Industrial Cyber Security: Der Elefant in der Fabrikhalle

Der Sicherheitsstatus quo

Informationssicherheit steht auf der Agenda von Führungskräften bereits weit oben. Ein Aspekt rückt dabei aber aktuell besonders in den Fokus: die Digitalisierung und zunehmende Vernetzung von kritischer Infrastruktur und Produktionsanlagen bei gleichzeitiger Zunahme von Cyberangriffen durch sich professionalisierende Hacker-Einheiten und State Actors führt zu einer so noch nicht da gewesenen Bedrohungslage. Erschwerend kommt hinzu, dass dabei neueste Technologien oft auf veraltete Legacy-Anlagen und -Systeme treffen, die nie für eine Vernetzung vorgesehen waren.

Denn während in den wegbereitenden Industrien, in denen Produkte selbst vernetzt sind oder Produktionsverfahren modernisiert und digitalisiert wurden, in der Regel auch Sicherheitsaspekte mitgedacht wurden, ist das bei historisch gewachsenen Produktionsverfahren auf Basis alter Strukturen oft nicht der Fall. Dies trifft besonders häufig auf kritische Infrastrukturen zu, beispielsweise bei der Nachrüstung von Fernwartungs- und Monitoringfunktionen für Anlagen und deren Steuerung.

Die größten Herausforderungen für Industrial Security

Wenn analoge Anlagen und Maschinen vernetzt und um digitale Fähigkeiten erweitert werden, laufen IT und OT zusammen. Die Risiken dieser Konvergenz sind aus mehreren Gründen nicht zu unterschätzen:

1. Industrieanlagen werden in Zeiten neuer geo-politischer Konflikte, wirtschaftlicher Spionage und Terrorismus auch abseits kritischer Infrastrukturen zu lohnenden Zielen mit hohem Erpressungspotenzial.
2. Vollständig zerstörte Produktions-Chargen, Roboter, die plötzlich Menschen verletzen, Stromausfall in ganzen Stadtteilen: Das Schadenspotenzial ist für OT-Attacken häufig ungemein größer als bei reinen IT-Incidents.
3. Oft fehlt es an ausgereiften technisch-organisatorischen Schutzmaßnahmen. Wenn eine nicht-verbundene Anlage plötzlich über das Internet erreichbar sein soll, werden dafür oft unsichere Workarounds genutzt. Unzureichend geschützter Fernzugriff oder laxe Regeln für den physischen Zutritt? Keine Seltenheit.
4. Vielerorts veraltete Betriebssysteme, die herstellerseitig nicht mehr unterstützt werden. Austausch oder Aktualisierungen bedeuten wiederum oft grundlegende Veränderung der Produktionsprozesse und damit einhergehende Investitionen in Millionenhöhe.

So sind viele Unternehmen beispielsweise aus dem KRITIS-Sektor sowie auch viele Mittelständler wirtschaftlich gezwungen, schnell zu digitalisieren, um nicht den Anschluss an die Kundenbedürfnisse und damit ihre Umsatzerwartungen zu verlieren. Auf der anderen Seite stehen sie vor dem Gesetzgeber in der Pflicht, einer verschärften Regulatorik Folge zu leisten (KRITIS, IT-SiG 2.0/3.0, NIS 2.0).

Die Schlussfolgerung: Eine übergreifende Industrial-Security-Strategie wird für Unternehmen zum Muss. Wie und in welchen Phasen soll sich die OT- Transformation und die damit einhergehende IT-OT-Konvergenz vollziehen? Wie kann diese im Hinblick auf physische Sicherheit und Cyber Security abgesichert erfolgen? Welche Sicherheitsfähigkeiten müssen aufgebaut werden? Wie können Hersteller, Zulieferer und Partner optimal eingebunden werden?

Fruchtbarer Boden für Zwischenfälle: Hohes Tempo, wenig Strategie

In der betrieblichen Realität ist OT Security oder überhaupt die Digitalisierung von Industrieanlagen allerdings oft noch ein Nischenthema. Über die Betriebssicherheit oder die betriebliche Aufrechterhaltung hinaus wird sie nur selten strategisch geplant oder systematisch angegangen. Dass Betriebe sich mit digitaler und vernetzter OT neben Vorteilen und Geschäftspotenzialen mitunter auch handfeste Gefahren in die Produktionshallen holen, fällt häufig unter den Tisch.

Dafür sind vor allem drei Punkte ursächlich:

1. Mangelnde strategische und operative Differenzierung von OT und IT Security
In unserem Beratungsalltag sehen wir es immer wieder: Betriebe sehen OT Security oft nicht als konstant zu lebenden und zu verbessernden Prozess mit ganz eigenen Anforderungen. Ohne spezifische Organisation und eigenes Domänenwissen bleibt die Vision von der sicheren Betriebstechnologie so vor allem eins – eine Vision. Zwar gibt es oft eine eigene Abteilung für IT Security, hier fehlt jedoch das spezifische Verständnis für die Anforderungen der OT. Umgekehrt sind die Personen, die die OT operativ betreiben, zu wenig mit der IT Security und den Herausforderungen der Digitalisierung vertraut. Hier braucht es ein striktes strategisches Alignment oder gar neue Betriebsmodelle, um die Anpassung an den technologischen Wandel nicht nur bei IT-Infrastruktur zentral zu verankern, sondern auch bei den Anlagen und Maschinen, die ganz handfest für „das Produkt“ benötigt werden.

2. Es fehlt nicht nur an Fachkräften, sondern sogar an Rollen
Wenn bereits überlastete Mitarbeitende aus der Anlagentechnik plötzlich auch noch für Cyber-Security-Aspekte zuständig sein sollen, schlägt der Fachkräftemangel gleich doppelt zu Buche. Wo heute schon fehlende Fachkräfte zum Problem werden, brauchen Unternehmen künftig eine Rollenstruktur, die den neuen Anforderungen der vernetzten Industrie auch Rechnung trägt. 

3. Hersteller-Lock-in gleich Security-Lock-out
Schon vor ihrer Vernetzung waren Industrieanlagen hoch spezialisiert, komplex im Aufbau und so teuer, dass jede Anpassung wohlüberlegt sein will. Soll dann eine ganze Produktionshalle voller Maschinen und Anlagen digital vernetzt werden, sind Betriebe oft nur mit der engen Unterstützung einzelner Hersteller oder externer Dienstleister im Stande, ihre Produktionsprozesse, Maschinen und Technologien angemessen zu vernetzen. Die Folge: ein starker heterogener und fragmentierter Herstellermarkt, in dem es Unternehmen schwer fällt, eigene Sicherheitsstandards übergreifend zu definieren und vor allem zu implementieren.