Industrial Cyber Security

Ihr Experte für Fragen

Dr. Oliver Hanka
Partner bei PwC Deutschland
Tel.: +49 160 5105836
E-Mail

Warum der Schutz von OT-Systemen immer wichtiger wird

OT (Operational Technology) ist oftmals noch ein blinder Fleck, der als Einfallstor für gezielte Cyberangriffe dienen kann oder Schwachstellen für Schadsoftware darstellt. Das liegt vor allem daran, dass Unternehmen in Hinblick auf Cybersicherheit ihren Fokus bislang auf den Schutz der Informationstechnologie legen und weniger die Sicherheit von Steuerungssystemen priorisieren.

Das ist jedoch dringend notwendig, denn die zunehmende Vielfalt beim Einsatz von vernetzten Geräten vergrößert das Potenzial für Cyberangriffe. Insbesondere wenn Safety-kritische Systeme angegriffen werden, reichen die klassischen IT-Security-Maßnahmen nicht aus. In unserer CEO Survey geben 80 Prozent der CEOs in Deutschland an, dass sie ihre Investitionen in Cybersicherheit in den nächsten drei Jahren erhöhen wollen − OT ist dabei ein wichtiges Wachstumsfeld.

Unsere Services im Überblick

Security-by-Design

Vom Entwurf bis zur Außerdienststellung: Wir unterstützen Sie bei Ihrer Security-Integration.

Penetration Testing

Maximale Sicherheit für OT-Systeme: Unser Penetrationstest identifiziert Schwachstellen in Ihrer Hard- und Software.

Härtung von Backend/Cloud Infrastruktur

Unsere Expert:innen sichern Ihre Cloud-Technologien nach allen Regularien und Vorgehen ab.

Unterstützende Security-Aktivitäten

Wir helfen Ihnen, Ihre Value Chain mit einem CSMS zu sichern – inklusive Integration Ihres ISMS.

Cyber Security Management System (CSMS)

Unser ganzheitlicher Ansatz zur Sicherung von OT-Systemen

Sie haben Fragen?

Kontaktieren Sie unseren Experten

Kontakt aufnehmen

Herausforderungen im OT/IoT-Security-Umfeld

Warum ist OT Security so wichtig für Unternehmen?

Bei einem Hackerangriff auf eine Produktionsanlage geht es auf Maschinen, Anlagen etc. und kann schwerwiegende Folgen für die Sicherheit von Mensch und Umwelt haben. Es werden Komponenten, wie eine PLC, eingesetzt, die sich aus einem Prozessor sowie einer Kommunikationsschnittstelle zusammensetzen und mit der Umwelt agieren. Werden diese auch in der kritischen Infrastruktur (bspw. Energieversorgung und im Mobilitäts-Bereich) eingesetzt, bekommt OT Security noch eine höhere Relevanz.

Betreiber kritischer Infrastrukturen sind beispielsweise oftmals Betreiber von OT-Komponenten. So heißt es im Baustein IND.1 des IT-Grundschutzkompendiums des BSI u. a.:

„In der Industrie, zu der unter anderem auch die Kritischen Infrastrukturen gehören, zählen dazu insbesondere industrielle Steuerungssysteme (Industrial Control Systems, ICS) und Automationslösungen, die dort Steuerungs- und Regelfunktionen aller Art übernehmen. Weitere Beispiele sind Laborgeräte, z. B. automatisierte Mikroskope oder Analysewerkzeuge, Logistiksysteme, wie Barcodescanner mit Kleinrechner, oder Gebäudeleittechnik.“

In den Bereichen der Operational Security wachsen die Sicherheitsanforderungen stetig an. Gleichzeitig sind Unternehmen mit verschiedenen Herausforderungen konfrontiert.

Das bestätigen auch unsere Kunden:

„Die Digitalisierung ermöglicht uns neue Produktlinien und Einnahmequelle. Diese muss ich gegen eine geänderte Bedrohungslage absichern.“

„Unsere Produkte sind verkauft und nicht mehr unter unserer Kontrolle.“

„Ich muss Safety-Funktionen so absichern, dass diese nicht manipuliert werden können.“

„Es gibt immer mehr regulatorische Anforderungen an meine Produkte und Anlagen, wie IEC 62443.“

„Meine Produktionsanlagen sind 20-30 Jahre im Einsatz. Dabei muss ich sie heute schon vor zukünftigen Bedrohungen schützen.“

Finden Sie sich in diesen Aussagen wieder? Sind Ihre Produkte oder Steuereinheiten elektronisch vernetzt und kommunizieren diese mit einem Backend? Werden diese in Bereichen wie zum Beispiel Bahn, Marine, Automotive, Energieversorgung, Gebäudeautomatisierung und Produktion eingesetzt?

Case Study OT Security

Die Situation

Für einen der führenden Hersteller aus der Elektroindustrie, sollten wir zur Überprüfung des Sicherheitsniveaus einen Penetrationstest durchführen.

Ansatz und Projektergebnis

Der erste Schritt bestand hierbei aus einem Red-Teaming-Teil, bei dem es uns durch Social Engineering gelang, unbemerkt in das Werk des Kunden einzudringen und einen manipulierten Router (Rogue Device) im OT-Netzwerk zu platzieren. Der nächste Schritt war, das eigentliche Ziel anzugehen: eine der mittlerweile veralteten Produktionsanlagen. Da wir mit unserem Rogue Device die Firewalls am Rand des OT-Netzwerks bereits umgehen konnten, gab es keine zusätzliche Security- und Detektionsmaßnahmen, die unsere Spezialisten hätten umgehen müssen. Zum Beispiel konnten wir durch das Ausprobieren verschiedener Benutzernamen mit allgemeinen Standardpasswörtern Zugang zu einem nicht gewarteten Linux System auf der Workstation erhalten.

Unser Vorgehen, die Ergebnisse, die möglichen Konsequenzen (wie z. B. Ausbreitung auf andere Anlagen, Kompromittierung des Backends) und Handlungsempfehlungen wurden in einem ausführlichen Bericht zusammengefasst und beim Kunden vor Ort vorgestellt.

Der Bericht wurde genutzt, um bei der Management-Ebene die Awareness für Security zu erhöhen und die Bereitschaft für die nächsten Schritte zu schaffen. Damit konnten wir die kundenspezifische Auswahl von anerkannten Best Practices und Standards (insb. aus der Reihe der IEC 62443) implementieren und das Sicherheitsniveau erhöhen.

Gemäß dem Security-by-Design-Ansatz haben wir zusammen mit dem Kunden in mehreren Interviews und einer gemeinsamen Analyse herausgearbeitet, welche Anlagen und Informationen (Assets) wirklich kritisch sind und daher einen erhöhten Schutzbedarf haben. Diese Ergebnisse wurden in das unternehmensweite Risikomanagement eingebracht. Daraus folgte der Aufbau eines CSMS und z. B. die Einführung von Zonen und Kommunikationskanälen (Conduits). Damit konnten wir gemeinsam den einzelnen Bereichen die nötigen Sicherheitslevel zuordnen und auch ältere Anlagen durch zusätzliche, äußere Maßnahmen effektiv härten.

Während das Backend im IT-Netzwerk durch den Kunden selbst abgesichert werden konnte, war das bei den Produktionsanlagen nicht vollständig möglich. Der Kunde hatte keine volle Kontrolle über die Anlagen, dazu war die Kooperation mit dem entsprechenden Hersteller bzw. Wartungsdienstleister erforderlich. Die Einbindung der Zulieferer und des Einkaufs, stellte damit nicht nur die sichere Wartung der bestehenden Anlagen sicher, auch die zukünftigen Anlagen werden nun basierend auf den relevanten Sicherheitsanforderungen beschafft.

PwCs Cyber Security Experience Center in Frankfurt

Erleben Sie hautnah, wie sich Cyberangriffe auf OT- und IT-Infrastrukturen auswirken und lernen Sie effektive Abwehrstrategien kennen.

Mehr erfahren

KRITIS Center of Excellence

Mit unserem interdisziplinären Ansatz von zertifizierten KRITIS und OT-Expert:innen bieten wir den entscheidenden Mehrwert zur Absicherung kritischer Infrastrukturen. Unser KRITIS Center of Excellence kann somit neben der besonderen Prüfkompetenz für KRITIS Prüfungen gem. §8a der KRITIS VO auch das entscheidende technische Fachwissen anbieten, was es Betreibern kritischer Infrastrukturen ermöglicht, ihre Kritischen Anlagen und OT-Komponenten z. B. gemäß der Normen ISO 21434, und IEC 62443 abzusichern.

Mehr erfahren

„Bislang ist die Absicherung von OT-Systemen noch nicht auf demselben Niveau, wie es bei der klassischen IT der Fall ist. Dieses zu erreichen, beziehungsweise sogar noch zu übertreffen, muss jedoch das Ziel sein, um den sicheren Betrieb kritischer OT Devices zu gewährleisten.“

Dr. Oliver Hanka,Partner bei PwC Deutschland

Auch interessant

Product Cyber Security

Schützen Sie Ihre digitalen Produkte mit den Product Cyber Security-Lösungen von PwC. Erfahren Sie, wie wir Product Security in Ihrem Unternehmen unter Berücksichtigung aktueller Standards integrieren.