23 Februar, 2023
Von Alexander Köppen, Oliver Hanka und Florian Gibala.
Maschinen, die ihren Wartungszustand in die Cloud funken, voll automatisierte Leitstände, Stromversorgung mit Auslastungsüberblick in Echtzeit und nachgerüstete Messtechnik an altgedienten Anlagen: Es gibt viele Wege, wie Industrieanlagen ihren Weg in das Internet finden. Genauso viele Wege gibt es, die oft mangelhafte Cyber Security bei diesen Betriebstechnologien (kurz OT, von Operational Technology) auszunutzen. Laut unserer Studie Digital Trust Insights 2023 rechnet jedes vierte Unternehmen (26%) mit einem signifikanten Anstieg der Angriffe auf Betriebstechnologien.
Ob Angriffe auf Energie-Dienstleister, verfälschte Chargen bei der Pharma-Herstellung oder zerstörte Materialien durch kompromittierte Industrieroboter: je nach Einsatzbereich der gefährdeten Anlagentechnik kann es zu kritischen Folgen kommen: für den Betrieb des Unternehmens, für unsere Umwelt, für unsere Gesellschaft. Woran liegt das? Wie können sich Unternehmen nicht nur im laufenden Betrieb absichern, sondern ein generelles Betriebsmodell etablieren, in dem potenzielle und tatsächliche Schwachstellen identifiziert und kontrolliert werden? Denn eines steht angesichts zunehmender Zwischenfälle und immer höherer Schäden fest: Der Handlungsdruck ist enorm.
Auf Basis unserer täglichen Beratungs-Erfahrung im OT-Umfeld haben wir fünf Handlungsfelder identifiziert, die effektiv dabei helfen, die Industrial Security zu verbessern und Schäden zu vermeiden:
Informationssicherheit steht auf der Agenda von Führungskräften bereits weit oben. Ein Aspekt rückt dabei aber aktuell besonders in den Fokus: die Digitalisierung und zunehmende Vernetzung von kritischer Infrastruktur und Produktionsanlagen bei gleichzeitiger Zunahme von Cyberangriffen durch sich professionalisierende Hacker-Einheiten und State Actors führt zu einer so noch nicht da gewesenen Bedrohungslage. Erschwerend kommt hinzu, dass dabei neueste Technologien oft auf veraltete Legacy-Anlagen und -Systeme treffen, die nie für eine Vernetzung vorgesehen waren.
Denn während in den wegbereitenden Industrien, in denen Produkte selbst vernetzt sind oder Produktionsverfahren modernisiert und digitalisiert wurden, in der Regel auch Sicherheitsaspekte mitgedacht wurden, ist das bei historisch gewachsenen Produktionsverfahren auf Basis alter Strukturen oft nicht der Fall. Dies trifft besonders häufig auf kritische Infrastrukturen zu, beispielsweise bei der Nachrüstung von Fernwartungs- und Monitoringfunktionen für Anlagen und deren Steuerung.
Die potenziellen Folgen sind enorm – und vielen Unternehmen durchaus bewusst. Doch im Spannungsfeld zwischen Digitalisierung, Wettbewerb und Kundenbedürfnissen bleibt die digitale Anlagensicherheit oft der Elefant im Raum. Studien zeigen zudem, dass auch erfolgreiche Zertifizierungen keine Garantie für eine hinreichende Sicherheit sind.
Wenn analoge Anlagen und Maschinen vernetzt und um digitale Fähigkeiten erweitert werden, laufen IT und OT zusammen. Die Risiken dieser Konvergenz sind aus mehreren Gründen nicht zu unterschätzen:
„Die betreffenden Unternehmen stehen zugleich unter einem großen äußeren Druck.“
So sind viele Unternehmen beispielsweise aus dem KRITIS-Sektor sowie auch viele Mittelständler wirtschaftlich gezwungen, schnell zu digitalisieren, um nicht den Anschluss an die Kundenbedürfnisse und damit ihre Umsatzerwartungen zu verlieren. Auf der anderen Seite stehen sie vor dem Gesetzgeber in der Pflicht, einer verschärften Regulatorik Folge zu leisten (KRITIS, IT-SiG 2.0/3.0, NIS 2.0).
Die Schlussfolgerung: Eine übergreifende Industrial-Security-Strategie wird für Unternehmen zum Muss. Wie und in welchen Phasen soll sich die OT- Transformation und die damit einhergehende IT-OT-Konvergenz vollziehen? Wie kann diese im Hinblick auf physische Sicherheit und Cyber Security abgesichert erfolgen? Welche Sicherheitsfähigkeiten müssen aufgebaut werden? Wie können Hersteller, Zulieferer und Partner optimal eingebunden werden?
In der betrieblichen Realität ist OT Security oder überhaupt die Digitalisierung von Industrieanlagen allerdings oft noch ein Nischenthema. Über die Betriebssicherheit oder die betriebliche Aufrechterhaltung hinaus wird sie nur selten strategisch geplant oder systematisch angegangen. Dass Betriebe sich mit digitaler und vernetzter OT neben Vorteilen und Geschäftspotenzialen mitunter auch handfeste Gefahren in die Produktionshallen holen, fällt häufig unter den Tisch.
Dafür sind vor allem drei Punkte ursächlich:
1. Mangelnde strategische und operative Differenzierung von OT und IT Security
In unserem Beratungsalltag sehen wir es immer wieder: Betriebe sehen OT Security oft nicht als konstant zu lebenden und zu verbessernden Prozess mit ganz eigenen Anforderungen. Ohne spezifische Organisation und eigenes Domänenwissen bleibt die Vision von der sicheren Betriebstechnologie so vor allem eins – eine Vision. Zwar gibt es oft eine eigene Abteilung für IT Security, hier fehlt jedoch das spezifische Verständnis für die Anforderungen der OT. Umgekehrt sind die Personen, die die OT operativ betreiben, zu wenig mit der IT Security und den Herausforderungen der Digitalisierung vertraut. Hier braucht es ein striktes strategisches Alignment oder gar neue Betriebsmodelle, um die Anpassung an den technologischen Wandel nicht nur bei IT-Infrastruktur zentral zu verankern, sondern auch bei den Anlagen und Maschinen, die ganz handfest für „das Produkt“ benötigt werden.
2. Es fehlt nicht nur an Fachkräften, sondern sogar an Rollen
Wenn bereits überlastete Mitarbeitende aus der Anlagentechnik plötzlich auch noch für Cyber-Security-Aspekte zuständig sein sollen, schlägt der Fachkräftemangel gleich doppelt zu Buche. Wo heute schon fehlende Fachkräfte zum Problem werden, brauchen Unternehmen künftig eine Rollenstruktur, die den neuen Anforderungen der vernetzten Industrie auch Rechnung trägt.
„Ohne spezifische Organisation und eigenes Domänenwissen bleibt die Vision von der sicheren Betriebstechnologie vor allem eines – eine Vision.“
3. Hersteller-Lock-in gleich Security-Lock-out
Schon vor ihrer Vernetzung waren Industrieanlagen hoch spezialisiert, komplex im Aufbau und so teuer, dass jede Anpassung wohlüberlegt sein will. Soll dann eine ganze Produktionshalle voller Maschinen und Anlagen digital vernetzt werden, sind Betriebe oft nur mit der engen Unterstützung einzelner Hersteller oder externer Dienstleister im Stande, ihre Produktionsprozesse, Maschinen und Technologien angemessen zu vernetzen. Die Folge: ein starker heterogener und fragmentierter Herstellermarkt, in dem es Unternehmen schwer fällt, eigene Sicherheitsstandards übergreifend zu definieren und vor allem zu implementieren.
Auf Basis unserer täglichen Beratungs-Erfahrung im OT-Umfeld haben wir fünf Handlungsfelder identifiziert, die effektiv dabei helfen, die Industrial Security zu verbessern und Schäden zu vermeiden.
Damit die Sicherheitsfähigkeiten vernetzter Anlagen und Maschinen mit den Risiken wachsen, braucht es zunächst ein einheitliches Verständnis einer übergreifenden OT-Strategie. Denn häufig sind entsprechende Anlagen und Systeme über verschiedene Business Units verteilt, ohne dass es eine strategische Ausrichtung z.B. im Hinblick auf Technologiesprünge oder Dienstleister-Einbindung gibt. Häufig fehlt daher auch eine entsprechende Rolle, die solche Überlegungen und Entwicklungen übergreifend diskutiert, abstimmt und verantwortet: hier braucht es dann zumindest einen OT-Koordinator oder OT-Architekten. An dieser OT-Strategie muss sich dann die übergreifende Industrial-Security-Strategie ausrichten. Elementar ist dabei die integrierte Betrachtung von OT Security, IT Security, physischer Sicherheit, Business Continuity und der integrierten Product Security vom ersten Konzept bis zur Quality-of-Life-Pflege lange nach der Auslieferung.
Wie können im Sinne der OT-Security-Strategie dann zentrale und dezentrale Rollen und Verantwortlichkeiten effektiv zugeordnet werden? An welchen Prinzipien sollte sich die Ausgestaltung eines Target Operating Models dann ausrichten? Stabilität und ein hohes Sicherheitsniveaus entstehen, wenn das Target Operating Model nachvollziehbar hergeleitet und eng mit den betreffenden Stakeholdern abgestimmt wird.
Erfolgreiche Unternehmen stärken aktuell gezielt das Bewusstsein dafür, dass die Sicherheit vernetzter Industrieanlagen ein unmittelbarer Faktor für das Business Continuity Management ist und Mitarbeitende entsprechend weitergebildet werden müssen. Ein durch Cyberangriffe verursachter Ausfall von OT hat oft enorme wirtschaftliche Folgen bis hin zur Existenzbedrohung. Bei KRITIS-Unternehmen können sich diese Auswirkungen auch auf Gesellschaft und Umwelt ausbreiten. Die explizite Transparenz auf Leitungsebene über den jeweiligen Business Impact und integrierte Notfallpläne sind daher nicht nur regulatorisch ein Muss, sondern natürlich auch ureigenstes Interesse des Unternehmens.
Eine klare Strategie im Umgang mit OT-Dienstleistern und -Lieferanten und das entsprechende Vertragsmanagement hilft entscheidend dabei, ein adäquates Sicherheitsniveau partnerschaftlich und auf Augenhöhe umzusetzen.
Der zunehmenden Vernetzung kann und muss mit einer systematischen Beherrschung und Steuerung der zugrunde liegenden Architektur begegnet werden. Entkoppeln und segmentieren Betriebe ihre Anlagen, ist im Ernstfall nur noch ein Teil der Anlagen, nicht aber die gesamte OT betroffen. Ein weiteres Beispiel zur Risikoreduktion ist die Anwendung des Zero-Trust-Ansatzes für die OT, also einem IT-Sicherheitsmodell mit einer strikten Identitätsprüfung für alle Geräte, die auf Ressourcen in einem Netzwerk zugreifen möchten.
Fazit: Industrial Cyber Security ist häufig noch der Elefant in der Fabrikhalle. Und daher ist sie das Gebot der Stunde – bevor kritische Schäden entstehen.
Hier zeigen Security-Expert:innen anhand eines integrierten Ökosystems mit realen Komponenten – beginnend bei kritischen Infrastrukturen über Mobility und Produktion bis hin zu Gebäudemanagementsystemen – wo operative Technologien wie Industrieroboter, Gasdruckregelanlagen oder Steuerungssysteme (ICS, Industrial Control Systems) besonders angreifbar sind. Für eine realitätsgetreue Darstellung möglicher Sicherheitsvorfälle und ihrer Folgen sind die einzelnen Szenarien mit physischen PLC-, ICS- und SCADA-Netzwerken verbunden. So erleben Besucher:innen unmittelbar, was Cyberkriminelle anrichten können, wenn sie über die IT Zugriff auf OT-Systeme erlangen – und auch, wie sich diese Systeme schützen lassen.
Kontaktieren Sie Dr. Oliver Hanka und vereinbaren Sie eine Führung oder gestalten Sie gemeinsam eine Veranstaltung.
Dr. Alexander Köppen
Partner, Cyber Security & Privacy Strategy, Risk and Compliance, PwC Germany
Tel.: +49 1512 9608-114