- Zahl der durch NIS2 und KRITIS-Dach regulierten Organisationen erweitert sich auf über 30.000
- eco Verband gibt 9 Tipps zur Steigerung der Cyber-Resilienz industrieller Steuerungsanlagen
Mit der zunehmenden Vernetzung von Maschinen werden Industrieanlagen verwundbarer gegenüber Cyberangriffen. Zudem ändert sich die Regulierung dieses Jahr deutlich mit dem KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz: Die Anzahl künftig regulierter Unternehmen erweitert sich auf über 30.000. Wie Unternehmen auch in ihrer OT (Operational Technology) die strengeren Vorgaben erfüllen, dafür gibt die Kompetenzgruppe KRITIS im eco Verband neun Tipps.
Industrielle Steuerungs- und Automatisierungssysteme, kurz häufig unter dem englischen Begriff OT bekannt, werden mit langfristiger Perspektive entwickelt: 30 Jahre lang Produktionsanlagen mit derselben Software zu steuern und zu überwachen ist keine Seltenheit. Viele OT-Systeme wurden deshalb schon in Betrieb genommen, ohne moderne Cybersecurity-Methoden berücksichtigen zu können. Und weil sie nicht ohne erheblichen Aufwand auf den notwendigen Stand der Sicherheitstechnik gebracht werden können, sind sie beliebte Ziele krimineller Cyberattacken. Auch vor dem Hintergrund der sich ändernden Regulierung durch KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz ist es dringend geboten, Sicherheitsstrategien zu überdenken und zu stärken, um die Integrität und Zuverlässigkeit kritischer Infrastrukturen zu gewährleisten.
„Jetzt ist die Zeit, in der Betreiber kritischer Anlagen gut beraten sind, für mehr Cyber-Resilienz zu sorgen“, sagte Ulrich Plate, nGENn GmbH und Leiter der eco Kompetenzgruppe KRITIS. „Das klingt leichter als es ist, und für industrielle Steuerungsanlagen wird es manchmal besonders kompliziert: Wartungsfenster für ein Softwareupdate kann man dort nicht einfach mal für nächste Woche einplanen, sondern vielleicht erst im nächsten Jahr.“ Wenn NIS2 und KRITIS-DachG auch in Deutschland in Kraft treten, werden auch zahlreiche neue Organisationen unter die Regulierung fallen, die bislang noch nicht zu den Betreibern kritischer Infrastrukturen gezählt wurden, und auch Produktionsanlagen mit ausgeprägter Operational-Technology-Umgebung werden davon erstmals betroffen sein. Auch an sie werden die Anforderungen an ihre Cybersicherheit dadurch deutlich anspruchsvoller. „Bei Verstößen gegen Pflichten wie mangelnder Umsetzung von Sicherheitsmaßnahmen oder versäumten Melde- und Registrierungsfristen drohen empfindliche Bußgelder und vor allem persönliche Haftungsrisiken für die Geschäftsleitungen“, sagt Plate und gibt neun konkrete Tipps für mehr OT-Sicherheit:
- Identifizieren Sie Schwachstellen und Bedrohungen in Ihren OT-Systemen. Führen Sie regelmäßige Risikoanalysen durch, um aktuelle und potenzielle Sicherheitslücken zu erkennen und zu bewerten.
- Netzwerksegmentierung: Trennen Sie IT- und OT-Netzwerke voneinander, um die Angriffsfläche zu minimieren. Segmentieren Sie OT-Netzwerke weiter, um den Schaden im Falle eines Angriffs zu begrenzen.
- Härtung von OT-Systemen: Deaktivieren Sie unnötige Dienste und Ports auf OT-Geräten. Stellen Sie sicher, dass nur autorisierte Anwendungen und Benutzer auf diese Systeme zugreifen können.
- Sicherheitsupdates und Patch-Management: Halten Sie alle OT-Systeme und -Geräte auf dem neuesten Stand, indem Sie regelmäßig Sicherheitsupdates und Patches anwenden. Entwickeln Sie Verfahren, um kritische Updates zeitnah zu installieren.
- Zugangskontrolle und Authentifizierung: Implementieren Sie starke Zugangskontrollmechanismen. Verwenden Sie mehrstufige Authentifizierung (MFA) und sorgen Sie dafür, dass nur autorisierte Benutzer Zugang zu OT-Systemen haben.
- Schulung und Sensibilisierung der Mitarbeiter: Schulen Sie Ihre Mitarbeiter regelmäßig in Bezug auf Cybersecurity-Best Practices. Stellen Sie sicher, dass alle Mitarbeiter, die mit OT-Systemen arbeiten, über die aktuellen Bedrohungen und Schutzmaßnahmen informiert sind.
- Überwachung und Incident Response: Implementieren Sie kontinuierliche Überwachungs- und Erkennungsmechanismen für OT-Netzwerke. Entwickeln und testen Sie Incident-Response-Pläne, um schnell auf Sicherheitsvorfälle reagieren zu können
- Sicherheitsrichtlinien und -verfahren: Erstellen und implementieren Sie klare Sicherheitsrichtlinien und -verfahren für den Betrieb und die Wartung von OT-Systemen. Stellen Sie sicher, dass alle Mitarbeiter diese Richtlinien verstehen und befolgen.
- Zusammenarbeit und Informationsaustausch: Fördern Sie die Zusammenarbeit und den Informationsaustausch mit anderen Unternehmen und Behörden. Nutzen Sie Informationsplattformen, um über aktuelle Bedrohungen und Sicherheitsvorfälle informiert zu bleiben.