IT-Sicherheit in Smart Factories stärken – gewusst, wie!

„Smart Factories“ erhöhen die Produktivität, indem Anlagen und Systeme eigenständig und vernetzt Daten austauschen. Mit der wachsenden Digitalisierung verändert sich aber auch die Risikolandschaft, in der sich Unternehmen befinden, da eben viele dieser Operational Technology Systeme, kurz OT (also z. B. Produktionsanlagen), zunehmend stärker vernetzt werden.

Vernetzte Produktionsbetriebe bringen demnach viele Vorteile, wie gesteigerte Effizienz und Servicequalität, aber auch einige Nachteile mit sich. Unsichere Konfiguration oder veraltete Komponenten machen somit ganze Betriebe angreifbar und auch zuständige Sicherheitsverantwortliche gaben laut Studien an, seit der Konvergenz von IT und OT herausforderndere Tätigkeiten erbringen zu müssen. Unternehmen müssen daher entscheiden, welche Risiken sie in Kauf nehmen und wo es vermehrt Aufmerksamkeit bedarf.

So unterscheiden sich IT und OT

Information Technology (IT) und Operation Technology (OT) werden häufig in einem Atemzug erwähnt, unterscheiden sich jedoch voneinander. OT ist der Überbegriff für den Einsatz von Hard- bzw. Software in einer betrieblichen bzw. industriellen Umgebung zur Steuerung von Maschinen oder Anlagen. Darunter fallen also beispielsweise industrielle Kontrollsysteme sowie Prozesse und Systeme, die anderes Equipment überwachen. OT steuert und regelt also Maschinen bzw. Prozesse, wogegen IT die innerbetriebliche Informationsverarbeitung umfasst. Vereinfacht gesagt: Mit IT werden somit Informationen und Daten verwaltet, mit OT die Prozesse in Anlagen.

Fusionieren OT und IT in unserer zunehmend vernetzten (Geschäfts-) Welt, müssen sich Unternehmen zwingend auch mit dem Thema Informationssicherheit im OT-Bereich befassen und ähnlich wie im IT-Bereich systematisch Cybersecurity-Risiken erfassen, bewerten und entsprechende Maßnahmen zur Behandlung der Risiken setzen.   Erschwerend kommt hinzu, dass im OT-Bereich für Informationssicherheit oft andere Rahmenbedingungen gelten und andere Anforderungen gestellt werden als in der IT, beispielsweise hinsichtlich der Verfügbarkeit oder Betriebssicherheit (Safety) der Systeme.

Vielzahl an Cyberangriffen in Industriebetrieben

Die weltweite COVID-19 Pandemie hat einen Digitalisierungsschwung bewirkt und Studien zeigen, dass IT- und OT-Netzwerke seit Beginn der Coronakrise vielerorts stärker zusammengewachsen sind. In der Praxis können derzeit aber nach wie vor primär Angriffe auf die IT-Systeme in Industriebetrieben erkannt werden.

Hier haben wir bereits die jüngsten Cyberangriffe für Sie in einem Newsartikel zusammengefasst – viele dieser Angriffskampagnen richteten sich bewusst gegen Produktionsbetriebe und legten diese binnen kurzer Zeit lahm. Ein kontinuierlicher Schutz von Industrie und Infrastrukturen ist unerlässlich – genauso aber das entsprechende Training von Personal und die Priorisierung von Führungsetagen.

Sicherheitslage verbessern und Risiken abwägen

Mithilfe von drei Schutzzielen wird Aufschluss darüber gegeben, in welchem Maße Informationssicherheit erreicht wurde. Diese drei Ziele sind: Vertraulichkeit von Daten, Integrität bzw. die Unveränderlichkeit von Informationen sowie Verfügbarkeit. Die Priorisierung dieser Ziele in IT und OT kann nicht pauschal beantwortet werden – so wird beispielsweise sowohl in der IT als auch der OT häufig Integrität eine höhere Bedeutung als Vertraulichkeit beigemessen.

Für entsprechende Risikobewertungen von OT und IT existieren mittlerweile einige Standards bzw. Sicherheitsrichtlinien, die regelkonformes Arbeiten erleichtern sollen. Bei IT- und Cloud-Lösungen werden häufig die Normen der ISO 27001-Reihe herbei gezogen. Auch kommt die IEC 62443 speziell für Industriebetriebe mehr und mehr in den Fokus von Betrieben. Diese Normenfamilie bietet einen Rahmen zur Behebung bzw. Minimierung von Sicherheitslücken in automatisierten Systemen und fokussiert technische Kontrollen.

Gleichzeitig sollten auch OT-Anbieter stärker in die Informationssicherheits-Setups eingebunden werden – inkl. Kontrollfunktionen zur Stärkung des Bewusstseins und Sicherheits-Knowhows sowie auch ein laufendes Risikomanagement.

Ausblick

Um die Sicherheitslage von Unternehmen künftig zu verbessern, gilt es sowohl entsprechende Zertifizierungen als auch Business Continuity Management und eine stärkere Einbeziehung von Anbietern in Informationssicherheit zu forcieren.

Sowohl IT- als auch OT-Fachexperten müssen laufend dazu lernen, sich neuen Herausforderungen stellen und Lösungen finden, um sich im Internet der Dinge zurechtzufinden und Systeme unter Kontrolle zu behalten. Wichtig auf dieser Reise ist also die gesonderte und alleinige Betrachtung von OT beiseite zu lassen und vernetzt zu denken.

Eine Risikobetrachtung von außen, wie etwa durch eine unabhängige Zertifizierungsstelle, hilft, blinde Flecken aufzudecken und den Blick bewusst über den Tellerrand zu legen. Gleichzeitig müssen Mitarbeitende sowohl als Chancen als auch Risikofaktoren, aufgrund mangelndem Bewusstsein, gesehen werden.