Case Study: Schutz vor Cyberangriffen für Versorgungs-unternehmen

Die Herausforderung

Unternehmen stehen vor einer Vielzahl von Herausforderungen, um die gesetzlichen Anforderungen wie bspw. die NIS-2-Direktive (The Network and Information Security (NIS) Directive) zu erfüllen. Ein steigender Automatisierungsgrad und die damit einhergehende Vernetzung innerhalb des Unternehmens erhöhen zusätzlich die Komplexität und damit die Anfälligkeit für Cyberangriffe. Umfassende technische Risikoanalysen für Produktionsanlagen sowie die Implementierung von Systemen zur Erkennung von Angriffen sind nun gefordert. Dazu benötigen Unternehmen Kenntnisse über ihr aktuelles Sicherheitsniveau, über unternehmensspezifische Cyberbedrohungen und wie im Falle eines Angriffs rechtzeitig und richtig reagiert wird. Bei Versorgungsunternehmen ergibt sich eine zusätzliche Komplexität durch umfangreiche OT-Systeme, die in der Regel nicht zentral gesteuert sind.

Unser Kunde sah sich mit ähnlichen Herausforderungen konfrontiert. Es fehlte an ausreichendem Wissen für die umfassenden Anforderungen der NIS-2-Richtlinie und den damit verbundenen Schwellenwerten der KRITIS-Verordnung. Das erzeugte Unsicherheit über die erforderlichen Maßnahmen, um den gesetzlichen Anforderungen zu entsprechen. Zusätzlich mangelte es an Transparenz über aktuelle unternehmensspezifische Bedrohungen in den Bereichen IT und OT. Dies machte es noch schwieriger, spezifische Risiken zu identifizieren und angemessen darauf zu reagieren.

Die mangelnde zentrale Steuerung der OT-Security-Aktivitäten und unklare Rollen- und Aufgabenverteilungen führten dazu, dass Sicherheitsmaßnahmen nicht vollständig oder effizient umgesetzt wurden, was wiederum die angemessene Sicherung der Produktionsanlagen behinderte. Darüber hinaus konnte die Effektivität der vorhandenen Sicherheitsmaßnahmen durch ein fehlendes Monitoring nicht sicher eingeschätzt werden. Ohne diese Erkenntnis war es auch nicht möglich, Maßnahmen für die Erhöhung des aktuellen Sicherheitsniveaus in den Bereichen IT und OT zu evaluieren.

Um diese Herausforderungen anzugehen und Lösungen zu entwickeln, wurde das IT- und OT-Sicherheitsprojekt in Auftrag gegeben.

Unser Ansatz

Zu Beginn stand die Erfassung des IST-Zustands. Die existierenden organisatorischen, personellen und technischen Sicherheitsmaßnahmen wurden analysiert, vorhandene Dokumentationen und Richtlinien gesichtet und relevante Ansprechpersonen interviewt. Dies erfolgte unter Betrachtung verschiedener Themenschwerpunkte wie Risikomanagement, Incident Management oder Netzwerk-Sicherheit. Damit erhielt der Kunde einen transparenten Überblick über bereits vorhandene Sicherheitsaktivitäten sowie über Lücken, in denen noch Verbesserungsmaßnahmen erforderlich waren. Dies ermöglichte es, gezielt Maßnahmen zu ergreifen und sich zukunftssicher in den Bereichen IT- und OT-Security aufzustellen.

Die Beschreibung der gesetzlichen Vorgaben, die Modellierung der kundenspezifischen Bedrohungslandschaft und die Auswertung und Bewertung des derzeitigen Sicherheitsniveau führten zur Ableitung konkreter Vorschläge. Unser Kunde erhielt abgestimmte Handlungsfelder und Empfehlungen, um die IT- und OT-Security zukunftssicher zu gestalten. Bestehende Managementsysteme wurden dabei mit berücksichtigt und durch klare Definitionen und Abgrenzungen von OT-Security-Rollen und Kompetenzbeschreibungen funktional erweitert. Basierend auf den erarbeiteten Ergebnissen konnte der Kunde mit dem Aufbau eines OT-Security-Managementsystems beginnen.

Die Maßnahmen trugen dazu bei, das Sicherheitsbewusstsein unseres Kunden auf konzernweiter Ebene zu erhöhen. Das Projekt verdeutlichte die Dringlichkeit, angemessene Sicherheitsmaßnahmen zu ergreifen und schuf ein Bewusstsein für die Bedeutung von Sicherheit.

Der Mehrwert

Das umfassende Fachwissen unseres Cyber Security Teams und unsere langjährige Erfahrung im Bereich IT- und OT-Sicherheit ermöglichten es, die individuellen Herausforderungen des Kunden präzise zu verstehen und maßgeschneiderte Lösungen zu entwickeln.

Als wesentlicher Erfolgsfaktor überzeugte unsere transparente und ganzheitliche Herangehensweise. Wir bewerteten das Sicherheitsniveau in den verschiedenen Organisationseinheiten gründlich und klärten den Kunden über gesetzliche Vorgaben und aktuelle Bedrohungen auf. Dies schuf einen breit gefächerten Überblick und trug dazu bei, das Sicherheitsbewusstsein beim Kunden zu steigern.

Bei PwC ist uns die enge Zusammenarbeit mit unseren Kunden besonders wichtig. Durch umfassende Interviews und die Einbindung aller relevanten Ansprechpersonen erlangten wir in diesem Projekt ein tiefgreifendes Verständnis für die individuelle Situation des Kunden und konnten so maßgeschneiderte Empfehlungen geben.

Wir begleiteten aber nicht nur bei der Analyse und Bewertung, sondern auch bei der praktischen Umsetzung. Dies ermöglichte es dem Kunden, die identifizierten Handlungsfelder in den Bereichen IT- und OT-Security erfolgreich umzusetzen und ein zukunftssicheres Sicherheitsniveau zu erreichen.

Was zeichnet PwC aus?

PwC zeichnet sich durch seine umfassende Expertise und Erfahrung im Bereich IT & OT Security aus. Als größtes Team für Industrial und Product Cyber Security innerhalb der Big4 bietet PwC umfassende Unterstützung bei der Einhaltung von EU-Richtlinien und der Bewältigung von Herausforderungen im Bereich IT & OT Security.