Schutz und Sicherheit ist nicht nur im Hinblick auf das Internet relevant, sondern ganzheitlich für Information- und auch Operational Technology. Trotzdem sind aktuell nur zwei Prozent der deutschen Unternehmen bestmöglich auf Angriffe vorbereitet. Warum IT-Sicherheit bei Entscheidern ganz oben auf der Agenda stehen sollte und weshalb auch der Schutz von Operational Technology immer mehr in den Fokus rückt.
Der technologische Fortschritt ist rasant und hat unsere Arbeitswelt schon mehrfach revolutioniert. Eigentlich analog funktionierende Geräte wie Telefonanlagen, WLAN-Lautsprecher, Medizinprodukte oder Schließsysteme sind inzwischen über Netzwerkschnittstellen internetfähig. Der Begriff Internet of Things (IoT) beschreibt diese Entwicklung.
Unsere Netzwerke sind also immer häufiger mit Geräten und Systemen verbunden, die auf den ersten Blick nicht als „Computer“ im klassischen Sinne erkannt werden. Deshalb lohnt sich für Verantwortliche von Informationssicherheit ein ganzheitlicher Blick auf Information- und Operational Technology.
Begriffsdefinition
Informationssicherheit (InfoSec)
Sie umfasst in Unternehmen übergeordnet die Sicherheit elektronisch gespeicherter und physischer, nicht elektronisch gespeicherter Informationen.
Informationstechnologie (IT)
Darunter fallen IT-Systemen, von einzelnen Dateien über Computer, Netzwerke und Cloud-Dienste bis hin zu ganzen Rechenzentren. Hier geht es unter anderem um Zugriffskontrollen, Kryptographie, Firewalls, Virenscanner und vieles mehr.
Operational Technologie (OT)
Darunter versteht man Hardware und Software, die industrielle Anlagen, Prozesse und physische Geräte überwacht und sichert. Diese Systeme optimieren die Leistung von Maschinen und Anlagen unter anderem in Fertigung, Energieversorgung, Transport oder Gesundheitswesen.
EOL = End-of-Life bezeichnet Geräte oder Software, die vom Anbieter nicht mehr aktualisiert wird.
Zero Day Exploits = Fehler in Soft- oder Hardware die den Programmentwicklern selbst nicht bekannt sind und die bereits aktiv ausgenutzt werden, ohne dass es einen “Patch” dafür gibt.
Traditionell gesehen beschreiben IT und OT verschiedene Welten, die aber in den letzten Jahren immer mehr zusammenwachsen. Moderne Gebäudesteuerung wie Wärmepumpen und Solaranlagen, aber auch Telefonanlagen sind ohne Computertechnik nicht mehr denkbar. Neben Telefonanlagen basieren Gebäudeautomatisierungs-, Transport-, Wasserversorgungs-, physische Zugangskontroll- oder Überwachungs- und Mess-Systeme für die physische Umgebung immer häufiger auf IT-Komponenten oder verfügen über Schnittstellen in IT-Netzwerke.
Dies hat Auswirkungen auf die Sicherheit, besonders in Branchen, die der kritischen Infrastruktur (KRITIS) zuzuordnen sind. Der Gesetzgeber wird mit der Umsetzung der europäischen `Network und Information Security Directive 2` (NIS-2) in nationales Recht (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) die Weichen für einen verbindlichen Rahmen stellen, um die Informationssicherheit von KRITIS und weiteren Sektoren [MD1] ignifikant zu steigern. In Deutschland sind Schätzungen zufolge bis zu 40.000 Unternehmen direkt oder indirekt von NIS-2 betroffen. Durch die Konvergenz von IT und OT, die früher von anderen Systemen isoliert war, entstehen weitere Herausforderungen für die Sicherheit, einschließlich der Risiken durch Cyberangriffe.
Fragen, wie ‚Wer kümmert sich um diese Systeme? Sind Verantwortlichkeiten klar festgelegt? Können Gefahren oder Sicherheitsvorfälle von diesen Systemen ausgehen oder könnten diese Systeme Ziel von Cyberattacken werden?‘ sollten sich Sicherheitsverantwortliche besser gestern als heute gestellt haben. Denn viele OT-Systeme verwenden veraltete Technologie, die anfällig für Angriffe ist. Darüber hinaus hat die IT gegenüber OT einen jahrzehntelangen Vorsprung, wenn es um Cyberangriffe und die Verteidigung dagegen geht.
Welche Risiken bestehen für IT und wie greifen Bedrohungen auf OT über?
In der Welt der IT-Sicherheit sehen wir eine Vielzahl an Angriffsszenarien, die sich stark in der Komplexität und in den Zielen unterscheiden können. Eines der häufigsten und zugleich gefährlichsten Angriffsarten ist das Phishing, bei dem Angreifende versuchen, Mitarbeitenden durch gefälschte E-Mails, SMS, QR-Codes, Instant-Messages oder Websites vertrauliche Informationen wie Passwörter zu entlocken.
Eine weitere gängige Angriffsform ist die Nutzung von Malware, wie z. B. Ransomware. Diese Schadsoftware kann auf unterschiedlichste Art in ein System gelangen und dort z. B. ganze Betriebssysteme sperren. Eine Verbreitung mittels E-Mails ist der einfachste Weg, wohingegen sogenannte Supply-Chain-Angriffe, bei denen Lieferanten und Drittanbieter einer Organisation angegriffen werden, deutlich schwerer umzusetzen sind, dennoch aber zunehmen. Dabei kann schlecht geschützte OT zum Einfallstor für die IT werden, wenn beispielsweise Netzwerke nicht segmentiert sind.
Die Bedrohung durch Insider-Angriffe ist ebenfalls nicht zu unterschätzen. Dabei nutzen Mitarbeitende oder ehemalige Angestellte ihre Zugangsrechte, um Schaden anzurichten oder sensible Informationen zu entwenden. Solche Angriffe sind besonders heimtückisch, da sie von innen kommen und oft schwer zu erkennen sind.
Lateral Movement – wie Angreifer vorgehen
Die Ziele der Cyberkriminellen sind in der Regel der Abfluss sensibler Daten, Firmennetzwerke zu infiltrieren, lahmzulegen und Geld zu erpressen, oder Identitätsklau. Hacker nutzen die Unachtsamkeit oder Unwissenheit der Nutzenden, dringen durch Schlupflöcher in veralteter Hard- & Software (End-of-Life) ein, identifizieren Schwachstellen in aktueller Software oder nutzen Zero Day Exploits und spähen gezielt Personen aus.
Ist Ihnen bewusst, welche Daten Ihrer Organisation einsehbar sind? Mehr zu diesem Thema finden Sie hier.
Cyberkriminelle sind dabei in der Regel keine nerdige Einzelpersonen, sondern hochprofessionelle Täter(-gruppen). Sie verfügen über enorme Ressourcen, immer neue Angriffsstrategien zu entwickeln und diese auszuführen. Der Branchenverband Bitkom e.V. errechnete für das vergangene Jahr Schäden in Höhe von insgesamt rund 148 Milliarden Euro durch Datendiebstahl, Industriespionage oder Sabotage.
Vor dem Angriff erfolgt in der Regel eine strukturierte Informationserhebung: über die Organisation, die Zielperson, das Netzwerk u.v.m. Es folgt die technische Planung. Welche Infrastruktur wird benötigt, welche Accounts oder Netzwerke müssen erstellt werden? Erst dann startet der Angriff mit Exfiltration oder Zerstörung. Wenn sich Angreifende unbemerkt innerhalb des Netzwerks bewegen und (vernetzte) Systeme und Daten angreifen können, spricht man von lateralen Bewegungen. Das bedeutet, dass ein Zugriff auf ein IT-System auch den Zugang zu kritischen OT-Systemen ermöglichen kann - mit potenziell katastrophale Folgen für industrielle Prozesse.
Alle Branchen betroffen – welche Schutzmaßnahmen gibt es?
Systeme im Umfeld von OT sind nicht per se unsicher. Sind sie aber von außen erreichbar und nicht von anderen IT-Systemen ausreichend abgeschottet, können [MD1] sie durch Konfigurationslücken oder veraltete Software zu einem Einfallstor werden. Auch Supply-Chain-Angriffe bedrohen OT-Systeme – vor dieser Art der Angriffe fürchten sich einer Studie[2] zufolge 53 Prozent der OT-Verantwortlichen (noch vor Phishing und Malware).
So konnten in der Vergangenheit beispielsweise WLAN-Kameras von außen gekapert und somit Zugriff auf das gesamte IT-Netzwerk erlangt werden. Systeme im Umfeld von OT sollten bei der Betrachtung von IT-Risiken in Absicherungskonzepte mit einbezogen werden. Dazu gehören im weiteren Sinne auch Drucker, Kopierer, Zutrittskontrolle, Lichtsteuerung und viele andere Geräte mit digitalen Schnittstellen.
Was leistet ein Informationssicherheitsbeauftragter?
Unternehmen sind gut beraten, die Bedrohungen durch Cybercrime im Hinblick auf ihre Daten, Prozesse und Betriebsabläufe im Blick zu haben und Stellen zu implementieren, die die Informationssicherheit erhöhen. Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik bietet Methoden und Anleitungen dazu. Zwar fokussiert sich der IT-Grundschutz primär auf IT, aber er behandelt auch Aspekte der industriellen IT, wie beispielsweise Prozessleit- und Automatisierungstechnik (IND.1), Sensoren und Aktoren (IND.2.3) oder Fernwartung im industriellen Umfeld (IND.3.2).
In der Informationssicherheit geht es dabei um die drei Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität. Die Hauptaufgabe eines Informationssicherheitsbeauftragten (ISB) besteht darin, sicherzustellen, dass die Schutzziele bestmöglich gewährleistet werden. Der ISB kann ein interner Mitarbeitender eines Unternehmens sein, aber auch durch externe Dienstleister gestellt werden.
Die IT-Infrastruktur hat bei der Umsetzung wirksamer Cybersicherheitsmaßnahmen einen enormen Vorsprung vor OT-Systemen. Aber die OT-Sicherheit zeigt einer internationalen Studie zufolge Fortschritte. Auf der grundlegendsten Ebene geben 20 Prozent der Unternehmen an, Transparenz und Segmentierung zu implementieren, im Vergleich zu nur 13 Prozent im Vorjahr. Der höchste Reifegrad der Sicherheitslage (Nutzung von Orchestrierungs- und Automatisierungsfunktionen) ist demnach im Vergleich zum Vorjahr ebenfalls von 13 auf 23 Prozent gestiegen.
Mehr zum Thema Informationssicherheitsbeauftragter finden Sie hier
Security Awareness – die „Human Firewall“
Aufgrund der rasanten Entwicklung immer neuer Bedrohungsszenarien wird klar, dass alle Maßnahmen zur Risikosensibilisierung ein fortwährender Prozess sein müssen. Doch der Mensch kann nicht nur eine mögliche Schwachstelle, sondern auch eine starke Verteidigungslinie sein – die „Human Firewall“. Durch die Stärkung des Sicherheitsbewusstseins und die Förderung der Sicherheitskultur können Unternehmen ihre Resilienz gegenüber Cyberbedrohungen deutlich erhöhen. Im Hinblick auf den Umgang mit Anwendungen, die auf Künstlicher Intelligenz basieren, verschreibt die Europäische Union Unternehmen, die diese Technologie nutzen, über den AI-Act die Pflicht, Kompetenzen bei den eigenen Mitarbeitenden aufzubauen (Artikel 4, KI-Verordnung).
Generell bauen Investitionen in die Sicherheitsbildung der Belegschaft eine starke Verteidigung gegen die unaufhörlich wachsenden und sich entwickelnden Cyberbedrohungen auf.
Mehr zum Thema Human Firewall finden Sie hier
Fazit: Cyberangriffe auf IT- und OT-Systeme passieren nicht mehr nur den anderen
Absolute Sicherheit kann es nicht geben, aber eine robuste Sicherheitsstrategie über alle technologischen Bereiche hinweg und sensibilisierte Mitarbeitende schrauben in Unternehmen die Resilienz enorm nach oben. Die Oberstaatsanwältin bei der Zentralstelle zur Bekämpfung der Internetkriminalität der Generalstaatsanwaltschaft Frankfurt, Jana Ringwald, beschrieb den sensiblen Umgang mit Bedrohungslagen kürzlich in einem Beitrag so: „Wenn ein Unternehmen weiß, dass bekannte Schwachstellen bestehen, über die fleißig aufgeklärt wird, dann ist die Entscheidung, diese so zu belassen, gleichbedeutend mit einem offenstehenden Rucksack in der Berliner U-Bahn."