Die Budgets für IT-Sicherheit steigen zwar, aber der Fokus ist nicht immer richtig gesetzt. Laut einer Studie sind Industriesteuerungen und Operational Technology oftmals nur schwach abgesichert. Das schafft Sicherheitslücken bei kritischer Infrastruktur.
Resilienz in der Operational Technology: Über die Hälfte (55 Prozent) der von Security-Spezialisten Opswat befragten Unternehmen hat in den vergangenen beiden Jahren ihr Budget für IT-Security erhöht. Das Problem dabei: Es fehlt der Fokus. Ein Großteil dieser Investitionen ist nach wie vor stark auf Technologie ausgerichtet. Die operative Resilienz gerät dabei nur begrenzt in den Blick. Dieses Ungleichgewicht schafft Schwachstellen bei IT und operativer Technologie (IT/OT), die Angreifer in rasantem Tempo ausnutzen.
Die kostenlos verfügbare Studie, die Opswat zusammen mit dem Schulungsanbieter und Forscher SANS Institut durchgeführt hat, basiert auf Rückmeldungen von über 530 Fachleuten aus kritischen Infrastrukturen und gibt Hinweise zur Kontrolle industrieller Cyberrisiken. Die seit 2017 stattfindende jährliche Umfrage zum Stand der Cybersicherheit liefert Erkenntnisse und Benchmarks für Programme zur industriellen Cybersicherheit unabhängig von deren Größe, Budget oder Bereich.
Vier Ergebnisse stechen in der Studie heraus:
- Kritische Infrastrukturen sind unter Beschuss
In Bezug auf Sicherheitsvorfälle in kritischen Infrastrukturen zeigt die Umfrage besorgniserregende Trends. Über 50 Prozent der Befragten berichteten von Anzeichen für Bedrohungen, wobei 27 Prozent nach eigener Aussage einen Vorfall erlebt haben. Aufgrund von Unternehmensrichtlinien konnten 19,9 Prozent nicht antworten, und 11 Prozent konnten keine eindeutige Aussage über etwaige Vorfälle machen. Diese Ergebnisse deuten darauf hin, dass die tatsächliche Zahl an Vorfällen höher sein könnte als offiziell berichtet. Besonders auffällig ist, dass die am häufigsten ausgenutzten Schwachstellen mit 33 Prozent internetfähige Geräte sind, gefolgt von zeitweise genutzten Geräten mit 27 Prozent. In beiden Fällen geht es den Mitarbeitern oft darum, traditionelle Sicherheitsmaßnahmen zu umgehen.
- Budgetlücken gefährden Industriesteuerungen
Trotz der wachsenden Akzeptanz von Cybersecurity für Operational Technology übertragen lediglich 27 Prozent der befragten Unternehmen die Budgetkontrolle ihren IT-Sicherheitschef. Wo dies nicht der Fall ist, werden oft wichtige Anforderungen bei der Budgetzuweisung übersehen oder ignoriert. Dadurch wird die Infrastruktur anfälliger für Bedrohungen.
- IT ist der primäre Angriffsvektor
Der Bericht zum Netzwerk für IT und Operational Technology nennt mit 58 Prozent Angriffe als den häufigsten Bedrohungsvektor im Bereich der Industriesteuerung. Dies zeigt, wie wichtig integrierte Sicherheitsstrategien zur Bekämpfung von bereichsübergreifenden Schwachstellen sind.
- Operational Technology ist oft nur schwach gesichert
Viele Organisationen investieren zu wenig in den Schutz ihrer Industriesteuerung und Operational Technology. Knapp die Hälfte der befragten Betriebe wendet lediglich 25 Prozent ihres Security-Budgets für den Schutz kritischer Infrastrukturen auf.
Re-Priorisierung sollte den Fokus zurechtrücken
Die Untersuchung unterstreicht die Notwendigkeit für Unternehmen, ihre Resilienz in der Operational Technology in folgenden Punkten anzupassen:
- Zuweisung angemessener Budgets für Abwehrmaßnahmen für Geräte und Endpunkte der Industriesteuerung und Operational Technology
- Stärkung der Abwehr bereichsübergreifender Angriffe
- Sicherstellen, dass Security-Verantwortliche Budgetentscheidungen überwachen, um Ausgaben an den operativen Risiken auszurichten
„Ein besorgniserregendes Ergebnis des Berichts zeigt, dass zwar die Budgets für Cybersicherheit gestiegen sind, aber ein Großteil dieser Investitionen immer noch auf traditionelle Geschäftssysteme wie IT konzentriert bleibt“, berichtet Holger Fischer, Director of Sales EMEA Central bei Opswat. „Das führt dazu, dass viele Industriesteuerungen und Anlagen der Operational Technology insgesamt zu wenig geschützt sind. “ Angesichts der sich ständig weiterentwickelnden Bedrohungen im ICS/OT-Bereich reicht es nicht aus, nur die fünf klassischen Cybersecurity-Kontrollen für Industriesteuerungen anzuwenden. Um kritische Infrastrukturen effektiv zu schützen, seien spezifische Sicherheitsschulungen nötig, damit die Personen, die für die Überwachung der Industriesteuerungen zuständig sind, ein tiefes Verständnis der Kontrollsystemnetzwerke haben. Jürgen Frisch
