 werden viele weitere Bereiche in den Blickpunkt gerückt, und es werden Geldbußen, Sanktionen und Strafen für die Nichteinhaltung eines angemessenen Risikomanagements, grundlegender Cyber-Hygiene und unangemessener Verzögerungen bei Gegenmaßnahmen eingeführt. Dies wird Unternehmen dazu zwingen, ihre Software und Sicherheitsprotokolle laufend zu aktualisieren und Zugangskontrollen zu implementieren, die den unbefugten Zugriff auf Systeme und deren Aktivitäten verhindern.
NIS2 hat das Ziel, die Verluste durch Cyberkriminalität um 11,3 Milliarden Euro pro Jahr zu reduzieren. Damit dieses Ziel erreicht werden kann, muss das Budget für Cybersicherheit für neu ausgewählte Organisationen um schätzungsweise 22 Prozent und für Organisationen, die zuvor von der aktuellen NIS-Richtlinie betroffen waren, um 12 Prozent erhöht werden.
Eine Chance und eine große Herausforderung für Unternehmen
Die Auswirkungen treffen dabei alle Hersteller, einschließlich derer, die IoT-Geräte, medizinische Geräte (IoMT) und Betriebstechnologie (OT) herstellen. Gemäß der NIS2-Richtlinie müssen wesentliche und wichtige Einrichtungen bestimmte zertifizierte IKT-Produkte, IKT-Dienstleistungen und IKT-Prozesse verwenden oder ein Zertifikat im Rahmen eines europäischen Zertifizierungssystems für Cybersicherheit erhalten. Damit wird die Sicherheit ihrer Produkte während des gesamten Entwicklungsprozesses vorgeschrieben. Dies stellt eine große Herausforderung dar, insbesondere in Fällen, in denen IoT-Produkte besonders anfällig für Cyberangriffe sind, weil sie mit unzureichenden Sicherheitskontrollen wie fest kodierten Passwörtern, fehlender Verschlüsselung der übertragenen Daten oder schwer zu behebenden Software-/Firmware-Schwachstellen gebaut wurden. Unternehmen aus der Industrie benötigen beim Aufbau und der Umsetzung einer koordinierten Sicherheitsstrategie in jedem Fall die Hilfe von Technologpartnern. Nur mit einem ganzheitlichen Ansatz können die gravierenden Folgen von Cyberangriffen abgeschwächt oder proaktiv verhindert werden.
Eine aktuelle Studie von Armis unterstreicht die Dringlichkeit, der Verabschiedung neuer Gesetze Priorität einzuräumen. Nach ihrer Einstellung zu Sicherheitsstandards (B3S, IT-Sec 2.0, NIS2 usw.) befragt, sieht sich weniger als ein Drittel der IT-Fachleute in Deutschland in Bezug auf die Einhaltung der Vorschriften vollständig gerüstet, und nur die Hälfte der Befragten (54 Prozent) gab an, dass sie zusätzliche Maßnahmen ergreifen würden, um mit der Situation fertig zu werden.
Proaktive Maßnahmen zur Stärkung der Cybersicherheit
Die digitale Vernetzung in Fertigungs- und OT-Umgebungen wird immer weiter ausgebaut, und damit geraten natürlich auch alle dort eingesetzten Assets zunehmend ins Visier von Hackern. Aufgrund der akuten Bedrohungslage sind nun umfassende IT/OT-Sicherheitskonzepte gefragt, die den besonderen Belangen der industriellen Fertigung Rechnung tragen und komplexe Industrieanlagen vor unbefugten Zugriffen und drohenden Produktionsausfällen durch Cyberattacken schützen.
Neben der Durchführung von Sicherheitsschulungen und der Einhaltung der Cyber-Hygiene ist die kontinuierliche Überwachung von Assets ein entscheidender Faktor, um die Konformität mit den NIS2-Richtlinien zu ermöglichen. Man kann nur die Assets schützen, die man eindeutig identifizieren kann. Diese Art der vollständigen Transparenz ermöglicht es den Sicherheitsteams, Anomalien und Statusänderungen in Echtzeit zu erkennen, was wiederum die SOC-Untersuchungszeit und potenzielle Schäden reduziert. Insbesondere das Schwachstellenmanagement für Assets liefert detaillierte Informationen über jedes Asset, egal welcher Art. Durch den Einsatz von intelligentem Asset Management erhalten Unternehmen einen vollständigen Überblick über die neuesten Schwachstellen und Kompromittierungen. Dadurch sind sie in der Lage, eine proaktive Rolle bei der Stärkung ihrer Cybersicherheit zu übernehmen und den Bedrohungsakteuren immer einen Schritt voraus zu sein.
André Heller, Director Sales Engineering für Zentraleuropa, Benelux und Nordics, Armis