{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
OT (Operational Technology) und IoT (Internet of Things) sind oftmals noch blinde Flecke, die als Einfallstore für gezielte Cyberangriffe dienen können oder Schwachstellen für Schadsoftware darstellen. Das liegt vor allem daran, dass Unternehmen in Hinblick auf Cybersicherheit ihren Fokus bislang auf den Schutz der Informationstechnologie legen und weniger die Sicherheit von Steuerungssystemen oder Produkten priorisieren.
Das ist jedoch dringend notwendig, denn die zunehmende Vielfalt beim Einsatz von vernetzten Geräten vergrößert das Potenzial für Cyberangriffe. Insbesondere wenn Safety-kritische Systeme angegriffen werden, reichen die klassischen IT-Security-Maßnahmen nicht aus. In unserer CEO Survey geben 80 Prozent der CEOs in Deutschland an, dass sie ihre Investitionen in Cybersicherheit in den nächsten drei Jahren erhöhen wollen − OT und IoT Security sind dabei wichtige Wachstumsfelder.
IoT Security schützt Produkte, wie z.B. Steuergeräte, vor Hackerangriffen. Solche Geräte setzen sich aus einem Prozessor sowie einer Kommunikationsschnittstelle zusammen und agieren mit der Umwelt. Um diese Produkte entlang des gesamten Lebenszyklus zu schützen, muss auch die Produktionsanlage abgesichert sein. Darunter verstehen wir OT Security. Die gleichen Komponenten (PLC) werden auch in der kritischen Infrastruktur (bspw. Energieversorgung und im Mobilitäts-Bereich) eingesetzt. Deshalb haben OT und IoT Security auch eine besondere Relevanz. Denn bei einem Hackerangriff in diesem Umfeld geht es nicht nur um bspw. geschäftskritische Daten. Stattdessen kann ein Angriff auf Maschinen, Anlagen etc. schwerwiegende Folgen für die Sicherheit von Mensch und Umwelt haben.
Betreiber kritischer Infrastrukturen sind beispielsweise oftmals Betreiber von OT-Komponenten. So heißt es im Baustein IND.1 des IT-Grundschutzkompendiums des BSI u.a.: "In der Industrie, zu der unter anderem auch die Kritischen Infrastrukturen gehören, zählen dazu insbesondere industrielle Steuerungssysteme (Industrial Control Systems, ICS) und Automationslösungen, die dort Steuerungs- und Regelfunktionen aller Art übernehmen. Weitere Beispiele sind Laborgeräte, z. B. automatisierte Mikroskope oder Analysewerkzeuge, Logistiksysteme, wie Barcodescanner mit Kleinrechner, oder Gebäudeleittechnik."
In den Bereichen der Operational Security sowie der Sicherheit von IoT-Plattformen und Geräten wachsen die Sicherheitsanforderungen stetig an. Gleichzeitig sind Unternehmen mit verschiedenen Herausforderungen konfrontiert.
Das bestätigen auch unsere Kunden:
„Unsere Produkte sind verkauft und nicht mehr unter unserer Kontrolle.“
„Ich muss Safety-Funktionen so absichern, dass diese nicht manipuliert werden können.“
„Es gibt immer mehr regulatorische Anforderungen an meine Produkte und Anlagen, wie ISO 21434 oder IEC 62443.“
„Meine Produktionsanlagen sind 20-30 Jahre im Einsatz. Dabei muss ich sie heute schon vor zukünftigen Bedrohungen schützen.“
„Die Digitalisierung ermöglicht uns neue Produktlinien und Einnahmequelle. Diese muss ich gegen eine geänderte Bedrohungslage absichern.“
Finden Sie sich in diesen Aussagen wieder? Sind Ihre Produkte oder Steuereinheiten elektronisch vernetzt und kommunizieren diese mit einem Backend? Werden diese in Bereichen wie zum Beispiel Bahn, Marine, Automotive, Energieversorgung, Gebäudeautomatisierung und Produktion eingesetzt?
Aus diesen Herausforderungen haben wir die spezifischen Anforderungen für drei Anwendungsbereiche − IoT-Produkte, OT sowie IoT-Plattformen − identifiziert und einen ganzheitlichen Ansatz für die Integration von Sicherheit entwickelt.
Unter IoT/ Product Security fassen wir für uns die Integration von Security-Aktivitäten entlang des gesamten Produktlebenszyklus zusammen. Das impliziert sowohl eine sichere Entwicklung von IoT- und OT-Produkten sowie die Härtung von Legacy-Geräten als auch den Betrieb und Wartung von verkauften Produkten bis hin zu ihrer Außerdienststellung. Produkte sind hierbei beispielsweise Fahrzeuge, Schiffe, Eisenbahnen, Flugzeuge, Drohnen, Windräder sowie Industriemaschinen oder aber auch Komponenten der Gebäudeautomatisierung wie zum Beispiel Lüftungsanlagen und Aufzüge. Wir kümmern uns um die Absicherung von einzelnen Komponenten/Steuerungen bis hin zu kompletten Systemen. Dabei orientieren wir uns an den für den jeweiligen Bereich relevante Normen, zum Beispiel IEC 62443 aus dem Industriebereich oder ISO 21434 für Automotive.
Mithilfe von OT-Security-Leistungen sichern wir Produktionsanlagen ab. Das umfasst bei uns die Absicherung der Industriesteuerungen (PLCs) sowie darüber liegender Schichten − von der technischen Ebene bis in die Prozessebene. Dabei schaffen wir Synergien zwischen IEC 62443 (OT) und ISO 27001 (IT).
Die meisten IoT/OT-Komponenten sind heutzutage keine Stand-Alone Systeme, sondern untereinander vernetzt und mit einem Backend verbunden. Das Backend kann hierbei ein kleines zentrales Steuerungssystem bis hin zu einer kompletten Cloud-Infrastruktur sein. Beispiele hierfür sind Connected Car, Gleisbett-Steuerung im Bahnbereich oder ERP-Systeme im OT-Umfeld. Wir sichern die Übertragung der Daten und den Zugriff auf diese ab. Ein wichtiges Thema ist zudem die Mandantentrennung in der Backend-Infrastruktur. Auch hier orientieren wir uns an Standards wie ISO 27001, NIST und BSI.
Während der Entwicklung von (IoT-)Produkten, OT oder IoT-Plattformen unterstützen wir Sie bei der Integration von Security-Aktivitäten von der ersten Idee einer Architektur bis zur Außerdienststellung des Systems oder Produktes. Wir führen iterative Bedrohungs- und Risikoanalysen durch und definieren Security-Anforderungen/Maßnahmen für Ihr Produkt. Dabei erfahren Sie, welche Standards für Sie passen, wie z. B. ISO 21434 und IEC 62443. Bei Bedarf zeigen wir Ihnen auch die Wirksamkeit und Kompatibilität der vorgeschlagenen Maßnahmen, in dem wir einen Prototyp aufbauen, zum Beispiel um einen sicheren Bootvorgang (Secure Boot) zu implementieren.
Um das Sicherheitsniveau für Produkt/IoT, OT oder IoT-Plattformen zu bestimmen, führen wir Penetrationstests auf Hard- und Software-Ebene durch. Zunächst fokussieren wir uns auf die Hardware und bieten z. B. folgende Aktivitäten an: Wir führen detaillierte Analysen der Platine durch, identifizieren und nutzen Debug-Schnittstellen aus und können Daten aus dem Speicher auslesen. Diese gesammelten Informationen werden für die Softwaretests genutzt, genau wie für die Analyse der Firmware (Reverse Engineering). Um eine ganzheitliche Security-Betrachtung von Ihrem System zu erreichen, bieten wir auch Penetrationstests für die angebundene Backend/Cloud Infrastruktur an.
Gemäß unserem ganzheitlichen Ansatz sichern wir Ihre verwendeten Technologien in der öffentlichen, hybriden und privaten Cloud ab. Dazu nutzen wir unsere Security-Kenntnisse zu sämtlichen Regularien und Vorgehen, wie Härtung der Betriebssysteme, kryptographische Verifizierung von Images oder Security-Tests in der CI/CD Pipeline. Wir bauen für Sie eine sichere Infrastruktur auf und helfen Ihnen beim Betrieb.
Folgende Themen fokussieren wir: Sichere Authentifizierung, Bereitstellung (Deployment), Datenaustausch, Speicherung, Management der programmierbaren Schnittstellen (API) und Service Segmentierung für die Mandantentrennung. Insgesamt ist ein gesichertes Backend die Voraussetzung für die weiteren Aktivitäten, wie zum Beispiel ein sicheres Over-The-Air Update Verfahren (OTA).
Wir unterstützen Sie beim Aufbau und der Integration eines Cyber Security Management Systems (CSMS) und können dies mit Ihrem Information Security Management System (ISMS) verbinden. Das CSMS umfasst die Value Chain Ihrer Organisation und den Lebenszyklus Ihrer Produkte. Dazu erstellen wir übergeordnet die organisatorische Sicherheitsleitlinie, die ergänzenden Regeln und Policies. Ermöglicht wird das CSMS durch die unterstützenden Security-Prozesse, wie zum Beispiel für das Supplier Management und die Wartung. Wir unterstützen Sie auch bei der Umsetzung der Prozesse, im dem wir auch die Aussteuerung der Zulieferer und die Definition von Service Level Agreements übernehmen.
Nicht zu vergessen sind die kontinuierlichen Security-Aktivitäten, die für ein umfassendes Sicherheitsniveau sorgen. Abhängig von Produkt/ IoT, OT oder IoT Plattform werden die technischen Maßnahmen definiert, um die Erkennung, Bewertung und Behandlung der aktuellen Gefährdungen sicherzustellen.
Erleben Sie hautnah, wie sich Cyberangriffe auf OT- und IT-Infrastrukturen auswirken und lernen Sie effektive Abwehrstrategien kennen.
Mit unserem interdisziplinären Ansatz von zertifizierten KRITIS und OT-Expert:innen bieten wir den entscheidenden Mehrwert zur Absicherung kritischer Infrastrukturen. Unser KRITIS Center of Excellence kann somit neben der besonderen Prüfkompetenz für KRITIS Prüfungen gem. §8a der KRITIS VO auch das entscheidende technische Fachwissen anbieten, was es Betreibern kritischer Infrastrukturen ermöglicht, ihre Kritischen Anlagen und OT-Komponenten z. B. gemäß der Normen ISO 21434, und IEC 62443 abzusichern.
„Bislang ist die Absicherung von IoT- und OT-Systemen noch nicht auf demselben Niveau, wie es bei der klassischen IT der Fall ist. Dieses zu erreichen, beziehungsweise sogar noch zu übertreffen, muss jedoch das Ziel sein, um den sicheren Betrieb kritischer, uns umgebender IoT und OT Devices zu gewährleisten.“