Die Vorteile einer wachsenden Vernetzung sind offensichtlich. Doch durch die steigende Vernetzung und der damit folgenden Fusion von IT (Information Technology) und OT (Operational Technology) entstehen zunehmend erweiterte Angriffsoberflächen in Unternehmensnetzwerken.
Kriminellen gelingt es leider immer wieder, mögliche Schwachstellen im IIoT (Industrial Internet of Things) auszunutzen und damit Zugriff auf Unternehmen und Infrastrukturen zu erhalten. Somit stellt sich hier die Frage, wie großflächig Automatisierungsumfelder vernetzt und dabei gleichzeitig Industrieanlagen und KRITIS gegen Hackerangriffe oder Schad-Software gesichert werden können.
Denn viele Unternehmen sind sich der Gefahren durch Cyber-Kriminalität durchaus bewusst, unterschätzen jedoch manchmal die OT-Seite und damit kostspielige Konsequenzen für ihre Maschinen und Anlagen.
Cybersicherheits-Richtlinie “NIS 2”
Mit der neuen Cybersicherheits-Richtlinie “NIS 2” gelten ab Oktober 2024 zudem verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen bei IT und OT. Bei Nichterfüllung drohen dann auch noch empfindliche Strafen bis zu EUR 10 Mio. oder 2 % des Gesamtjahresumsatzes. Geschäftsführer und Vorstände haften persönlich für Verstöße, wenn essenzielle Risikoabwägungen vernachlässigt oder ignoriert wurden.
Ziel der neuen Cybersicherheits-Richtlinie ist es die Resilienz und die Reaktion auf Sicherheitsvorfälle weiter zu verbessern. Der bisherige Anwendungsbereich wird auf einen wesentlich größeren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung jener Sektoren zu gewährleisten, die für gesellschaftliche und wirtschaftliche Tätigkeiten von Bedeutung sind.
Von der Richtlinie betroffene Unternehmen müssen daher geeignete Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme treffen und unterliegen Meldepflichten.
Um den Schutz Ihrer Netzwerke und Anlagen sicherzustellen, sind die Betrachtung beider Welten, nämlich der IT und der OT sowie ein gesamtheitliches Sicherheitskonzept notwendig. Die von der IT definierten Maßnahmen müssen unter Berücksichtigung der unterschiedlichen Schutzziele durch zusätzliche OT-Security-Lösungen erweitert werden.
Dabei gilt es folgende Bedrohungen mit entsprechenden Maßnahmen zu adressieren:
- Übertragung von Störungen und Viren aus dem Office-Umfeld durch Netzwerksegmentierung
- Befall mit Schadsoftware durch Eingrenzung der Kommunikation
- Hacker Angriffe durch verschlüsselte Datenübertragung
- Infizierte Hardware durch absichern der Ports
- Unberechtigter Zugriff auf Anlagen durch sicherer Fernzugriff
- Mobile Endgeräte durch sichere WLAN-Passwortvergabe
Eine gute Absicherung gegen Cyber-Angriffe kann nur gelingen, wenn aufeinander abgestimmte technische und organisatorische Maßnahmen ineinandergreifen. Deshalb bieten unsere Experten mit sicheren Dienstleistungen, sicheren Lösungen und sicheren Produkten 360°-Security, die Ihnen den Schutz Ihrer Anlagen nach der Norm IEC 62443 vereinfacht und Sie (auch persönlich) von allen Seiten absichert.
Autor: Thomas Lutzky
