18.07.2024 - PR Cyber Security: Was jetzt für die Prozessindustrie wichtig ist
Je weiter die Digitalisierung und Vernetzung in der Prozessindustrie voranschreiten, desto drängender wird das Thema Cybersicherheit in den Unternehmen. Denn die Bedrohungen werden nicht nur für große Unternehmen und einzelne Branchen immer massiver, sondern auch für ganze Lieferketten.
Laut Statista zielten im Jahr 2023 weltweit 25,7 Prozent aller Cyberattacken auf die Fertigungsindustrie. Wie stark die Cyberattacken in Deutschland zunehmen, belegen die Zahlen des Digitalverbands Bitcom. Danach stieg bei Angriffen auf deutsche Unternehmen der Anteil der Cyberattacken auf 72 % (2022: 63 %). Sie führten zu einem Gesamtschaden in Höhe von 148,2 Mrd. Euro.
Mit der neuen NIS2-Richtlinie, die bis Oktober 2024 in allen europäischen Staaten umgesetzt werden muss, hat die EU auf die wachsende Bedrohung reagiert und erhöht die Cyber-Security-Vorgaben. Zugleich wird der Kreis der von der Richtlinie betroffenen Unternehmen und Branchen deutlich vergrößert, weit über die Organisationen und Unternehmen hinaus, die zu den kritischen Infrastrukturen (KRITIS) zählen. Es kann als sicher gelten, dass NIS2 – in Deutschland KRITIS-Dachgesetz – nicht die letzte Verschärfung der Cyber-Sicherheitsregulierungen bleiben wird.
IT/OT-Sicherheit in Zeiten von Industrie 4.0
Industrielle Systeme blieben lange Zeit von Cyberangriffen verschont, vor allem wegen ihrer Isolierung von anderen Netzwerken und dem proprietären Charakter der eingesetzten Hardwareplattformen. Mit Industrie 4.0 und Technologien wie IIoT (Industrial Internet of Things) haben sich für die Prozess- und Fertigungsindustrie neue Möglichkeiten eröffnet, wie Predictive Maintenance, Effizienzsteigerung und Automatisierung, aber auch für neue Engineering-Ansätze, wie zum Beispiel Lean und Digital Engineering. Zugleich führt die Vernetzung von Geräten und Systemen zu wachsender Datendurchlässigkeit zwischen Industriesystemen und Internet – und geht mit zunehmenden Sicherheitsbedrohungen einher.
In der Fertigungsindustrie erweisen sich besonders alte Systeme als Schwachstellen für Cyberbedrohungen, denn sie sind häufig mit unzureichenden Sicherheitsmaßnahmen ausgestattet. Da Maschinen in der Regel eine sehr lange Laufzeit haben, laufen viele noch auf alten Systemen. Bleiben sie ungeschützt, können in Verbindung mit innovativen IoT-Technologien große Sicherheitslücken entstehen. Auch der Faktor Mensch bzw. unbeabsichtigte Sicherheitsverstöße spielen eine große Rolle, wenn es zu Cyberattacken kommt.
Die Risiken von Cyberangriffen
Attacken auf Unternehmen richten sich auf unterschiedliche Ziele.
Klassische IT-Angriffe richten sich auf:
• Entwenden von Geschäftsinformationen, wie Konstruktionszeichnungen, Forschungsergebnisse oder Kundenlisten,
• Identitätsdiebstahl durch Phishing-Angriffe, z.B. auf Kunden- oder Mitarbeiterdaten,
• Verschlüsselung, Zugriffsverlust auf Daten und Erpressung durch Malware und Ransomware.
Angriffe auf Operational Technologies (OT) zielen demgegenüber vor allem auf Steuerungssysteme oder Sensoren. Sie können Produktionsausfälle und sogar zerstörte Technik nach sich ziehen. Die Folgen von IT/OT-Attacken für betroffene Unternehmen sind vielfältig: Neben Datenverlust, Ausfallzeiten und finanziellen Schäden kann es zu auch Haftungsansprüchen, regulatorischen und rechtlichen Konsequenzen sowie Reputationsverlust kommen.
Hinzu kommt, dass in der IT etablierte Sicherheitsmethoden für einen Schutz, der auch die Industrieumgebungen umfasst, bei weitem nicht ausreichen, da sie sich oft nicht direkt auf Produktionssysteme der Prozess- und Fertigungsindustrie übertragen lassen. Erforderlich sind adäquate und dedizierte Methoden für OT. Dies stellt die Prozess- und Fertigungsindustrie vor wachsende Herausforderungen in Sachen IT-Sicherheit.
Anforderungen an einen umfassenden Schutz
Was ist also notwendig, um ein Unternehmen und seine Produktionsanlagen ausreichend und dauerhaft vor Cyberangriffen zu schützen? Über die Abwehr von externen Einflüssen beziehungsweise Hackerangriffen hinaus umfasst die IT-Sicherheit noch weitere, auf die unternehmensinterne Sicherheit zielende Maßnahmen, die auf drei Grundwerten basieren:
• Datensicherheit: Backup-Mechanismen, manipulationsgeschützte Datenablage, Validitätsprüfung von Daten
• Datenintegrität: Schutz vor unbefugtem Gebrauch und Informationsgewinnung mittels Rechten, Gruppen, Verschlüsselung und Zutrittskontrollen
• Verfügbarkeit: Gesicherter Zugriff auf Dienste, Dateien und Informationen zu jeder Zeit
Eine wichtige Rolle spielt stets auch der menschliche Faktor – Stichwort Social-Engineering-Angriffe. Diese verleiten Menschen zum Beispiel dazu, Informationen weiterzugeben oder Software hochzuladen. Für eine ausreichend sichere IT-Infrastruktur gemäß den Zero-Trust-Prinzipien sollten Unternehmen nicht darauf vertrauen, dass sich Benutzer oder Geräte innerhalb ihres Netzwerks bereits als vertrauenswürdig erwiesen haben.
Vielmehr sollten regelmäßig bzw. automatisch
• Benutzern nur so viele Rechte vergeben werden, wie für ein ordentliches Arbeiten maximal nötig ist,
• alle Benutzer, Systeme und Geräte vor und hinter der Firewall kontrolliert, d.h. jeder Zugriff individuell authentifiziert werden,
• Mechanismen sämtliche Zugriffe auf Daten und Systeme kontrollieren, wie Authentifizierung und Zugriffsrechte,
• Projekte modularisiert werden,
• die Belegschaft hinsichtlich der Gefahren des Social Engineering geschult und sensibilisiert werden.
Eine zukunftsoffene IT-Security
Schon beim Aufbau von Anlagen und der Auswahl der entsprechenden Industriesoftware sollte ein solches Sicherheitskonzept mitgeplant werden, inklusive Security Operations Center (SOC), zusätzlichen Plug-ins für Schnittstellen und bereits integrierten Sicherheitsfunktionalitäten für die IT. Es bildet die Grundlage für ausreichende Flexibilität, Skalierbarkeit und Bedienbarkeit, um mit dem Unternehmen zu wachsen und veränderte Anforderungen schnell umsetzen zu können.
Anders als bei maßgeschneiderten Sicherheitslösungen können auf einer entsprechend konzipierten Plattform Zugriffskontrollen, Überwachungssysteme und Compliance-Anforderungen, wie zum Beispiel für neue Sicherheitsrichtlinien, jederzeit implementiert werden: durch einfaches Anpassen von Parametern oder Konfigurationen. Parametrieren ist oft schneller als Programmieren und erfordert weniger technisches Fachwissen.
COPA-DATA bietet mit der Automatisierungssoftware und Engineering-Plattform zenon eine ultimative Gesamtlösung für die digitale Transformation. Mit integrierten Sicherheitsoptionen bietet sie umfassenden Schutz vor ungewolltem Datenverlust und unautorisierten Zugriffen. Darüber hinaus kann die Softwareplattform ohne große Aufwände in jede IT/OT-Sicherheitsarchitektur eingebunden werden.