Wie Unternehmen ihre Industrieanlagen besser schützen können
Die Gewährleistung der Sicherheit von Betriebssystemen und Anwendungen ist für Unternehmen aller Branchen entscheidend für den wirtschaftlichen Erfolg. Im produzierenden Gewerbe sind Unternehmen heute oft mit einer eigenen Fertigung ausgestattet, die mit ihrer internen IT-Landschaft verbunden ist. Viele Unternehmer sind jedoch nicht ausreichend über die Gefahren für die OT-Sicherheit - die Sicherheit von Produktionsanlagen - informiert. Welche Aspekte hier besonders wichtig sind.
Während in den Medien in den letzten Monaten vermehrt über Trojaner, Phishing-Mails und Datenlecks berichtet wurde und die Sensibilisierung in puncto IT-Security somit gestiegen ist, scheint die Gefahr von vernetzten Fertigungsanlagen von vielen Unternehmen übersehen zu werden. Der Cybersecurity Benchmarkreport 2023 zeigt, dass die Awareness der Mitarbeiter im Hinblick auf OT-Security besonders gering ist. Die intelligente Fertigung und das IoT bieten eine neue Angriffsfläche für Hacker, die Unternehmen oft nicht ausreichend absichern. Besonders problematisch wird es, wenn die Belegschaft nicht um dieses Sicherheitsrisiko weiß.
Im Gegensatz zur IT-Sicherheit mangelt es bislang an spezifischen Schulungsangeboten für die OT-Security. Unternehmen müssen daher aktiv auf das Problemfeld aufmerksam machen, um den Stillstand der Fertigung aufgrund eines Hackerangriffs zu vermeiden, der einen erheblichen finanziellen Schaden anrichten und den Erfolg des Unternehmens gefährden kann.
Ein erster Schritt sollte darin bestehen, die einzelnen Fertigungsschritte sowie alle Datenpunkte so zu präsentieren, dass die Belegschaft sie versteht. Da die Operations Technology eines produzierenden Betriebs im Vergleich zur reinen Büro-IT deutlich komplexer aufgebaut ist, ist es vor allem wichtig, jedem Mitarbeiter bewusst zu machen, welche Stellen der Produktion besonders kritisch sind und somit bevorzugte Ziele von Angriffen darstellen würden.
Risiken durch Dritte: Transparenz schafft Sicherheit
Ein weiterer Aspekt, der im Zusammenhang mit OT-Security von Unternehmen berücksichtigt werden sollte, ist die Einkaufsphase von Fertigungsmaschinen. Hier müssen Entscheider ein Umdenken vornehmen und einen größeren Fokus auf Cybersecurity-Aspekte legen. Das beinhaltet beispielsweise den Umgang mit Schwachstellenmanagement, Fernwartungskonzepten und das Lifecycle-Management der Betriebssysteme.
In diesem Zusammenhang ist es wichtig, dass Unternehmen in den konstruktiven Austausch mit Zulieferern und Herstellern von Maschinen und Anlagen treten. Diese können als starker Partner an der Seite des produzierenden Gewerbes agieren und dabei helfen, eine feinmaschige und übersichtliche Struktur in die Industrieanlagen zu bringen. Dadurch schaffen die Entscheider in den Unternehmen Transparenz über ihre Fertigungsstraßen und schaffen so ein sichereres Umfeld.
Durch eine stärkere Zusammenarbeit zwischen Unternehmen und Maschinenherstellern kann die IT-Sicherheit in der Produktion nachhaltig verbessert werden. Eine gezielte Analyse der Risiken und eine regelmäßige Aktualisierung der Sicherheitsvorkehrungen können dabei helfen, mögliche Angriffspunkte zu minimieren. Eine gemeinsame Vorgehensweise kann also dazu beitragen, die Cybersecurity in der OT-Landschaft zu erhöhen und somit einen wichtigen Beitrag zum Schutz der Wertschöpfungskette zu leisten.
Mit verbessertem Schwachstellenmanagement schneller reagieren
Ebenfalls ein wichtiger Aspekt für Unternehmen, die ihre Operations Technology (OT) sicherer machen möchten, ist die Identifikation kritischer Anlagenbereiche und Schwachstellen im System. Aufgrund der Komplexität der Produktion ist es oft schwierig, schnell auf Probleme zu reagieren und ein gutes Schwachstellenmanagement zu gewährleisten. Hier kann eine transparente Struktur der Anlagensysteme Abhilfe schaffen, indem Unternehmen festlegen, welche Maschinen für die Fortsetzung der Produktion unverzichtbar sind und gegebenenfalls manuelle Workarounds implementieren, um diese Bereiche bei einem Ausfall weiter betreiben zu können.
Eine klare Struktur ermöglicht auch die Identifizierung von bislang unentdeckten Schwachstellen in der Fertigung. Unternehmen sollten diese Schwachstellen genau analysieren und Lösungen für ihre Behebung erarbeiten. Patch-Zyklen müssen von der internen IT-Abteilung definiert werden, wobei bei Maschinenupdates besondere Vorsicht geboten ist, da sie nicht einfach während der Arbeitszeit durchgeführt werden können. Hier bieten sich Schichtwechsel an, um die Auswirkungen auf die Produktion zu minimieren.
Es ist nicht überraschend, dass die OT-Sicherheit immer noch hinter der IT-Security-Strategie zurückbleibt. Allerdings ist es in der heutigen vernetzten Welt umso wichtiger, dass Unternehmen ihre Industrieanlagen vor Cyberangriffen schützen. Es ist daher unerlässlich, dass Fertigungsbetriebe eine adäquate Sicherheitsstrategie für ihre Operations Technology auf die Agenda setzen, um sicherzustellen, dass sie in der zunehmend digitalisierten Welt mithalten können. Es müssen erste Maßnahmen implementiert, regelmäßig geprüft und bei Bedarf aktualisiert werden, um Industrieanlagen vor Cyberangriffen zu schützen.
Simeon Mussler, COO bei Bosch CyberCompare