Die Sicherheit von Betriebssystem und Anwendungen ist für alle Unternehmen von entscheidender Bedeutung für den wirtschaftlichen Erfolg. Besonders im produzierenden Gewerbe verfügen Betriebe mittlerweile häufig über eine eigene Fertigung, die mit der internen IT-Landschaft verknüpft ist. Dass die sogenannte OT-Sicherheit ebenso gefährdet ist wie die IT, wissen jedoch nur die wenigsten.
Trojaner, Phishing-Mails, Datenlecks – während die Medien in den letzten Monaten und Jahren wieder viel zur Awareness hinsichtlich des Themas IT-Security beigetragen haben, übersehen viele Unternehmen die Gefahr von vernetzten Fertigungsanlagen. Der Cybersecurity Benchmarkreport 2023 zeigt, dass die Mitarbeiter-Awareness für OT-Security besonders niedrig ist.
Dabei ermöglichen Smarte Fertigung und IoT es nicht nur, Prozesse effizienter und die Produktion agiler zu gestalten, sie bieten eine genauso große neue Angriffsfläche für Hacker. Besonders problematisch wird es, wenn die Belegschaft nicht um dieses Sicherheitsrisiko weiß.
Im Gegensatz zur IT-Sicherheit, deren Bedeutung den meisten durch diverse Sicherheitstrainings mittlerweile bewusst ist, mangelt es bei der OT-Security bislang um spezifische Schulungsangebote. Unternehmen müssen das Problemfeld daher aktiv auf den Radar der Belegschaft bringen. Ein Stillstand der Fertigung aufgrund eines Hacker-Angriffs kann einen erheblichen finanziellen Schaden anrichten und den Erfolg des Unternehmens nachhaltig gefährden.
Ein erster Schritt sollte daher sein, die einzelnen Fertigungsschritte mitsamt allen Datenpunkten so darzustellen, dass sie von der Belegschaft auch verstanden wird. Denn im Gegensatz zur reinen Büro-IT ist die Operations Technology eines produzierenden Betriebs deutlich komplexer aufgebaut. Hier gilt es vor allem, jedem Mitarbeiter bewusst zu machen, welche Stellen der Produktion besonders kritisch sind und daher bevorzugtes Ziel von Angriffen darstellen würden.
Transparenz schafft Sicherheit
Zudem ist bereits in der Einkaufsphase großer Fertigungsmaschinen ein Umdenken nötig: Entscheider müssen während des Auswahlprozesses einen größeren Fokus auf Cybersecurity-Aspekte werfen. Darunter fallen unter anderem der Umgang mit Schwachstellenmanagement, Fernwartungskonzepte und das Lifecycle-Management der jeweiligen Betriebssysteme.
Unternehmen müssen an dieser Stelle mit den Zulieferern und Herstellern von Maschinen und Anlagen in den konstruktiven Austausch gehen. Diese können sich als starker Partner an der Seite des produzierenden Gewerbes positionieren und ihnen dabei helfen, eine feinmaschige und übersichtliche Struktur in die Industrieanlagen zu bringen. So wiederum generieren die Entscheider in den Unternehmen Transparenz über ihre Fertigungsstraßen – und schaffen so ein sichereres Umfeld.
Reaktionszeiten verringern
Dadurch kristallisieren sich zudem zwei weitere Aspekte heraus: kritische Anlagenbereiche und Schwachstellen im System. Erfahrungsgemäß verhindert die operative Komplexität der Produktion schnellere Reaktionszeiten und ein besseres Schwachstellenmanagement.
Schaffen Unternehmen jedoch transparente Anlagensysteme, können sie definieren, welche Maschinen für den Fortbestand der Produktion besonders wichtig sind. Sie müssen gegebenenfalls auch tagelang ohne Kontakt zur IT laufen können, um größere finanzielle Schäden abzuwenden. Für diese Bereiche ist es sinnvoll, manuelle Workarounds zu implementieren, sodass sie auch an maliziösen Kontaktpunkt „vorbei“ arbeiten können.
Eine klare Struktur legt darüber hinaus bislang unentdeckte Schwachstellen in der Fertigung offen. Sind diese definiert, gilt es abzuklären, wie sie behoben werden können. Bei Patches muss die interne IT-Abteilung neue Patch-Zyklen definieren. Im Gegensatz zu Systemupdates der Büro-IT können Maschinen nicht unbedingt freitagabends heruntergefahren werden, um gepatcht zu werden. Hier bieten sich die beispielsweise Schichtwechsel an, in denen die Produktion sukzessive gedrosselt werden kann – schließlich sollte auch nicht die ganze Maschinerie gleichzeitig gestoppt werden.
Dass die OT-Sicherheit noch immer vielerorts einer IT-Security-Strategie hinterherhinkt, ist nicht überraschend. Umso wichtiger ist es in Zeiten des IoT jedoch, dass sich Unternehmen eine adäquate Sicherheitsstrategie für ihre Operations Technology auf die Agenda setzen. Andernfalls drohen sie, in einer zunehmend vernetzten Welt den Anschluss zu verlieren. Möchten sie ihre Industrieanlagen vor Cyberangriffen schützen, müssen Fertigungsbetriebe jetzt erste Maßnahmen implementieren, diese regelmäßig prüfen und gegebenenfalls aktualisieren.
Simeon Mussler ist COO bei Bosch CyberCompare.