Gefahren für Betriebstechnik (OT) werden massiv unterschätzt

In den meisten Unternehmungen ist die Verantwortung und der Betrieb der klassischen Informationstechnologie (IT) von dem Betrieb der Hard- und Software zur Steuerung der Produktionsanlagen (OT) getrennt. Das führt unter anderem dazu, dass besonders die wachsenden Vorgaben für die Informationssicherheit in diesem Bereich stark vernachlässigt werden.

Skybox Security hat kürzlich eine Studie durchgeführt und festgestellt, dass in den letzten 36 Monaten 83% der Unternehmen erfolgreich angegriffen wurden. Gleichzeitig ergab die Studie, dass knapp dreiviertel der Verantwortlichen glauben, dass es im nächsten Jahr nicht zu einem größeren Informationssicherheitsvorfall kommen wird.

Unternehmen können ohne OT nicht arbeiten und auch die breite Öffentlichkeit verlässt sich auf diese Technologie, wenn es um Dienstleistungen wie Wasser und Energie geht. Cyberkriminelle wissen, dass viele Unternehmen Sicherheitssysteme nicht aktualisieren. Das bedeutet, dass sie eine hohe Erfolgswahrscheinlichkeit bei Ransomware-Angriffen auf OT-Systeme sehen

so Gidi Cohen, CEO von Skybox Security.

Die Schwierigkeiten im Kampf um die OT-Sicherheit liegen in

• der Komplexität der Netzwerke
• funktionalen Silos
• Risiken in der Lieferkette und
• begrenzten Möglichkeiten zur Behebung von Schwachstellen.

Es ist bekannt, dass Kriminelle diese Lücken auf vielfältige Weise ausnutzen, um nicht nur einzelne Unternehmen, sondern auch die Öffentlichkeit zu gefährden.

Die wichtigsten Erkenntnisse

Konformität ist keine Garantie für Sicherheit: Konformitätsstandards gewährleisten keine angemessene Sicherheit im Falle von Zwischenfällen. Die Einhaltung von Vorschriften und Anforderungen ist aber das Hauptanliegen der Mehrheit der Befragten.

Komplexität treibt die Risiken: Drei/viertel der Befragten gaben an, dass die Komplexität aufgrund von Multivendor-Technologien eine Herausforderung bei der Sicherung ihrer OT-Umgebung darstellt. Darüber hinaus gaben 39 Prozent aller Befragten an, dass das Haupthindernis für die Verbesserung der Sicherheit darin besteht, dass Entscheidungen in den einzelnen Geschäftsbereichen unabhängig und ohne zentrale Aufsicht getroffen werden.

Cyber-Versicherungen sind für einige ausreichend: 34% der Befragten halten eine Cyber-Haftpflichtversicherung für eine ausreichende Lösung. Die Cyber-Haftpflichtversicherung deckt jedoch keine Geschäftskosten ab, die durch einen Ransomware-Angriff entstehen. Dies ist eine der drei größten Sorgen der Befragten.

Funktionale Silos führen zu Prozesslücken und technologischer Komplexität: Sicherheitsverantwortliche, Architekten, Ingenieure und Betriebsleiter sehen sich bei der Sicherung der OT-Infrastruktur mit den Herausforderungen funktionaler Silos konfrontiert. Wenn Abteilungen unterschiedliche Vorgehensweisen anwendet, sinkt die Erfolgswahrscheinlichkeit.

Bedrohung durch Lieferanten und Dritte: Fast die Hälfte der Befragten gab an, dass der Zugriff Dritter auf die OT zu den drei größten Sicherheitsrisiken gehört. Diese Unternehmen haben keine Richtlinien für den Zugang von Dritten auf die Produktionssysteme.

Informationssicherheit ist Chefsache

Wie auch bei der “normalen” IT ist die Informationssicherheit der Produktionssysteme keine Verantwortung der Produktionsleitung, sondern muss von der Unternehmensführung verantwortet und umgesetzt werden. Die Überwachung der Prozesse, Ausbildung der Mitarbeiter und Umsetzung von Standards ist zentral zu überwachen und muss regelmäßig den aktuellen Bedrohungen angepasst werden.