Thought Leadership
Laut einer neuen Studie von PAC (CXP Group), die im Auftrag von Kaspersky Lab durchgeführt wurde, räumen 77% der globalen Unternehmen aus der verarbeitenden Industrie, der Transport- sowie Versorgungs- und Energiebranche dem Thema Cyber-Sicherheit von OT (Operational Technology) bzw. ICS (industrielle Kontrollsysteme) hohe Priorität ein.
Dieses Ergebnis überrascht wenig, sieht es doch dieselbe Prozentzahl der Unternehmen als (sehr) wahrscheinlich an, im Bereich ICS zum Ziel von Cyber-Security-Angriffen zu werden. Die Unternehmen gaben an, sie würden aufgrund der Einführung von Industrial IoT (IIoT) mit zusätzlichen Risiken rechnen – nichtsdestotrotz nutzt die überwiegende Mehrheit diese Technologie. Dies spiegelt sich auch in den Investitionsschwerpunkten der Unternehmen wider: 91% erwarten gleichbleibende oder aber steigende Ausgaben für Software im Bereich OT-/ICS-Cyber-Sicherheit.
ICS-Cyber-Sicherheit hat für nahezu alle der auf globaler Ebene befragten Unternehmen Priorität – es gibt allerdings Unterschiede zwischen den einzelnen Regionen.
Die Ergebnisse der Befragung lassen auf eine steigende Wahrscheinlichkeit schließen, dass Firmen zum Ziel von Cyber-Attacken im OT-/ICS-Umfeld werden: 32% der Unternehmen halten dies für sehr wahrscheinlich, ein Anstieg um 7% im Vergleich zur letztjährigen Studie.
Bild 1: Selbsteinschätzung der OT-/ICS-Sicherheitsrisiken
Die Bestimmung des genauen Ausmaßes finanzieller Schäden ist eine schwierige Frage, da diese nicht ganz einfach zu messen sind.
Insgesamt gaben 20% der Befragten an, ihre finanziellen Kosten und Schäden aufgrund von Sicherheitsvorfällen seien gestiegen. Verglichen mit den Vorjahren sind die finanziellen Aufwände für 48% gleichgeblieben, für 27% sogar gesunken. Angesichts der kontinuierlich wachsenden Zahl von Cyber-Angriffen, auch im OT-/ICS-Bereich, zeigen die Maßnahmen hinsichtlich Cyber-Sicherheit zumindest in einigen Unternehmen positive Wirkung.
Betrachtet man die einzelnen Regionen etwas genauer, stellt man starke Unterschiede hinsichtlich der Anzahl der Unternehmen fest, die mit steigenden finanziellen Kosten und Schäden zu kämpfen haben. Während in China und Indien 31% der befragten Firmen einen Anstieg beklagen, sind es in Lateinamerika nur 13%. Dies ist ein Indiz dafür, dass – wenn Firmen dem Thema Cyber-Sicherheit im OT-/ICS-Umfeld hohe Priorität einräumen – Sicherheitsvorfälle ggf. vermieden und damit verbundene finanzielle Kosten bzw. Schäden begrenzt werden können.
Bild 2: Sind die Gesamtkosten/-schäden durch einen bzw. mehrere erlittene Sicherheitsvorfälle im Vergleich zu den Vorjahren gestiegen,gleichgeblieben oder gesunken?
Unternehmen, die kritische Infrastrukturen betreiben, sowie viele Unternehmen des verarbeitenden Gewerbes sind sich der hohen Signifikanz von Cyber-Sicherheit im IIoT-Umfeld bereits bewusst. Sie sind sozusagen Vorreiter, doch selbst falls der Reifegrad hinsichtlich OT-/ ICS-Cyber-Sicherheit weiterhin niedrig bleibt, kennen doch viele Unternehmen die Risiken und tätigen entsprechende Investitionen. Vor allem, da die Mehrheit der befragten Firmen aufgrund der digitalen Transformation mit einer höheren Wahrscheinlichkeit von Cyber-Sicherheitsrisiken rechnet. Die Hauptschwierigkeiten der Organisationen betreffen u.a. die Handhabung wenigstens eines wichtigen Sicherheitsfaktors und/oder die Zusammenarbeit zwischen dem IT- und OT-Team.
Wolfgang Schwab, Principal Consultant bei PAC und Hauptautor der Studie, gibt die folgende Einschätzung ab: „Die Vorteile von Industrial IoT überwiegen die potenziellen Risiken. Genau aus diesem Grund investieren Unternehmen in diesen Bereich und werden OT-/ICS-Cyber-Sicherheit erst einmal weiterhin hoch priorisieren.“
Bild 3: Der Einfluss von IoT auf OT-/ICS-Cyber-Sicherheitsrisiken
Mathieu Poujol, Head of Cybersecurity bei PAC und Koautor der Studie, ergänzt: „Ein wichtiger Aspekt beim Vergleich von IT-Sicherheit mit OT-/ICS-Cyber-Sicherheit ist, dass sich im ersteren Fall der Schaden größtenteils auf den IT-Bereich beschränkt, also eher virtueller Natur ist, wohingegen es bei OT/ICS Fall auch zu physischen Schäden kommen kann. Diese Tatsache wirkt sich also völlig anders auf das Thema der Risikobegrenzung und die potenzielle Haftung der betroffenen Unternehmen aus.“
Über die Studie:
Die PAC-Studie mit dem englischen Titel „The State of Industrial Cybersecurity 2018“ („Status quo der industriellen Cyber-Sicherheit 2018“), die von PAC im Auftrag von Kaspersky Lab durchgeführt wurde, analysiert den derzeitigen Stand sowie künftige globale Entwicklungen im Bereich der industriellen Cyber-Sicherheit. Sie basiert auf einer CATI-Umfrage unter 320 Entscheidungsträgern, unter deren Einflussbereich das Thema OT-/ICS-Sicherheit fällt, sowie auf 12 detaillierten Experten-Interviews.
Die Studie soll hier zum Download bereit stehen.
