Die meisten Schweizer Industrieunternehmen schützen heute ihre Informations- und Kommunikationssysteme vor böswilligen Attacken sowie menschlichem Versagen und haben grundlegende Sicherheitsmassnahmen umgesetzt, um ihre Daten zu schützen. Das gestiegene Sicherheitsbewusstsein in der Branche ist nicht zuletzt dem neuen Schweizer Datenschutzgesetz zu verdanken.
Doch was ist mit dem Schutz physischer Prozesse, wie Produktionsabläufe, Betriebszeiten und mit dem physischen Schutz der Menschen, welche beispielsweise in der Fertigung tätig sind? Maschinen, Produktionsanlagen oder Geräte, die bewusst oder unbewusst mit dem Internet verbunden sind, spielen eine entscheidende Rolle in der Produktion, Logistik und vielen anderen Geschäftsprozessen. Diese Operational Technology (OT)-Systeme bieten viele Vorteile, bringen aber auch Risiken mit sich. Sobald Maschinen und Geräte in einem ungeschützten Netzwerk oder an das Internet angeschlossen sind, sind sie potenziell angreifbar. Daher ist OT-Security von grösster Bedeutung, um als MEM-Unternehmen im Angriffsfall handlungsfähig zu bleiben.
Warum ist OT Security wichtig für ein Unternehmen?
OT-Systeme werden insbesondere in kritischen Infrastrukturen wie der Energieversorgung, in Krankenhäusern oder industriellen Produktionsanlagen eingesetzt. Gerade auch für andere Industrieunternehmen kann sich OT Security lohnen, da sie nicht nur finanzielle Verluste verhindert, sondern auch die Sicherheit der Mitarbeitenden und der Öffentlichkeit gewährleistet. Durch den Schutz dieser Systeme werden beispielswese Produktionsausfälle, Reputationsverluste, Lieferkettenverwundbarkeit und Umweltschäden vermieden. Auch kleinere Unternehmen oder Zulieferer sind vor Hackerangriffen nicht gefeit und benötigen robuste Sicherheitsmassnahmen.
Berichte über schwerwiegende Ausfälle in Krankenhäusern und in Elektrizitätswerken verdeutlichen die enormen Konsequenzen mangelnder OT-Security. Selbst Druckunternehmen und Produktionsstätten, die viele industrielle Maschinen nutzen, sind potenzielle Ziele und können erhebliche Schäden erleiden. So wurde beispielsweise die ABB Opfer eines russischen Hacker-Angriffs, der Projekte verzögerte und die Fabriken beeinträchtigte.
Im Folgenden gehen wir auf die derzeit beliebtesten Angriffsmethoden ein, welche Fragen Sie sich bei der Identifizierung von produktionsrelevanten Geräten und Maschinen im Unternehmen stellen müssen, um eine umfassende Risikoanalyse zu erstellen und wie OT Security umgesetzt wird.
Angriffsmethoden bei Maschinen und industriellen Geräten
MEM-Unternehmen werden grösstenteils gezielt angegriffen. Hierbei gibt es verschiedene Angriffsvektoren:
- Die Mitarbeitenden sind eines der häufigsten Ziele, um OT-Systeme anzugreifen, da hier der Aufwand gering und der Ertrag bei ungenügend geschultem Personal am grössten ist.
- Schwachstellen in der eingesetzten Software, die ein Eindringen ins Netzwerk ermöglichen.
- Social Engineering: Das Ausspionieren des Unternehmensumfelds, das Vortäuschen von Identitäten (z.B. CEO-fraud oder Phishing) oder das Ausnutzen von Verhaltensweisen wie z.B. Autoritätshörigkeit der Belegschaft, um an geheime Informationen, Logins oder unbezahlte Dienstleistungen zu kommen.
- Schadsoftware, die über Schwachstellen im Unternehmensnetzwerk installiert wird, mit dem Ziel, produktionsrelevante Daten zu verschlüsseln oder zu stehlen.
- Ungenügend gesicherte Netzwerke.
- Das Ausnutzen von unsicheren und im Unternehmen weit verbreiteten Standard-Logins bei Produktionsanlagen.
Das Identifizieren von Maschinen und Geräten
Um zu wissen, was geschützt werden muss, ist eine Bestandsaufnahme aller produktionsrelevanten Maschinen und Geräte im Betrieb notwendig. Meistens existieren bereits Listen oder Übersichten, die diesen Schritt im Unternehmen vereinfachen. Dabei sollten folgende Fragen berücksichtigt werden:
- Ist das Betriebsgerät mit dem Internet verbunden?
- Ist das Betriebsgerät dem internen Netzwerk angeschlossen?
- Wie kommuniziert das Betriebsgerät? Welche Protokolle werden verwendet? Sind diese verschlüsselt?
- Wo und wie häufig werden die Daten dieses Geräts gespeichert?
- Wo steht das Gerät in seinem Lebenszyklus?
- Ist die Software des Betriebsgeräts auf dem aktuellen Stand? Wird die aktuelle Version noch unterstützt und erhält regelmässige Updates?
Eine saubere Risikoanalyse schafft Klarheit und Sicherheit
Nach deren Identifikation muss die Risikolage der Betriebsgeräte eingestuft und bewertet werden. Die Risikoanalyse sollte folgende Fragen beantworten:
- Welche Betriebsgeräte verarbeiten wertvolle Daten? Wie relevant oder kritisch sind diese Daten für den Produktionsprozess?
- Welche Kosten würde ein Ausfall des Geräts/des Produktionsprozesses verursachen? (Betrachtung für das produzierende Unternehmen selbst aber auch im Rahmen einer eventuellen Lieferkettenverwundbarkeit)
- Wie hoch wäre der Schaden bei einem Cyber-Angriff?
- Wie hoch ist die Eintrittswahrscheinlichkeit eines Ausfalls, beziehungsweise Angriffs?
- Welche Betriebsgeräte können die Mitarbeitenden negativ beeinflussen oder durch Fremdmanipulation an Leib und Leben gefährden?
- Welche Sicherheitsmassnahmen wurden beim jeweiligen Betriebsgerät bereits umgesetzt?
Risikominimierung und kontinuierliche Verbesserung
Nach der Identifikation und der Risikoanalyse können entsprechende Massnahmen ergriffen werden. Kritische Betriebstechnologien sollten dabei besonders geschützt werden. Hier kann es auch helfen, die Kommunikation und die Kommunikationspartner rund um diese kritischen OT-Systeme auf das absolut Notwendige zu beschränken, um möglichst wenig Angriffsfläche zu bieten.
Die einzige Strategie, um künftig Datenschutzverletzungen zu vermeiden und Vermögenswerte zu schützen, basiert auf dem Prinzip Zero Trust. Der Ansatz betrachtet Vertrauen als Sicherheitslücke, während bisherige Konzepte den Benutzern vertrauten, sobald sich diese innerhalb des Unternehmensnetzwerks befanden. Zero Trust beinhaltet eine strikte Identitätsprüfung und bringt die Entscheidung über Authentifizierung und Autorisierung näher an den Endpunkt. Identität und Endgerät sind die neuen Sicherheitsperimeter für den Schutz von Anwendungen und Daten.
Doch nicht nur Technologien und Sicherheitsstrategien sollten im Fokus stehen. Regelmässige Sensibilisierungsmassnahmen für Ihre Mitarbeitenden, z.B. auf spezifische Tätigkeiten abgestimmte Security Awareness Trainings, sind eines der wichtigsten Instrumente, um Angriffe umgehend als solche zu entlarven und zu vereiteln.
Ebenso gilt es Prozesse zur regelmässigen Revision und Neubewertung der Maschinen und Geräte zu gewährleisten, dass die eingesetzten Sicherheitsmassnahmen stets aktuell sind und potenzielle Schwachstellen frühzeitig erkannt und behoben werden.
Mit ganzheitlicher OT Security zu mehr Unternehmensresilienz
In einer sich ständig wandelnden technologischen Landschaft entwickeln Angreifer kontinuierlich neue Methoden, um Mitarbeitende zu täuschen und so Produktionsanlagen zu hacken. Daher ist es unerlässlich, kontinuierlich ein Augenmerk auf die Sicherheit der OT zu legen. Bereits zu Beginn eines Investitionsprojekts sollte OT-Security integraler Bestandteil der Planung, Beschaffung und Umsetzung sein.
Die Interventionsgeschwindigkeit nach einem Schadensereignis ist ebenso ein massgebender Faktor, wie Resilienz ein Unternehmen und seine Produktionsprozesse ist. Daher verdient das Thema OT Security seinen Stammplatz in jedem guten Business Continuity Plan, um eine angemessenen Krisenbewältigung zu gewährleisten. Aveniq unterstützt Sie auch gerne in der Festlegung der geeigneten Krisenorganisation, den Aktivierungs- und Bewältigungsprozessen und dem Bereitstellen der nötigen Hilfsmittel und Checklisten.
Nur durch proaktive Sicherheitsstrategien können Sie gewährleisten, dass Ihre Systeme gegen immer raffiniertere Angriffe gewappnet sind und Ihr Betrieb reibungslos fortgeführt werden kann. Nutzen Sie die Erfahrung der Spezialisten von Aveniq im OT-Bereich, um die Handlungsfähigkeit Ihres Unternehmens zu überprüfen und Ihre betriebskritischen Assets zu langfristig zu schützen. Wir freuen uns auf ein unverbindliches Erstgespräch mit Ihnen.
Weitere Informationen unter Security Services sind Vertrauenssache (aveniq.ch)