Als Verantwortliche*r in einem Industrieunternehmen sollten Sie kurz innehalten und sich die folgenden Fragen stellen: Welche OT-Systeme in Ihrem Unternehmen sind in dieser Woche entscheidend für die erfolgreiche Herstellung Ihrer Produkte?

Ausreichend geschützt vor Cyberkriminellen?

Kennen Sie die immer häufiger auftretenden Cybersecurity-Bedrohungen und die potenziellen Auswirkungen auf diese Systeme? Wie realistisch schätzen Sie das Cybersecurity-Risiko für die OT-Systeme Ihres Unternehmens ein?

Die Steuerung und Führung eines komplexen Unternehmens bringt vielfältige Herausforderungen mit sich. Neben der Entwicklung, Herstellung, Vermarktung, dem Verkauf und der Lieferung von Produkten und Dienstleistungen muss das Unternehmen nach einem konsequenten und einheitlichen Ansatz geführt werden. Dazu gehört auch der Schutz der OT- und Industriesysteme vor den Angriffen durch Cyberkriminelle. Negative Auswirkungen auf Ihr Unternehmen sind unvermeidlich, wenn Sie kein wirksames Risikomanagement betreiben.

GRC – Governance, Risk und Compliance

An dieser Stelle kommt der Dreiklang von Governance, Risk und Compliance (GRC) ins Spiel. Das GRC-Konzept existiert seit etlichen Jahren. Es fasst die drei wichtigsten Handlungsebenen eines Unternehmens für dessen erfolgreiche Führung zusammen:

  • Governance bezeichnet den Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens sowie die optimale Nutzung der Managementinformationen.
  • Risk bzw. Risikomanagement steht für den Umgang mit allen Risiken, die sich potenziell auf den Unternehmenserfolg auswirken können.
  • Compliance beschreibt die Befolgung und Einhaltung gesetzlicher und behördlicher Regeln auf lokaler, nationaler und internationaler Ebene. Dazu können auch die Themen Sicherheit, Gefährdungsanalyse und Datenschutz zählen.

Die für Unternehmensrisiken verantwortlichen Führungskräfte beschäftigen sich seit Jahren mit dem Thema GRC. Auf dem Markt sind Softwarelösungen verfügbar, mit denen das Unternehmen die GRC-Anforderungen erfassen, überwachen und bei wechselnden Rahmenbedingungen gegebenenfalls anpassen kann. Aber was ist mit Fertigungssystemen, Robotik, Produktionslinien und Anlagensteuerungssystemen? Wie werden diese Systeme aus der GRC-Perspektive erfasst und eingebunden? Wie geht man mit sicherheitsrelevanten Komponenten einer Anlage um, die erhöhte Aufmerksamkeit in puncto Cybersecurity erfordern?

OT-Systeme – für Cyberkriminelle leichter zugänglich

Der Begriff der operationalen Betriebstechnik bezieht sich auf jedes Computersystem, das in irgendeiner Weise den Input oder Output physikalischer Geräte und Prozesse steuert oder erfasst. Eine derart weit gefasste Definition schließt praktisch alles ein – von industriellen Steuerungssystemen für Produktionsanlagen bis hin zu Computern, die autonome Fahrzeuge, Aufzüge, Öl-, Gas- oder Kernkraftwerke steuern.

In den letzten Jahren haben sich OT-Systeme stark verändert. Aus ehemals proprietären seriellen Netzwerken mit entsprechender Hardware sind TCP/IP-basierte Systeme mit Hard- und Software geworden, wie sie auch in herkömmlichen IT-Systemen eingesetzt wird. Cyberkriminelle und Hacker können mit ihren Fähigkeiten solche Systeme leichter angreifen, weil sich die Zugangsbarrieren verringert haben. Die Folge ist ein Anstieg der Cybersecurity-Vorfälle mit Auswirkungen auf OT-Systeme einschließlich Produktionslinien und sicherheitsrelevanten Systemen.

Cybersecurity-Risikobewertung: auch kurzfristig realisierbar

Leider haben viele Unternehmen die neuartige Bedrohung ihrer Existenzgrundlage noch nicht erkannt. Das Risiko hinischtlich OT-Security wird in zu vielen Unternehmen deutlich unterschätzt. Eine weltweit durchgeführte Umfrage im Auftrag von TÜV Rheinland aus dem Jahr 2019 hat ergeben, dass in 74 Prozent der befragten Unternehmen noch nie eine Cybersecurity-Risikobewertung durchgeführt wurde – oder dass gar nicht bekannt ist, ob sie überhaupt durchgeführt wurde. Es gibt jedoch auch eine gute Nachricht: Eine Risikoanalyse ist nicht unbedingt besonders zeitaufwändig oder komplex. Im Markt sind verschiedene grundlegende und branchenspezifische Frameworks zur Unterstützung dieser Aufgabe verfügbar. Erste Bewertungen zur Einschätzung des eigenen Risikos sind bereits nach Wochen und nicht erst nach Monaten verfügbar. In manchen Fällen, abhängig von der Komplexität des Prozesses, können OT-Cybersecurity-Expert*innen von TÜV Rheinland eine schnelle Risikobewertung sogar innerhalb weniger Tage durchführen.

%

der befragten Unternehmen haben noch nie eine Cybersecurity-Risikobewertung durchgeführt

Fortlaufende Überwachung in Echtzeit

Die entscheidende Voraussetzung für ein wirksames Risikomanagement ist die Kenntnis darüber, welche Hardware und welche Systeme potenziell gefährdet sind. OT-relevante Systeme manuell zu identifizieren und erkennen, ist oft sehr schwierig. Mittlerweile können jedoch spezielle automatisierte Asset-Discovery-Tools für OT-Netzwerke diese Aufgabe übernehmen. Anschließend können die relevanten Daten idealerweise in einem GRC-Tool gespeichert werden, um sie mit weiteren Risk- und Governance-Daten verknüpfen zu können. So ergibt sich ein vollständiges Risiko-Profil des Unternehmens. Im nächsten Schritt ist das OT-Netzwerk – auf dieselbe Weise wie bei IT-Netzwerken üblich – fortlaufend auf Bedrohungen zu überwachen. Im Idealfall berichtet das OT-System an ein kombiniertes IT/OT-Security Operations Center (SOC) oder eine vergleichbare Instanz, die in der Lage ist, eine Früherkennung möglicher Angriffe zu gewährleisten.

Mein Tipp:

GRC spielt eine maßgebliche Rolle in vielen OT-Systemumgebungen. Echtzeitüberwachung, verbunden mit einer risikobasierten Vorgehensweise und kombiniert mit einem GRC-Konzept, versetzt OT-Systembetreibende in die Lage, den Cybersecurity-Herausforderungen Tag für Tag wirksam zu begegnen.

Gehen Sie diese Aufgabe besser heute als morgen an.

Autor des Beitrags

Nigel Stanley

Nigel Stanley

Global OT und Cybersecurity

Nigel Stanley ist bei TÜV Rheinland für Global OT und Cybersecurity zuständig und ein anerkannter Experte für komplexe Cyber-Sicherheitsprojekte. Mit seinem Know-how und seinen praktischen Erfahrungen unterstützt er zahlreiche kleine und große Unternehmen dabei, sich vor den zunehmenden Cyber-Risiken zu schützen. Darüber hinaus hat er mittlerweile drei Bücher über Datenbank- und Entwicklungstechnologien geschrieben und ist regelmäßiger Referent auf internationalen Veranstaltungen und Konferenzen.

Meist gelesene Beiträge

Ladeinfrastruktur

Elektromobilität – Ladeinfrastruktur auf dem Vormarsch

Das neue Jahrzehnt steht ganz im Zeichen des Klimaschutzes – und zu den großen Herausforderungen zählt eine klimaschonende (Elektro-)Mobilität. Eine wichtige Etappe ist das neue Emissionsziel der EU.
Stellenanzeigen

Sexy Titel, keine Bewerber? Stellenanzeigen auf dem Prüfstand

War for Talents, Fachkräftemangel, demografischer Wandel – alles bekannte und beliebte Themen im Buzzword-Bingo unter Personalfachleuten. Der Arbeitsmarkt wird für Unternehmen schwieriger.
Digitale Trends

Digitale Trends 2020: Denkanstöße für mehr Sicherheit

Cybersecurity Trends 2020: Was bedroht unsere digitale Gesellschaft – und wie können wir uns davor schützen? TÜV Rheinland benennt sieben Trends zu aktuellen Cyberbedrohungen.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.