Thought Leadership
Die Fertigungsindustrie steht vor einer Sicherheitsherausforderung: Allein im vergangenen Jahr meldete rund ein Drittel der Unternehmen einen Anstieg erfolgreicher Attacken, wie aus dem aktuellen Splunk Lagebericht hervorgeht.
Die Folgen sind gravierend: Ausfälle beeinträchtigen nicht nur die Produktion, sondern auch die gesamte Lieferkette und verursachen laut Splunk jährliche Schäden von rund 255 Millionen US-Dollar. Doch was macht Industrieunternehmen so attraktiv für Cyberkriminelle und warum braucht es mehr Operational Technology (OT) Security in Unternehmen, um sich besser vor Angriffen schützen zu können?
Warum Industrieunternehmen besonders anfällig sind
Industrieunternehmen bieten durch ihre geringe Ausfalltoleranz eine große Angriffsfläche für Cyberangriffe. Ungeplante Stillstände können Verluste in Millionenhöhe verursachen und erhöhen den Druck, im Ernstfall Lösegeld zu zahlen. Außerdem verfügen viele Produktionssysteme über eine hohe Vernetzungsdichte bei unzureichendem Schutz. Veraltete Systeme sind oft nicht auf heutige Bedrohungen vorbereitet, während Internetanbindungen, drahtlose Verbindungen sowie die enge Verzahnung von OT, IT und Partnernetzwerken zusätzliche Risiken schaffen. Hinzu kommt, dass es an Transparenz fehlt: Isolierte Insellösungen und fragmentierte Strukturen erschweren den Überblick über sicherheitsrelevante Daten. Es wird deutlich, dass OT-Systeme eng mit der Anfälligkeit von Industrieunternehmen verzahnt sind – gleichzeitig ist ein ganzheitlicher OT-Security-Ansatz bei vielen Unternehmen aber bisher nur ein Randthema.
Warum IT/OT-SOCs für die Sicherheit unerlässlich sind
Die IT- und OT-Umgebungen eines Unternehmens lassen sich mithilfe des Purdue-Modells in mehrere Zonen einteilen. Diese umfassen zum einen die klassische Unternehmens-IT, die Datenbanken, E-Mail- und ERP-Systeme. Zum anderen die OT-Ebene mit Steuerungen, Sensoren und Aktoren, die direkt auf Maschinen und Anlagen einwirken. Dazwischen liegen Überwachungs- und Leitsysteme wie SCADA oder HMI sowie Anwendungen zur Produktionssteuerung und -optimierung.
Cyberangriffe auf OT-Umgebungen beginnen in den meisten Fällen in der IT-Zone des Unternehmens, beispielsweise durch eine Phishing-Mail. Um an die sensiblen Anlagendaten zu gelangen, muss sich der Angriff also erst lateral durch die einzelnen Zonen bewegen. Diese Bewegung schreitet jedoch langsam voran, wodurch der Angriff mit isolierten Tools nur schwer rechtzeitig zu entdecken ist – im Schnitt erst nach rund 241 Tagen. Durch ein integriertes IT/OT-SOC (Security Operations Center) kann die laterale Bewegung durch die IT- und OT-Umgebung des Unternehmens ganzheitlich erkannt werden. Das bietet Transparenz über die Gesamtheit der Systeme und macht Erkennung, Untersuchung und Reaktion im großen Maßstab möglich.
IT/OT-SOCs effektiv implementieren
Der Aufbau eines IT/OT-SOCs kann schrittweise erfolgen. In der Regel werden dabei zuerst die Netzwerk- oder Firewall-Daten in den Produktionsumgebungen überwacht. Darauf aufbauend lassen sich nach und nach weitere OT-Datenquellen integrieren, bis hin zu Steuerungssystemen und Sensordaten. Leistungsfähiges Risk-Based Alerting sowie Automatisierungs- und Orchestrierungslösungen runden den Aufbau einer wirkungsvollen IT/OT-Security ab, um die Vielzahl an Ereignissen effizient zu bewältigen.
Für eine ganzheitlichen Überblick ist zudem eine übergreifende Datenanalyseplattform erforderlich, die IT- und OT-Security-Datenquellen sinnvoll, konsistent und gleichzeitig sicher integriert. Ergänzend kann neben der Implementierung eines IT/OT-SOC eine spezialisierte OT-Security Lösung sinnvoll sein. Sie erweitert das klassische Sicherheitskonzept von Industrieunternehmen, stellt OT-spezifische Informationen als zusätzliche Datenquelle für das SOC bereit. Dadurch lassen sich IT- und OT-Security wirkungsvoll verzahnen und ermöglicht einen noch effektiverer Einsatz eines ganzheitlichen SOCs.
Automatisierung und Orchestrierung entlasten Sicherheitsteams
Für den wirkungsvollen Betrieb von Sicherheitssystemen sind nicht nur die passenden Technologien, sondern auch qualifizierte Experten erforderlich. Doch der Pool an Sicherheitsexperten ist begrenzt. Unternehmen stehen somit vor der Herausforderung, ihre Ressourcen effizient zu nutzen, Überlastungen ihrer Sicherheitsteams zu vermeiden und dennoch ein hohes Sicherheitsniveau zu gewährleisten.
Gerade in OT-Umgebungen können je nach Größe und Infrastruktur täglich mehr als 2.000 bis 10.000 Fehlalarme entstehen, die zu zusätzlichem Stress und Überlastung in den Sicherheitsteams führen. Abhilfe schaffen hier Automatisierungs- und Orchestrierungslösungen. Für OT-Umgebungen eignet sich beispielsweise besonders Risk-Based Alerting (RBA): Ereignisse werden nicht gleich behandelt, sondern nach ihrem Risikopotenzial priorisiert. Erst wenn ein definierter Schwellenwert überschritten wird, erfolgt eine Alarmierung. Das Ergebnis sind weniger Fehlalarme, eine bessere Sicht auf kritische Vorfälle und eine effizientere Arbeit der Sicherheitsteams.
OT-Security – vom Randthema zum Schlüssel der Fertigungsindustrie
Die steigende Zahl und Raffinesse von Cyberangriffen macht deutlich, dass reaktives Handeln allein nicht mehr ausreicht. Industrieunternehmen müssen von einer defensiven Haltung zu einem proaktiven Sicherheitsansatz wechseln, der IT und OT gleichermaßen einbezieht. Dabei spielt auch KI eine doppelte Rolle: Sie macht Angriffe komplexer, ist aber zugleich in modernen Security-Lösungen integriert und unterstützt bei der Erkennung von Anomalien sowie der Automatisierung von Abwehrmaßnahmen. Ein integriertes IT/OT-SOC, ergänzt durch spezialisierte OT-Lösungen sowie Automatisierungs- und Orchestrierungsverfahren wie Risk-Based Alerting, schafft Transparenz, reduziert Fehlalarme und stärkt die Widerstandskraft gegen Angriffe nachhaltig. OT-Security entwickelt sich somit vom lange unterschätzten Randthema zum unverzichtbaren Schlüssel für eine sichere Fertigungsindustrie.
