Thought Leadership
Bei der Absicherung industrieller Netzwerke besteht vielerorts Verbesserungspotenzial. Woran das liegt und was Unternehmen dagegen tun können, erklärt Dr. Kai Martius, Chief Technology Officer von secunet im Interview mit it security.
Herr Dr. Martius, wie steht es um die Cybersicherheit in Deutschland?
Dr. Kai Martius: Das Cybersicherheitsniveau ist recht unterschiedlich, je nachdem ob wir uns staatliche Institutionen, kritische Infrastrukturen oder die freie Wirtschaft einschließlich der Industrie anschauen. In der strikt regulierten öffentlichen Verwaltung besteht schon seit Langem ein hohes Sicherheitsniveau. Bei den kritischen Infrastrukturen gibt es demgegenüber noch Potenzial, doch seit 2015 lassen das IT-Sicherheitsgesetz (ITSiG) und dessen Novelle IT-SiG 2.0 das Cybersecurity-Level steigen.
Industrieunternehmen hingegen können selbst über ihr Cybersicherheitsniveau entscheiden. Das bedeutet, dass sich mögliche Investitionen in die Cybersicherheit stets gegen andere Vorhaben mit eindeutigeren, kurzfristigen Erfolgsaussichten durchsetzen müssen. Zudem fehlen gerade mittelständischen Unternehmen oftmals schlicht die Ressourcen beziehungsweise das Fachpersonal, um größere Cybersecurity-Projekte zu stemmen.
Dabei sind Cyberangriffe eine reale Gefahr und auch ein wirtschaftlicher Faktor.
Dr. Kai Martius: Richtig, mittlerweile sprechen auch die Umfragen in dieser Hinsicht eine deutliche Sprache. In der kürzlich veröffentlichten IDC-Studie „Cybersecurity in Deutschland 2022“ gaben 32 Prozent der befragten Unternehmen an, in den letzten zwölf Monaten Opfer einer Ransomware-Attacke geworden zu sein. 79 Prozent der Betroffenen haben Lösegeld bezahlt. Darüber hinaus müssen angegriffene Unternehmen mit wirtschaftlichen Schäden etwa durch Produktionsausfälle rechnen. Neben Ransomware werden Industrieunternehmen auch mit Sabotageabsichten angegriffen oder zum Zweck der Wirtschaftsspionage.
Doch das Rad der digitalen Transformation zurückdrehen will niemand. Die Vernetzung von Geräten und Maschinen im industriellen Internet der Dinge (IIoT) bringt den Unternehmen klare operative und wirtschaftliche Vorteile – etwa in Form von Effizienzsteigerungen, Kostenoptimierung oder neuen Geschäftspotenzialen. Vor diesem Hintergrund ist eine sichere und zuverlässige IT-Infrastruktur essenziell für den Unternehmenserfolg.
Sind sich Industrieunternehmen Ihrer Erfahrung nach dessen bewusst?
Dr. Kai Martius: Es ist zumindest eine positive Entwicklung zu beobachten. Die IT-Abteilungen schätzen die Zusammenhänge und Risiken schon länger korrekt ein. Allerdings fehlte oft der Rückhalt durch die Führungsebene. In der erwähnten IDC-Studie gaben nun immerhin 61 Prozent der befragten Unternehmen an, Cybersecurity sei durch ein Mitglied der Geschäftsführung oder durch ein nicht geschäftsführendes Vorstandsmitglied auf oberster Ebene vertreten. Dennoch besteht noch Aufholpotenzial im Vergleich zu kritischen Infrastrukturen. Aus diesem Grund sollten sich Industrieunternehmen aus meiner Sicht am IT-SiG 2.0 orientieren, auch wenn dessen Bestimmungen für sie nicht verpflichtend sind. Sinnvoll sind sie aber dennoch.
Was sind die Einfallstore, die am meisten Aufmerksamkeit erfordern?
Dr. Kai Martius: Zunächst sollte man die klassische Büro-IT nicht vergessen, die zum Beispiel mittels Phishing oder Sicherheitslücken in Office-Software angegriffen werden kann. Ansonsten ist vor allem die fortschreitende Vernetzung von Maschinen und Anlagen über das IIoT sicherheitstechnisch anspruchsvoll – insbesondere dann, wenn die Netzwerke für Szenarien wie Fernwartung auch an externe Stellen angebunden sind. Diesen Ansprüchen wird man oft nicht gerecht, schon weil die Unternehmen bei der Digitalisierung und Vernetzung nicht bei Null anfangen können, sondern mit dem arbeiten müssen, was sie haben. Im Ergebnis hängen an den Operational Technology (OT)-Netzwerken nicht selten Maschinen, die 30 Jahre oder noch älter sind. Diese Maschinen wurden nicht für eine Vernetzung geschaffen. Findet diese dennoch statt, fehlen oft die nötigen Sicherheitsmaßnahmen.
Wer ein Netzwerk betreibt, sollte wissen, was darin passiert.
Dr. Kai Martius
In vielen Industrieunternehmen besteht darüber hinaus kein vollständiger Überblick, welche Geräte überhaupt an das Netzwerk angeschlossen sind. Dann fällt mitunter erst im Nachhinein bei der Analyse eines erfolgreichen Angriffs auf, dass es da noch diesen alten Industrie-PC gab, der in keiner Dokumentation auftauchte, über den die Angreifer es aber ins Netzwerk geschafft haben.
Wie sollten sich Industrieunternehmen gegen diese Risiken wappnen?
Dr. Kai Martius: Mit Blick auf die Büro-IT sind zunächst einmal die Basics wichtig, zum Beispiel aktuelle Firewalls, regelmäßige und funktionierende Backups und Patches, feingranulare Zugriffskontrolle und turnusmäßige Passwortänderungen. Das ist nicht immer selbstverständlich. Auch Awareness-Schulungen für Mitarbeitende können sehr hilfreich sein.
Um die industriellen IT/OT-Netzwerke abzusichern, muss in der Regel erst einmal eine Bestandsaufnahme gemacht werden. Dabei werden alle Systeme, darunter auch veraltete Legacy-Geräte, vollständig erfasst. In Penetrationstests ermitteln „ethische Hacker“ Sicherheitslücken. Auf dieser Basis werden die neuen Anforderungen festgestellt. Und erst dann werden die passenden Maßnahmen definiert und umgesetzt. Die Systeme werden sicher vernetzt, vor allem werden die Übertragungswege zwischen Maschine und Verarbeitungsort abgesichert. Dabei handelt es sich oftmals um hybride Infrastrukturen, beispielsweise der eigenen Infrastruktur oder der Cloud.
Auch kann der Einsatz einer vertrauenswürdigen „Private Cloud“ sinnvoll sein, um die Vorteile der zuvor genannten Betriebsarten zu kombinieren und zudem die Datenhoheit zu behalten. secunet baut gerade eine sichere und souveräne Cloud-Infrastruktur made in Germany auf, an die industrielle Systeme angebunden werden können, um etwa besonders sensible Daten zu verarbeiten.
Was sind aus Ihrer Sicht die wichtigsten Bausteine bei der Absicherung industrieller Netzwerke?
Dr. Kai Martius: Für die sichere Anbindung von Maschinen gibt es Lösungen, die IIoT-Gateway, Edge-Computing-Plattform und Firewall in sich vereinen. Sie werden dezentral in Form von Appliances implementiert und bringen auch Legacy-Maschinen sicher ans IIoT. Ein Retrofit bestehender Maschinen und Anlagen ist damit also möglich. Zudem können auf den Appliances auch Anwendungen wie etwa Fernwartung und Monitoring laufen, und sie ermöglichen auch eine sichere Cloud-Anbindung.
Ein weiterer wichtiger Baustein ist ein System zur Angriffserkennung, wie es auch im IT-SiG gefordert wird. Wer ein Netzwerk betreibt, sollte jederzeit wissen, was darin passiert. Je früher ein Vorfall erkannt wird, desto effektiver können Schäden eingedämmt werden. Monitoring-Systeme, die mit passiven Sensoren arbeiten, erfassen den Netzwerkverkehr datenschutzkonform und ohne negativen Einfluss auf die überwachten Netzwerke und Geräte. Die Daten werden dann zentral analysiert, korreliert und erlernt, um Schwachstellen, Compliance-Abweichungen, Anomalien, unerwünschte Kommunikationspartner und mögliche Angriffe zu erkennen.
Wie immer in der Cybersecurity gilt auch hier: Wirksame Komponenten und ein ganzheitlicher Blick sind die Erfolgsfaktoren. Gelingt es Industrieunternehmen, eine sichere und zuverlässige IT-/OT-Infrastruktur aufzubauen, ist das jedenfalls eine gute Investition in die Zukunft.
Herr Dr. Martius, vielen Dank für das Gespräch.
