Mittelständische Unternehmen sind oft der Auffassung, dass die vorhandene IT-Sicherheit auch die wichtige Produktion abdeckt. Aber das ist nur ein Teil der Wahrheit, denn Produktionsmaschinen und Arbeitsnetzwerke benötigen OT-Sicherheit. Denn klassische IT-Security-Lösungen sind anders konzipiert als eine OT-Security.
In puncto IT-Security sind mittelständische Unternehmen mittlerweile gut aufgestellt. Mitunter haben Umfragen ergeben, dass Mittelständler im IT-Security-Bereich bis zu 50 verschiedene Security-Tools einsetzen, um allen IT-Gefahren zu begegnen. Bei einer durchdachten Sicherheitsstrategie deckt der IT-Security-Bereich die internen geschäftlichen Abläufe ab, schützt die Kommunikation mit Kunden und sichert grundsätzlich die Daten in Form von Archivierung, Backup oder Verschlüsselung.
Auch wenn viele Unternehmer denken, dass die vorhandene IT-Security auch die wichtige Produktion mit absichert, benötigen Produktionsmaschinen und Arbeitsnetzwerke Operative-Technologie (OT)-Sicherheit, weil klassische IT-Security-Lösungen anders als eine OT-Security funktionieren.
Was ist OT-Security?
Ein Netzwerk mit OT-Sicherheit schützt alle darin arbeitenden Geräte und Maschinen, auch wenn diese mit den exotischsten Betriebs- oder Steuerungssystemen arbeiten. Denn es ist meist schlicht technisch nicht möglich, eine Schutz-Software oder einen Agenten auf die Maschine zu bringen. Aber ist eine Maschine durch ein Interface in der Lage „IP“ (Internet Protokoll) zu sprechen, kann sie in ein Netzwerk integriert werden. Spezialisten nennen diese Maschinen „Industrial Internet oft Things“, kurz „IIoT“.
Sobald sich ein produzierendes Gerät innerhalb eines Netzwerks befindet, ist es damit auch theoretisch angreifbar. Angreifer nutzen dann zum Beispiel einen speziellen Code, den nur die Maschine versteht, senden ihn durch das Netzwerk und verursachen damit Schaden oder starten eine Erpressung des Unternehmens. Aber auch nicht besonders geschützte Hilfs-PCs sind ebenfalls oft ein Ziel.
Anzeige | Expertenbeitrag | Trovarit-MES-Center
|
Artikel
Organisation und Technik sichern IoT-Projekte ab |
| Autor: | Jürgen Frisch | Redakteur der IT-Matchmaker®.news | |
| Erschienen: | 2021-03-30 | |
| Schlagworte: | IT-Sicherheit, Industrie 4.0, Internet of Things | |
| Für viele Unternehmen ist das Internet der Dinge ein Schritt in Richtung Industrie 4.0. Mit der Absicherung hakt es aber vielerorts. Als Abhilfe empfehlen Projektmanager des FIR an der RWTH Aachen ein Bündel aus organisatorischen und technischen Maßnahmen. | ||
| Download | ||
Der Ransomware-Angriff 2021 auf JBS, der US-Tochter des brasilianischen, weltgrößten Fleischproduzenten JBA S.A., zeigt die digitale Verwundbarkeit heutiger Industrieunternehmen, wenn sie über keinen adäquaten Schutz ihrer OT verfügen. So verschlüsselte Ransomware in diesem Fall zahlreiche Produktions-PCs für die Dokumentation bei der Fleischverarbeitung, was zu einem tagelangen Produktionsausfall führte. Es wurde also nicht die Verwaltung mit IT-Security getroffen, sondern das OT-Netzwerk, welches ebenfalls mit PCs arbeitet. Für die Versäumnisse im Bereich seiner OT-Sicherheit zahlte JBS ein Lösegeld von 11 Millionen Dollar sowie zusätzlich die Kosten für den Produktionsausfall, die Umrüstung des OT-Netzwerks und die Neuanschaffung einer Security-Lösung in Rekordzeit.
Lösegeld zahlen oder nicht?
Die Frage, ob im Fall eines erfolgreichen Ransomware-Angriffs das betroffene Unternehmen das Lösegeld bezahlen sollte, wird selbst von Spezialisten nur uneinig beantwortet. Unternehmen müssen sich im Klaren sein, dass jeder gezahlte Euro einen weiteren Angriff finanzieren kann. Die politisch korrekte Antwort lautet daher: nicht bezahlen. Auch, weil das die eigene Attraktivität als zukünftiges nochmaliges Ziel reduziert.
In der Praxis liegt der Fall anders. Geht es bei einem Betrieb um die nackte Existenz, wird jeder sofort einer Zahlung zustimmen. Denn wenn wesentliche Daten nicht mehr zugänglich beziehungsweise mit vernünftigem Aufwand wiederherstellbar sind, bleiben einem Unternehmen nicht mehr viele Optionen.
OT-Security mit externen Experten realisieren
Vor dem Hintergrund stetig steigender Bedrohungen müssen produzierende KMUs in Sachen OT-Security also umdenken und ihre Lage prüfen. Wie gefährdet ist der aktuelle Produktionsstandort? Sind die Netzwerke getrennt, verknüpft und von außen erreichbar? Gibt es überhaupt eine passable OT-Security und wann wurde diese zuletzt überprüft?
Viele dieser Fragen können Unternehmen gar nicht selbst beantworten, sondern brauchen dazu externe Beratung, bis hin zum Testangriff und einer Auswertung der Verwundbarkeit. Unternehmen sollten deshalb am besten bereits bei der Planung eines Neu- oder Umbaus eines Betriebs ihre OT-Sicherheitsstrukturen überdenken und prüfen.
Zertifizierte OT-Sicherheit gegenüber Partnern und Kunden
Im Zusammenhang mit OT-Schutz von Produktionsbetrieben wird auch gerne von der Smart Factory oder Industrie 4.0 gesprochen. Diese Begrifflichkeiten haben alle eine Schnittmenge, die es für Unternehmen zu verstehen und einzuordnen gilt. Gerade bei Smart Factory wird oft nur die digitale Produktionsumgebung gesehen, die sich selbst organisiert, sowie die Fertigungsanlagen und die Logistiksysteme. Allerdings lässt sich auch eine ganze Umgebung einer Smart Factory einer Risikoanalyse in Bezug zur Informationssicherheit gemäß IEC 62443 unterziehen. Zertifizierer wie etwa VDE bieten an, im Industriebereich bei Büro-IT und Operations-OT die Schnittstellen zwischen Maschinen, den Management- und Bürosystemen sowie zum Internet zu prüfen. Dabei spielt es keine Rolle, ob das Netzwerk nur innerhalb einer Fabrik betrieben wird oder ob externe Kommunikationspartner, wie beispielsweise Zweigstellen, über das Internet mit diesem Netzwerk verbunden sind. Nach erfolgreicher Prüfung erhält der Netzwerkbetreiber das VDE Zertifikat für Informationssicherheit.
Die Verknüpfung von OT und IT eröffnet neue Möglichkeiten für die Industrie, führt aber auch zu einer Vielzahl von Bedrohungen für die Cybersicherheit. Deshalb benötigen Unternehmen eine umfassende Sicherheitsstrategie, die den gesamten Sicherheitslebenszyklus von der Produktion bis hin zu den Geschäftsabläufen berücksichtigt, um das volle Potenzial von Automatisierung und Digitalisierung sicher auszuschöpfen.
Der Autor
Stefan Schachinger, Produktmanager Network Security – IoT/OT/ICS bei Barracuda
