Cybersicherheit im OT ist ein Qualitätsmerkmal, sagt Experte Martin Fábry.
Mit der zunehmenden Digitalisierung, dem Aufkommen des IIoT und der Verknüpfung von IT- und OT-Systemen ist die Cybersicherheit der Industrietechnik die Domäne von heute. Täglich kommen neue Schwachstellen auf den Tisch, die spezielle Sicherheitsmaßnahmen und neue Lösungen erfordern. In diesem Interview mit Martin Fabry sprechen wir über die Risiken, Prioritäten und reale Vorfälle in der Branche.
Cybersecurity Operational Technology (OT) befasst sich mit dem Schutz operativer Technologiesysteme, die oft Teil kritischer Infrastrukturen sind. Im Gegensatz zu IT-Systemen, die in erster Linie Geschäftsprozesse und Daten verwalten, verwaltet die OT unternehmenskritische Vorgänge, deren Ausfall unmittelbare und schwerwiegende Folgen für das Funktionieren der Gesellschaft, kritischer Infrastrukturen und der Industrie haben kann.
Laut dem OT-Sicherheitsexperten Martin Fabry waren industrielle Kontrollsysteme (ICS) früher geschlossene, analoge Lösungen, die praktisch „unzerstörbar“ waren. Die Entwicklung hin zur Digitalisierung hat jedoch zu einem grundlegenden Durchbruch geführt. Alles, was heute einen Prozessor und eine Netzwerkverbindung enthält, kann zu einem potenziellen Angriffsziel werden. Darüber hinaus hat das Aufkommen von IIoT und intelligenten Sensoren die Angriffsfläche so stark vergrößert, dass der Schutz von ICS-Systemen zu einer Herausforderung geworden ist.
Lassen Sie uns zunächst definieren, welche Geräte in der OT-Infrastruktur am häufigsten als Einfallstor für Cyberangriffe dienen.
Die meisten Angriffe erfolgen über ungeschützte Remote-RDP/VNC-Verbindungen, die entweder von der IT-Abteilung schlecht gesichert sind oder, was noch schlimmer ist, ins Internet übertragen werden. Als nächstes werden speicherprogrammierbare Steuerungen (SPS) oder Remote-Terminal-Einheiten (RTUs) angegriffen, die Schlüsselkomponenten der industriellen Steuerung sind. Ein weiterer Risikopunkt ist eine nicht aktualisierte Engineering Station – das Gerät, von dem aus die SPS programmiert wird. Gelangt ein Angreifer in den Besitz dieser Station, kann er die Steuerungslogik des Systems manipulieren und beispielsweise die Produktion komplett stilllegen. Engineering-Stationen in der Produktion laufen häufig unter dem Windows-Betriebssystem und sind ein häufiges Ziel von Ransomware-Angriffen, die darauf abzielen, sie unzugänglich zu machen oder zu verschlüsseln. Zu den Risikofaktoren gehören veraltete Systeme, fehlende Sicherheits-Patches oder das Fehlen eines Virenschutzes.
Welches sind die häufigsten Arten von Cyberangriffen, denen industrielle Kontrollsysteme derzeit ausgesetzt sind?
Es gibt drei Hauptvektoren. Am häufigsten sind Ransomware-Angriffe von der IT auf die OT – hauptsächlich aufgrund der Tatsache, dass viele Betreiber über mit dem Internet verbundene Kontrollsysteme verfügen. Angreifer dringen über verwundbare Kommunikationskanäle oder ungeschützte Ports ein. Kontrollsysteme werden oft nicht aktualisiert und sind im Internet nicht sichtbar, was sie leicht angreifbar macht. Eine weitere häufige Bedrohung sind ungeschulte Benutzer, die ihre eigenen USB-Sticks mit in die Einrichtung bringen und diese mit dem Netzwerk verbinden. Zulieferer sind ebenfalls gefährdet. Sie bringen ihre eigenen Laptops zur Wartung oder Integration mit, aber das sind oft unsichere Geräte, die bösartigen Code in das System einschleusen können.
Die Sicherung eines ICS ist wesentlich komplexer als die Sicherung einer herkömmlichen IT-Umgebung. Warum ist das so?
Denn ICS hat ganz andere Prioritäten als IT.
Bei industriellen Systemen steht die Verfügbarkeit an erster Stelle, dann die Integrität, dann die Zuverlässigkeit und schließlich die Vertraulichkeit. In der IT ist es genau das Gegenteil. In einer OT-Umgebung ist es entscheidend, dass das System kontinuierlich und stabil läuft, denn wenn es ausfällt, kann das schwerwiegende Folgen haben. Nicht nur wirtschaftlich, sondern auch für die Gesundheit der Menschen. In der Fertigung arbeiten wir oft mit gefährlichen Chemikalien, Robotern und in Umgebungen mit hoher Explosionsgefahr, wie z.B. in einer Ölraffinerie. Hier geht es nicht um die Verwaltung eines Büronetzwerks, sondern um Sicherheit und Leben.
Lassen Sie uns die OT auch von der anderen Seite betrachten. Was sind die Grundpfeiler des Schutzes von ICS-Systemen und was sollte die Basis einer Sicherheitsstrategie in einer OT-Umgebung sein?
Das Fundament basiert immer auf drei Säulen: Menschen, Prozesse und Technologie. Wenn das Management keine Informationen über Risiken hat, lebt es in der Vorstellung, dass alles funktioniert. Oftmals hat es niemanden in der Produktion, der ihm realistisch über Bedrohungen berichten kann. Infolgedessen werden die notwendigen Maßnahmen gar nicht erst ergriffen. Auf der anderen Seite gibt es jedoch bereits Druck von Seiten der Gesetzgebung – das geänderte Cybersicherheitsgesetz mit der umgesetzten NIS2-Richtlinie zwingt die gesetzlichen Stellen zum Handeln. Ob es ihnen gefällt oder nicht, auch KMUs werden sich mit Cybersicherheit befassen müssen, da sie regelmäßigen Audits unterzogen werden.
Gibt es ein bewährtes Verfahren, das Sie Ihren Kunden beim Aufbau einer Sicherheitsstrategie empfehlen?
In der Praxis empfehlen wir, sich auf fünf kritische Maßnahmen zu konzentrieren. Die erste ist der sichere Zugang zur IT- und OT-Umgebung, d.h. kontrollierte Konnektivität und die Eliminierung direkter Eingaben aus dem Internet in das Kontrollsystem. Die zweite Säule ist eine sichere Architektur: Netzwerksegmentierung, Firewall zwischen IT und OT, eingesetzte IDS/IPS-Systeme. Die dritte Säule ist die Überwachung – ohne sie wissen Sie nicht, was vor sich geht. Die OT-Welt erfordert spezielle Tools zur Erkennung von Bedrohungen.
Die vierte Säule sind die Menschen. In der Fertigung mangelt es oft an Sicherheitsexperten, und selbst wenn es welche gibt, wollen die Unternehmen sie nicht bezahlen. Cybersicherheit wird immer noch als Kostenfaktor behandelt, nicht als Teil der Qualität. Und der fünfte Punkt ist, dass Sie einen Plan für die Reaktion auf einen Vorfall und einen Plan zur Aufrechterhaltung des Geschäftsbetriebs haben sollten, d.h. Sie müssen wissen, was zu tun ist, wenn ein Angriff erfolgt, und an wen Sie sich wenden können. Es ist gut, einen externen Partner zu haben, der bei der Wiederherstellung des Betriebs hilft. Cybersicherheit ist heute eines der Attribute der Produktionsqualität, denn ohne sie haben Sie nicht alle Maschinen und Mitarbeiter, die Sie brauchen.
Was ist, wenn ich der Geschäftsführer eines Unternehmens bin und mich entscheide, einen externen Anbieter von Cybersicherheit zu beauftragen? Woran erkenne ich, dass es sich um einen zuverlässigen Partner handelt?
Sie müssen auf jeden Fall einen gründlichen Hintergrundcheck durchführen. Fragen Sie nach Referenzen, idealerweise aus OT-Projekten der letzten fünf Jahre. Erkundigen Sie sich, mit welchen Technologien er arbeitet, welche Anbieter er hat und vor allem, ob er zertifizierte Mitarbeiter hat. Es sollte selbstverständlich sein, dass er die professionellen Zertifizierungen seiner Mitarbeiter nachweisen kann. In der Slowakei werden Entscheidungen oft über den Preis getroffen, aber hier ist es wichtig, auf Qualität, Ruf und echte Erfahrung zu achten.
Haben Sie Situationen erlebt, in denen die Umsetzung von Sicherheitsmaßnahmen dazu beigetragen hat, einen Angriff zu verhindern oder zumindest dessen Auswirkungen erheblich zu mildern?
Tatsächlich funktioniert es in der Praxis genau umgekehrt. Unternehmen beginnen erst dann, Maßnahmen zur Minimierung der Auswirkungen eines Vorfalls zu ergreifen, wenn dieser eintritt. Meistens merkt die Behörde erst, nachdem der Angreifer ein Lösegeld von 100.000 € in Bitcoins gefordert hat, dass sie ihre Ressourcen besser in Maßnahmen und Mitarbeiter hätte investieren können.
Andererseits gibt es auch Unternehmen, die präventiv in die Sicherheit investieren und die Cyber-Hygiene in OT unter Kontrolle haben. Mit Überwachungstools können sie zum Beispiel einen infizierten Lieferanten-Laptop identifizieren und isolieren, bevor er ein Problem verursacht. Es kommt zu einem Vorfall, aber dank der Vorbereitung breitet er sich nicht weiter aus.
Cloud und KI halten auch in der OT-Welt Einzug. Was bedeutet das für Unternehmen und Sicherheit?
In der OT-Welt werden Fertigungssysteme zunehmend mit der Cloud verbunden – für Analysen, KI-Datenverarbeitung, vorausschauende Wartung und mehr. Ein Trend, der sich nur noch verstärken wird. So wie die Banken einst zögerten, in die Cloud zu wechseln, die inzwischen zum Standard geworden ist, wird dies auch in der Industrie der Fall sein, und OT-Systeme werden zunehmend in Cloud-Umgebungen integriert werden.
Deshalb ist es äußerst wichtig, dass sich diese Veränderungen auch im Bereich der Cybersicherheit niederschlagen. Verbindungen zur Cloud müssen mit äußerster Sorgfalt hergestellt werden, um sicherzustellen, dass sensible Produktionssysteme nicht gefährdet werden.
Spezialisten für die Sicherheit im OP werden immer seltener. Glauben Sie, dass künstliche Intelligenz in Zukunft eine größere Rolle bei der Ausbildung dieser Fachkräfte spielen könnte?
Das tut sie sicherlich. Im Bereich der OT-Sicherheit sehe ich jedoch einen größeren Nutzen von KI, insbesondere bei der Erkennung von Bedrohungen – als Teil von Intrusion Detection Systemen. Wir sollten jedoch nicht erwarten, dass KI den Experten ersetzt, der die Sicherheit für den gesamten Betrieb entwickelt. Die Singularität ist in der OT noch weit entfernt, zumindest für die nächsten 10 Jahre.
Wo sehen Sie die Hauptgründe für den Mangel an Cybersicherheitsmanagern? Geht es um das geringe Interesse junger Menschen, eine zu geringe Ausbildung oder schlechte Arbeitsbedingungen und Gehälter?
Viele sind überarbeitet, unterbezahlt, wechseln häufig den Arbeitsplatz und gehen für bessere Angebote. Es gibt nur wenige von ihnen auf dem Markt und viele Unternehmen können sie sich nicht einmal leisten. Die zitierten Zahlen, wonach es in der Slowakei an Tausenden von Cybersicherheitsmanagern mangelt, gehen jedoch an der Realität vorbei. Vielleicht suchen ein oder zwei Unternehmen auf Jobportalen nach ihnen. Die wirkliche Lösung ist Outsourcing – ein solcher Manager für mehrere Unternehmen, sonst ist es unmöglich, die Kapazitäten zu verwalten. Und auch die Ausbildung ist ein Problem. Nur wenige Studenten bewerben sich für ein technisches Studium, zwei Drittel von ihnen beenden nicht einmal ihr Studium. Wenn der Staat nicht anfängt, die technische Ausbildung und die Universitäten systematisch zu unterstützen, werden wir ohne Fachkräfte bleiben.
Wenn wir die CTU oder die Masaryk-Universität in Brünn mit der Slowakei vergleichen, wenn wir uns anschauen, welche Kapazitäten von dort kommen und wie viele Start-ups es in der Tschechischen Republik gibt, dann sehen wir, dass wir in Zukunft ein Problem haben werden. Ich wiederhole: Solange der Staat nicht in die Bildung investiert und die Studenten an den Universitäten nicht unterstützt, wird die Situation alarmierend sein.
