Top-Security-Risiken, -Bedrohungen und -Anforderungen im Industrieumfeld
Cyber-Attacken sind in der Realität angekommen
Unternehmensrisiko Nr. 1: Cyber-Vorfälle
Cyber-Vorfälle, wie IT-Ausfälle, Ransomware-Angriffe oder Datenschutzverletzungen, werden – global betrachtet – im zweiten Jahr in Folge als wichtigstes Risiko eingestuft. Quelle: Allianz Risikobarometer 2023
68 % der Industrieunternehmen sind Opfer
68 % der Industrieunternehmen in Deutschland sind bereits Opfer von Cyber-Angriffen geworden. Quelle: VDMA
59 % Produktionsausfälle
59 % dieser Angriffe führen zu Produktionsausfällen. Quelle: VDMA
Fatale Risiken und Fragestellungen durch Sicherheitslücken
- Anlagenstillstand: Wie hoch sind die Wiederherstellungskosten?
- Verlust von Know-how und sensiblen Daten: Kann der Schaden wirtschaftlich quantifiziert werden?
- Image-Verlust: Wird Ihre Reputation von Partnern und Kunden in Frage gestellt?
- Erpressung mit Ransomware: Wie hoch sind die Kosten für die Rekonstruktion der Daten? Wie hoch ist die Summe des geforderten Lösegeldes?
Top-Bedrohungen im industriellen Umfeld laut BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt in regelmäßigen Abständen eine Liste der Top-10-Bedrohungen für Automatisierungssysteme heraus. Sie kann als wertvoller Impulsgeber dienen, um mögliche Schwachstellen in Ihrem Unternehmen zu identifizieren, sei es in der Fertigungs- oder Prozessautomation.
Mögliche Anwendungsbeispiele: Fabrikautomation, modernes Gebäudemanagement, Verkehrsleittechnik oder die Verteilung von Gas- und Wasserversorgung.
| Bedrohung | Handlungsfelder | |
|---|---|---|
| Platz | ||
| 1 | Einschleusen von Schadsoftware über externe Geräte | Prozesse, Technologie |
| 2 | Infektion mit Schadsoftware über Internet und Intranet | Technologie (Netzwerk) |
| 3 | Menschliches Fehlverhalten und Sabotage | Mensch, Prozesse |
| 4 | Kompromittierung von Extranets und Cloud-Komponenten | Technologie (Netzwerk) |
| 5 | Social Engineering und Phishing | Mensch, Prozesse |
| 6 | (Distributed) Denial-of-Service-Angriffe | Technologie (Netzwerk) |
| 7 | Internetverbundene Steuerungskomponenten | Technologie (Netzwerk) |
| 8 | Einbruch über Fernwartungszugänge | Technologie (Netzwerk) |
| 9 | Technisches Fehlverhalten und höhere Gewalt | Technologie |
| 10 | Soft- und Hardwareschwachstellen in der Lieferstelle | Prozesse, Technologie |
Neue Security-Anforderungen im Industrieumfeld durch Digitalisierung Entscheidend: sicheres Zusammenspiel von OT und IT
Die Digitalisierung ist einer der größten Erfolgsfaktoren für Industrieunternehmen. Doch bedingt durch die zunehmende Vernetzung und Anbindung von industriellen Maschinen und Anlagen an das Internet steigt auch das Risiko möglicher Cyber-Angriffe und Ausfälle. Dadurch verändern sich die Sicherheitsanforderungen an die Infrastruktur. Die „WannaCry“-Erpresser-Software hat bewiesen, wie innerhalb weniger Tage über 230.000 Geräte infiziert und wirtschaftliche Schäden in Höhe von über 100 Millionen Euro entstehen können.
Die Anforderungen an Industrial Security und Netzwerktechnik für eine sichere Produktionsanlage bestehen aus mehreren Ebenen. Nur auf der Basis einer Gesamtbetrachtung, die sowohl IT ( Information Technology) als auch OT (Operation Technology) umschließt, können die kritischen Schwachstellen identifiziert und Maßnahmen zur Behebung definiert werden.
Die Welt der IT wächst durch die höhere Automatisierung immer stärker mit der Welt der OT zusammen. Für eine gesamtheitliche Security ist es erforderlich, dass die von der IT definierten Maßnahmen durch zusätzliche OT-Security-Maßnahmen erweitert werden.
Genau hier greift die Norm IEC 62443, die relevante Anforderungen rund um OT für Betreiber, Integratoren und Gerätehersteller beschreibt. Wir empfehlen, diese Norm einzuhalten, da sie der zukunftsorientierteste Standard für umfassende Cyber Security ist.
Achtung: IT-Sicherheitsgesetz 2.0 wurde verabschiedet
Schutz vor Cyber-Angriffen ist keine Kür – das IT-Sicherheitsgesetz verpflichtet Betreibende von kritischen Infrastrukturen (KRITIS), ihre Anlagen und IT-Systeme gegen Cyber-Attacken zu schützen. Dabei wird ein Mindeststandard für die Sicherheit der entsprechenden IT-Infrastrukturen festgelegt.
Achtung: Das IT-Sicherheitsgesetz wurde trotz vielfacher Kritik am 23.04.2021 in der Version 2.0 beschlossen. Erfahren Sie, welche neuen Pflichten auf Betreibende kritischer Infrastrukturen zukommen und welche es bisher schon zu erfüllen gab.
Unabdingbar: ganzheitlicher 360°-Industrial-Security-Ansatz
Eine umfassende Sicherung Ihrer Produktion erfordert eine übergreifende Vorgehensweise. Neben der Technologie werden hierbei zusätzlich die zentralen Aspekte „Mensch“ und „Prozesse“ berücksichtigt. Die letzten beiden Punkte werden bei der Entwicklung eines Security-Konzepts oftmals unterschätzt bzw. vernachlässigt, wodurch es in der Praxis zu erheblichen Sicherheitslücken und Folgeschäden für Unternehmen kommt. Hacker-Angriffe haben somit ein leichtes Spiel.
