Albtraum Cyberangriff! So können sich Industrieunternehmen schützen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Albtraum Cyberangriff! So können sich Industrieunternehmen schützen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Die digitale Transformation in der Industrie beschleunigt Prozesse und senkt operative Kosten. Sie ermöglicht außerdem neue Geschäftsmodelle. Durch die damit einhergehende Digitalisierung und zunehmende Konvergenz von Informationstechnologie und Automatisierungs- bzw. Prozessleittechnik, sehen sich viele Industrieunternehmen mit einer veränderten Bedrohungslage konfrontiert - zum Beispiel durch einen Cyberangriff. Von Wolfgang Kiener
Cyberangriff

Eines vorweg: Schwachstellen lassen sich nicht vollständig vermeiden und präventive Sicherheitsmechanismen zum Schutz der Infrastruktur reichen alleine nicht aus. TÜV Rheinland i-sec hat sich eingehend damit befasst, wie sich die digitale Fabrik gegen einen Angriff absichern lässt. Es gilt, Bedrohungen zu erkennen, zu überwachen und entsprechend zu behandeln. Die Bedrohungen können, abhängig vom Unternehmen, seiner Produktion oder Dienstleistung, vielfältig sein. Schadsoftware, die durch Mitarbeiter oder Partnerfirmen über USB-Sticks und Wartungszugänge verbreitet wird, betrifft alle Unternehmen. Aber auch der zielgerichtete Datenklau von Unternehmensgeheimnissen, nimmt vor allem im deutschen Mittelstand zu. Demzufolge ist neben der Überwachung der Produktion hinsichtlich Qualität und Produktionsmenge auch das Überwachen und die Adressierung von Cyberbedrohungen unabdingbar. Umfragen und Statistiken zu realen Cyberangriffen verdeutlichen den akuten Handlungsbedarf: Organisationen benötigen im Durchschnitt 197 Tage zum Erkennen und weitere 69 Tage, um die Folgen eines Cyberangriffs zu beheben.

Unternehmen unterschätzen Risiken eines Cyberangriffs auf Industrieanlagen

In der Studie „Industrial Security 2019: ein Ausblick von TÜV Rheinland“ geben 40 Prozent der befragten Unternehmen an, dass die Risiken durch Cyberangriffe auf Industrieanlagen noch nie untersucht  wurden. Weitere 34 Prozent wissen nicht, ob das eigene Unternehmen diese Risiken schon einmal untersucht hat. Zudem hat nur jedes fünfte Unternehmen entsprechende Maßnahmen für Cybersicherheit auf die besonderen Gegebenheiten seiner Industrieanlagen zugeschnitten. Die Studienergebnisse sind besorgniserregend vor dem Hintergrund, dass die Schwachstellen der digitalen Fabrik und die Bedrohung der industriellen Sicherheit mehr denn je ein Unternehmensrisiko darstellen. Produktionsausfälle oder durch einen Cyberangriff verursachten Qualitätsmangel schlagen sich direkt in den  Unternehmenskennzahlen nieder. Wesentlich gravierender sind Angriffe auf Sicherheitslücken von Industrieanlagen oder der sogenannten kritischen Infrastruktur, wie zum Beispiel beim Militär, im Luft- oder Schienenverkehr oder in der Lebensmittelproduktion, die für Mensch und Umwelt zur Gefahr werden. Hier besitzt Cybersicherheit eine gesellschaftliche Komponente, die die Bedeutung eines jeden Unternehmens und jeder Organisation um ein Vielfaches überragt.

Das Purdue-Model stellt komplizierte Automatisierungsnetze anschaulich in fünf Ebenen dar. Beginnend mit Ebene 5 für das Enterprise Business bis Ebene 0, die die am industriellen Prozess beteiligen Sensoren und Aktoren beinhaltet.

TÜV Rheinland hat anhand des Modells bekannte Schwachstellen und Angriffe auf den verschiedenen Ebenen analysiert (siehe Abbildung 1). Durch die Verschmelzung von Informationstechnologie und Automatisierungstechnik bzw. Prozessleittechnik (Operational Technology, OT) rücken Schwachstellen und Bedrohungen aus dem IT-Umfeld bei der Risikobetrachtung von OT-Umgebungen in den Vordergrund. Darüber hinaus werden vermehrt Schwachstellen in OT-Komponenten auf Ebene 1 und 2 identifiziert. Angreifer gehen in der Regel stufenweise vor und kombinieren verschiedene Schwachstellen auf mehreren Ebenen, um über die höheren Ebenen von 5 bis 1 einen unbefugten Zugriff auf Sensoren und Aktoren auf Ebene 0 zu erlangen.

CyberagriffeQuelle: Grafik: TÜV Rheinland
Abbildung 3: Schutzziele in der digitalen und physischen Welt; Grafik: TÜV Rheinland

Schutz vor einem Cyberangriff: Überwachen von Cyberbedrohungen

Die zielgerichtete Reduzierung der Unternehmensrisiken verursacht durch Cyberbedrohungen in OT bedarf eines unternehmensweiten und integrierten Risikomanagements. Ein integriertes Risikomanagement beinhaltet unter anderem Zulieferkette, betriebliches Kontinuitätsmanagement, IT und OT. Risiken dürfen nicht isoliert betrachtet und gesteuert werden – die Risiken sind bereichsübergreifend, und Angreifer unterscheiden nicht zwischen OT und IT. Ferner müssen unterschiedliche Anforderungen hinsichtlich Schutzbedarf und Machbarkeit Berücksichtigung finden (siehe Abbildung 2).

Industrial Cyber SecurityQuelle: Grafik: TÜV Rheinland
Abbildung 2: OT und IT Schutzbedarf im integrierten Risikomanagement

Die typischen IT-Schutzziele Vertraulichkeit (C), Integrität(I) und Verfügbarkeit(A) werden in OT unterschiedlich bewertet.  In OT hat der Stückzahlendurchsatz und Qualität Vorrang, weshalb Verfügbarkeit und Integrität von größer Bedeutung sind (AIC). In IT die Verfügbarkeit in der Regel an zweiter oder dritter Stelle steht (CIA) und die Vertraulichkeit von Daten höher gewichtet ist. Im Rahmen der digitalen Transformation findet zunehmend eine ergänzende Schutzzieldefinition basierend auf Privacy, Safety und Reliability Anwendung, die den notwendigen Bezug zu Mensch und Umwelt herstellt und damit der Verschmelzung von physischer und digitaler Welt gerecht wird (siehe Abbildung 3).

CyberangriffQuelle: Grafik: TÜV Rheinland





Abbildung 3: Schutzziele in der digitalen und physischen Welt; Grafik: TÜV Rheinland

Risikomanagement erfordert eine andere Organisationstruktur

Ein integriertes Risikomanagement erfordert eine übergreifende und zentrale Steuerung der Teams. Vor dem Hintergrund einer Annährung von Operational Technology (OT) und IT müssen die operativen Teams aus diesen Bereichen eng zusammen arbeiten und von zentraler Stelle aus gesteuert werden. Zur Beschleunigung dieses Prozesses sollten vom Risikomanagement ausgehend, übergreifende und anwendbare Richtlinien entwickelt werden. Zur Erhöhung der Akzeptanz müssen etwaige persönliche und unternehmenskulturelle Unterschiede zwischen OT und IT Berücksichtigung finden. Das gegenseitige Verständnis und Zusammenarbeit kann weiter durch bereichsübergreifende Programme wie z.B. Schulungs- und Mentor-Programme gestärkt werden. Abbildung 4 zeigt beispielhaft eine integrierte Organisationsstruktur, die die heutige Trennung von OT und IT berücksichtigt aber deren übergreifendes Management und integrierte Steuerung unterstützt. Langfristig werden die Security Management & Engineering  und Operations weiter organisatorisch zusammenwachsen.

CyberangriffeQuelle: Grafik: TÜV Rheinland
Abbildung 4: Beispiel einer integrierten Organisationsstruktur

Zur Initiierung und Beschleunigung der organisatorischen Konvergenz empfiehlt sich die Etablierung eines cross-funktionalen SMEs (Subject Matter Experts, Tought Leader), der zwischen den verschiedenen Anforderungen und Voraussetzungen vermittelt und die Machbarkeit von Lösungsvorschlägen beurteilen und managen kann. Ein Bi-Linguist, der nicht nur fachlich sondern auch sprachlich und kommunikativ beide Welten organisatorisch zusammenführt und integriert.

Autor: M. Sc. Wolfgang Kiener von TÜV Rheinland i-sec GmbH

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

avatar
  Abonnieren  
Benachrichtige mich bei

Andere Leser haben sich auch für die folgenden Artikel interessiert

Massivit 3D Printing Technologies, führend bei großformatigen 3D-Drucklösungen für die visuelle Kommunikation, eröffnet in Belgien ein europäisches Demo Center. Das Unternehmen reagiert damit auf erhöhte Verkaufszahlen in der gesamten EMEA-Region, die auf fulminant wachsendes Interesse am 3D-Druck zurückzuführen sind.

Top Jobs

Experienced Consultant SCM Digitalization in Production and Lean Management (w/m/d)
Siemens Management Consulting, Büro München oder Erlangen
Experienced Consultant in Advanced Analytics, focus Data Science (w/m/d)
Siemens Management Consulting, Büro München
Experienced Consultant in Project Business (w/m/d)
Siemens Management Consulting, Büro München oder Erlangen
› weitere Top Jobs

Redaktionsbrief

Tragen Sie sich zu unserem Redaktions-Newsletter ein, um auf dem Laufenden zu bleiben.

Aktuelle Ausgabe

Topthema: Flexibles Arbeiten auch für spezialisierte Poweruser

Workstations für mobile Mitarbeiter und HomeOffice

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.