Die Ransomeware-Wette
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
Die NIS2-Richtlinie soll die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Cyberangriffe verbessern und wichtige Grundlagen dafür schaffen, dass Organisationen angemessene Sicherheitsmaßnahmen ergreifen. Im Kontext von OT-Netzwerken ist die Umsetzung der Anforderungen von besonderer Bedeutung, denn sie steuern und überwachen industrielle Prozesse und kritische Infrastrukturen wie Stromnetze, Wasserverteilungssysteme und vor allem auch Fertigungsanlagen.
Aufgrund der zunehmenden Vernetzung und Digitalisierung dieser Systeme steigt das Risiko von Cyberangriffen in diesem Bereich. Aufbauend auf unserem Ratgeber zur NIS2-Konformität für Hersteller und die Produktion finden Sie an dieser Stelle kompakte Informationen, wie Sie NIS2 in OT-Netzwerken richtig umsetzen können und welche Lösungen es für typische Herausforderungen gibt.
Es gibt heute keine klare Trennung mehr zwischen der „Produktion“ und dem „Büro“ oder der „Verwaltung“. Die meisten Prozesse sind eng miteinander verzahnt. Maschinen und Anlagen liefern wichtige Daten und lassen sich auch aus der Ferne steuern. Das hat zahlreiche Vorteile im Hinblick auf die Effizienz, birgt aber die Gefahr einer schnellen Ausweitung von beispielsweise Malware im Falle eines Cyberangriffs. Im Ernstfall dauert es nur einen Wimpernschlag bis die komplette Produktionsanlage ausfällt.
In Anbetracht dieser Fakten ist es insbesondere für Betriebe in der Fertigung und der Produktion wichtig, eine größtmögliche Cyberresilienz aufzubauen. Um Compliance-Verstöße zu vermeiden, sollten sie ihre NIS2-Betroffenheit prüfen und die NIS2-Richtlinie richtig umsetzen.
Betroffene Unternehmen müssen Nachweise darüber erbringen, dass sie die Anforderungen der Richtlinie pünktlich und korrekt umgesetzt haben. Diese Punkte decken das komplette Spektrum von der Prävention bis zur Reaktionsschnelligkeit im Notfall ab.
Die wichtigsten NIS2-Anforderungen für Produktion & Gewerbe im Überblick:
Einige dieser Anforderungen lassen sich in OT-Netzwerken vergleichsweise schnell und leicht umsetzen. Der Fokus liegt in diesem Beitrag auf den Themen, die Produktion und Fertigung regelmäßig vor Herausforderungen stellen.
OT-Netzwerke sind in vielen Betrieben über Jahre hinweg gewachsen und regelmäßig um verschiedene Komponenten erweitert worden. Der Fokus lag dabei meistens auf der Funktionalität, der Kosteneffizienz und der Kompatibilität aller Netzwerkbereiche – Cybersicherheit war eher ein Randthema. Viele bestehende Sicherheitslücken sind den Verantwortlichen gar nicht bekannt. Zu den Hauptproblemen gehören eine unsichere Authentifizierung, überflüssige Protokolle und die Nutzung von veralteter und unsicherer Software.
Seit NIS2 müssen die Prioritäten neu gedacht werden. Allerdings ergeben sich in der Umsetzung verschiedene Herausforderungen, für die produzierende Unternehmen Lösungen finden müssen. Daher finden Sie im folgenden Best Practices für den Umgang mit Problemen bei der Umsetzung von NIS2 in OT-Netzwerken.
Eine der größten Herausforderungen bei der Umsetzung der NIS2-Sicherheitsmechanismen in OT-Netzwerken ist die oft begrenzte Rechenleistung der verwendeten Hardware. Viele OT-Systeme wurden speziell für eine industrielle Aufgabe entwickelt und haben daher nur die dafür notwendige CPU-Leistung und Speicherkapazität. Für die Integration von Sicherheitssystemen wie Intrusion Detection Systems (IDS), Firewalls oder Verschlüsselungstechnologien werden aber zusätzliche Kapazitäten benötigt.
Lösungsansatz für die NIS2-Umsetzung
Es braucht für OT-Netzwerke ressourcenschonende Lösungen. Sollten mehr Ressourcen für die OT-Sicherheit benötigt werden, gibt es auch die Möglichkeit eines Hardware-Upgrades. Zudem kann überlegt werden, ob eine Verlagerung rechenintensiver Sicherheitsaufgaben auf Edge-Geräte, die näher an den OT-Systemen platziert sind und mehr Rechenleistung bieten, im speziellen Fall lohnt.
Viele OT-Netzwerke basieren auf älteren, oft proprietären Systemen und Softwarelösungen, die nicht besonders detailliert dokumentiert sind. In diesen Legacy-Systemen gibt es häufig Sicherheitslücken, die schwer zu identifizieren und zu beheben sind, weil der ursprüngliche Entwickler nicht mehr verfügbar oder der Quellcode nicht zugänglich ist.
Lösungsansatz für die NIS2-Umsetzung
In diesem Fall ist die Durchführung regelmäßiger Sicherheitsaudits durch Sicherheitsexperten angeraten, um diese Schwachstellen aufzuspüren. Außerdem lohnt es sich, noch im Nachgang eine fundierte Dokumentation zu erstellen und damit den internen Wissenstransfer zu verbessern. Darüber hinaus kann überlegt werden, Virtualisierungs-Technologien anzuwenden, um ältere OT-Systeme in einer kontrollierbaren und sicheren Umgebung zu betreiben.
In der Produktion und der Fertigung sind oftmals nicht nur eigene Mitarbeiter, sondern auch externe Dienstleister an der Wartung der Systeme und anderen Services beteiligt. NIS2 fordert ein Zugriffs- und Berechtigungsmanagement, das vor allem über zwei Wege umgesetzt werden kann:
Lösungsansatz für die NIS2-Umsetzung
Insbesondere externe Partner brauchen eine sichere zweite Authentifizierungsquelle. Dies kann beispielsweise über einen physischen Token erfolgen, der sich vor Ort im Unternehmen befindet. Darüber hinaus ist auch die Nutzung von Authentifizierungs-Apps möglich, die Einmal-Passwörter (OTP) auf den Smartphones der externen Partner generieren. Für den Zugang zu besonders kritischen Systemen können auch biometrische Authentifizierungsmethoden zum Einsatz kommen. Zudem sollten sowohl für feste Mitarbeiter als auch für externe Partner Zugriffsrechte basierend auf Rollen festgelegt werden.
Kommunikationskanäle sind prädestiniert dafür, zum Einfallstor für Cybervorfälle zu werden. Gerade über diese Kanäle erfolgt aber häufig der Austausch sensibler Daten. Er ist besonders sensibel bei Nutzung von Plattformanbietern wie Google, Microsoft, Zoom oder Meta, die aufgrund ihres US-amerikanischen Sitzes datenschutzrechtliche Bedenken aufwerfen. Zudem bieten VPN-Verbindungen zwar ein Mindestmaß an Authentifizierung für die Fernsteuerung von Anlagen, sind jedoch anfällig für Sicherheitslücken und können leicht von Angreifern ausgenutzt werden.
Lösungsansatz für die NIS2-Umsetzung
Bei der Herstellung von NIS2-Konformität in OT-Netzwerken sollten nur zertifizierte Sicherheitslösungen und sichere Kommunikationskanäle zum Einsatz kommen, die der EU-DSGVO entsprechen. Im Rahmen regelmäßiger Audits sollte überprüft werden, ob der praktizierte Datenschutz noch den eigenen bzw. den NIS2-Anforderungen entspricht. Auch eine Implementierung von Überwachungsmechanismen, die den Netzwerkverkehr in Echtzeit analysieren und verdächtige Aktivitäten sofort erkennen, ist oft möglich und sinnvoll.
Viele der in OT-Netzwerken verwendeten Kommunikationsprotokolle wurden ursprünglich dazu entwickelt, um die Echtzeitübertragung von Daten zu gewährleisten, ohne dass dabei Sicherheitsfunktionen wie eine Datenverschlüsselung berücksichtigt wurden. Beispiele für solche Protokolle sind Modbus, DNP3 und BACnet. Die fehlende Verschlüsselung macht diese Protokolle anfällig für Abhörangriffe, Manipulationen und andere Cyberbedrohungen. Diese Sicherheitslücke stellt ein erhebliches Risiko für die Integrität und Vertraulichkeit der in OT-Systemen übertragenen Daten dar.
Lösungsansatz für die NIS2-Umsetzung
Es können hier verschiedene technische Lösungen zum Einsatz kommen. Es kann beispielsweise eine nachträgliche Verschlüsselungsebene eingebaut werden. VPNs können dabei helfen, den gesamten Datenverkehr zwischen den OT-Geräten und der zentralen Steuerung zu sichern. Protokoll-Gateways können daneben als Vermittler zwischen den OT-Geräten und dem Netzwerk fungieren. Diese Gateways können unverschlüsselte Daten empfangen, sie verschlüsseln und dann sicher weiterleiten.
Viele OT-Komponenten sind einst ohne grundlegende Sicherheitsüberlegungen entwickelt und integriert worden. Täglich werden in diesen Komponenten neue Schwachstellen entdeckt, die ein erhebliches Risiko für die Sicherheit von OT-Netzwerken darstellen. Die Herausforderungen bei der Verwaltung dieser Schwachstellen werden durch mehrere Faktoren verschärft:
Lösungsansatz für die NIS2-Umsetzung
Es sollte in solchen Fällen unbedingt eine risikobasierte Priorisierung der Schwachstellen stattfinden, basierend auf dem Risikopotenzial und der Kritikalität der betroffenen Systeme. Eine weitere Lösung ist der Einsatz von automatisierten Tools zur Erkennung und Inventarisierung aller OT-Geräte im Netzwerk. So entsteht ein vollständiges und aktuelles Inventar aller Komponenten und neue Geräte und Änderungen im Netzwerk werden sofort erkannt. Geplant werden können auch feste Wartungsfenster, in denen Sicherheitspatches und Updates ohne erhebliche Auswirkungen auf den Betrieb installiert werden können.
Produktionsbetriebe arbeiten nicht autark, sondern sind von Zulieferern, Lieferanten und anderen Dienstleistungspartnern abhängig. Für Cyberkriminelle sind gerade diese Drittanbieter durch ihre enge Vernetzung mit den Firmen interessant. Über den Angriff auf einen der Partner gelangen sie schneller an das eigentliche Zielunternehmen. Sie nutzen dabei die Tatsache aus, dass kleinere Zuliefererfirmen nicht auf dem neusten Stand der Cybersicherheit sind.
Ein Beispiel: Cybervorfall bei ViaSat SATCOM (2022)
Im Februar 2022 wurde ViaSat, ein Anbieter von Satellitenkommunikationsdiensten, Ziel eines schwerwiegenden Cyberangriffs. Der Angriff fand am 24. Februar 2022 statt, zeitgleich mit dem Beginn der militärischen Invasion Russlands in die Ukraine. Die Angreifer hatten sich über die Tochtergesellschaft Skylogic, welche die KA-SAT-Satellitenkommunikationsplattform betreibt, Zugang zu SATCOM verschafft und Modems und Terminals deaktiviert. Die Schadsoftware wurde über das Netzwerk von Skylogic verbreitet, was zu einem massiven Ausfall von Kommunikationsdiensten führte.
Mit NIS2 stehen Produktions- und Fertigungsbetriebe nun auch in der Verantwortung, Lieferkettensicherheit herzustellen. Cybersicherheit muss neben den Kosten und der Qualität zu einem wichtigen Auswahlkriterium werden. In einem besonders kritischen Umfeld kann von einem Dienstleister sogar eine Cybersicherheitszertifizierung verklangt werden.
Unternehmen haben am Ende nur sehr bedingt Einfluss auf die Cybersicherheitsstrategie ihrer Zulieferer. In ihrer Entscheidung liegt es lediglich, ob eine Zusammenarbeit NIS2-konform möglich ist oder nicht. Die Auswahl an Systemen, Geräten und Dienstleistungen wird sich dadurch für produzierende Unternehmen einschränken. In Deutschland zeigt sich dies bereits bei Smart Metern, die eine Sicherheitszertifizierung durch das BSI benötigen. Unternehmen, die unter die NIS2-Richtlinie fallen, dürfen theoretisch nur noch mit Subunternehmen zusammenarbeiten, die ein ISMS nach ISO 27001 oder IEC 62443 implementiert haben.
Ein Lösungsansatz ist aber in der Praxis letztendlich nicht die Vermeidung sämtlicher OT-Komponenten und Dienstleister, sondern die stärkere Überwachung von Geräten und Systemen. Eine Prävention von Cybervorfällen in OT-Umgebungen ist allein durch die Zusammenarbeit mit potenziell gefährdeten Drittanbietern nur bedingt möglich. Der Trend geht daher zur kontinuierlichen Überwachung und Detektion als zweite Verteidigungslinie der Cybersicherheit, was auch von der NIS2-Richtlinie berücksichtigt wird.
Es ist am Ende die Gretchenfrage in produzierenden Unternehmen, wer für die Umsetzung der NIS2-Richtlinie verantwortlich. Interne IT-Abteilungen sind meistens bis an die Grenze ausgelastet und es fehlt an IT-Fachkräften. Durchschnittlich bleibt eine Stelle in der IT heute 7 Monate lang unbesetzt. Schlussendlich ist es gerade in mittelständischen Produktionsbetrieben eine Kostenfrage, ob ein fester Mitarbeiter eingestellt werden kann, der noch dazu NIS2-Expertise mitbringt, die es für eine korrekte und rechtskonforme Umsetzung ohne Zweifel braucht.
Aus diesen Gründen lohnt sich ein Outsourcing der NIS2-Umsetzung in den meisten Fällen. Sie bekommen damit eine NIS2 Expertise, vermeiden Compliance-Risiken und interne IT-Teams werden entlastet. Zudem können externe IT-Spezialisten die aktuelle Sicherheitslage neutral bewerten.
BREKOM ist als IT-Dienstleister auf die IT-/OT-Security mittelständischer Unternehmen in der Fertigungsindustrie spezialisiert. Diese Firmen bekommen ein maßgeschneidertes Servicepaket, das NIS2-Konformität herstellt und die IT-Sicherheit in OT-Netzwerken signifikant erhöht.
Starten Sie mit einer einfachen & pragmatischen Vorgehensweise nach dem Prinzip „minimaler Aufwand bei maximaler Sicherheit“:
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich
NIS2 – Warum sich Outsourcing lohnt Um Cybersicherheit in einem Betrieb herzustellen, reicht es heute nicht mehr aus, eine gute
Die NIS2-Richtlinie soll die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Cyberangriffe verbessern und wichtige Grundlagen dafür schaffen, dass Organisationen angemessene
Vielen Dank für Ihre Anfrage.
Aktion: Schnelligkeit zahlt sich aus! Die ersten 50 Terminbucher profitieren: Nutzen Sie den Aktionscode „NIS2-jetzt“, um Ihr NIS2-Assessment
im Wert von 249,00 EUR kostenlos zu erhalten.
Wie geht es nach der Buchung weiter?
Um das NIS2-Assessment für alle Beteiligten effizient vorbereiten zu können, melden wir uns vorm Termin und stimmen Details mit Ihnen ab.