Jürgen Weiss, CEO von ARES Cyber ­Intelligence, und Nicolai Czink, ­Leiter Strategie bei Bacher Systems, über Herausforderungen für die Industrie in Sachen Operational Technology (OT).

Titelbild: Jürgen Weiss - er wurde mit ARES Cyber Intelligence mit dem »EU Cyber Award 2022« in der Kategorie ­»Incident Responder of the Year« ausgezeichnet. (Credit: ARES)

Vor welchen Herausforderungen stehen Industrieunternehmen in Sicherheitsfragen?

Jürgen Weiss, ARES: Wir sehen in unseren OT-Tests oft, dass es sehr an Einzelpersonen in Firmen hängt, wie gut abgesichert der OT-Bereich ist. Es gibt einfach zu wenig Ressourcen, die ein ganzheitliches Verständnis zu IT- und OT-Security haben. Das wird dadurch erschwert, dass es in Industriebetrieben sehr spezielle Systeme gibt, mit denen man in der Ausbildung kaum aus Sicht der Security zu tun hat. Es gibt daher oft »Schnittstellenprobleme« , zwischen den Anlagenbetreibern und den IT/OT-Security-Verantwortlichen. Dazu kommen oft ältere Systeme und wenig Budget für die nötigen Maßnahmen, sowie einer Zuordnung der Verantwortlichkeit.

Die Verbindung von IT, OT und die Schnittstellen, die es zuvor selten gab, werden wohl eine große Herausforderung: Denn vielen Firmen ist nicht bewusst, was die Hersteller im Detail in ihren Komponenten tun, und welche Auswirkungen es haben kann, wenn man Opfer eines Cyberangriffs wird. Die größten Schwierigkeiten sind aus meiner Sicht die notwendigen Prozesse, aber auch das entsprechende Know-how sowie die verfügbaren Personalressourcen. Es braucht Fachkräfte, die über den Tellerrand hinausschauen und über die notwendige Erfahrung verfügen.

Nicolai Czink, Bacher Systems: Wir sehen bei unseren Kunden, dass die IT einen immer wesentlicheren Beitrag zum direkten Geschäftserfolg leistet, insbesondere durch eine zunehmende Digitalisierung der Produktion im Zuge der Industrie 4.0 oder Smart Factory. Die beiden Welten IT und OT wachsen stärker zusammen. Insbesondere digitale Zwillinge, die Individualisierung der Produkte – hin zu Stückgröße eins – und moderne Kundenportale bestimmen auch die Entwicklung in der OT. Durch diese Anforderungen ist die Agilität in der OT eingezogen – das erfordert den Einsatz neuer Technologien, wie zum Beispiel Containertechnologien.

War früher nur die klassische IT schützenswert, so ist es heute die gesamte Wertschöpfungskette eines Unternehmens. Das Gefahrenpotenzial ist jedoch in der OT vollkommen anders strukturiert als bei der klassischen Unternehmens-IT. Vielfach existieren noch veraltete Systeme und auch kleine Ausfälle können immensen Schaden anrichten. Auch die direkte Gefahr für die unmittelbar arbeitenden Personen darf nicht außer Acht gelassen werden. Gleichzeitig sind die Industrieunternehmen oft mit dem Einsatz neuer Technologien durch die herrschend  Personalknappheit überfordert.

Der renommierte Cybersecurity-Experte Nicolai Czink ist ­Leiter Strategie bei Bacher Systems. (Bild: Bacher Systems)

Wie gut sind Anlagen in Österreich tatsächlich geschützt? In welchen Bereichen sehen Sie noch Verbesserungsbedarf?

Jürgen Weiss: Unsere Erfahrungen zeigen, dass viele Firmen bereits mit der Sicherheit der eigenen Office-IT eine Herausforderung finden, da ist an OT-Security oft nicht einmal zu denken. Daher kann es durchaus vorkommen, dass man ohne großen Aufwand aus dem IT-Netzwerk heraus mehrere OT-Assets findet und diese manipulieren könnte. Zudem sehen wir oft extern erreichbare Systeme, die auf Fehlkonfigurationen zurückzuführen sind.

Was in den letzten Jahrzehnten durch »Air Gapping«, Physical Security und die Erfahrung des Unternehmens in den Produktionsbereichen abgedeckt war, wird durch die Verknüpfung von IT und OT massiv aufgeweicht. Richtlinien wie die NIS 2.0 nehmen die betroffenen Unternehmen in die Pflicht, auch hier in Früherkennung und in mögliche Abwehrmaßnahmen zu investieren. Wir setzten dabei auf unseren Partner ­SIGA SEC und bieten Technologie Services für OT-Überwachungs-, Anomalieerkennungs- und Cybersicherheitslösungen für kommerzielle, industrielle, kritische Infrastruktur, ICS- und SCADA-Systeme.

Es liegt oft sehr oft an fehlender Awareness, am notwendigen, aber fehlenden Budget und einer dünner Personaldecke. Es benötigt »C-Level Awareness«, dass dieses Thema nicht nur eine weitere Kostenstelle ist. Qualifizierte IT/OT-Security kostet etwas, sie ist komplex, schwierig und anspruchsvoll – und es gibt keine direkte Sichtbarkeit des Erfolges der Arbeit.

Nicolai Czink: Der wirksame Schutz vor Cyberangriffen steht noch viel zu selten auf der Agenda der Produktionsverantwortlichen. Verbesserungsbedarf besteht vor allem in der Definition und Umsetzung einer einheitlichen IT-Security-Strategie für IT und OT. Nur damit können Lücken vermieden werden, welche potenzielle Angreifer ausnützen. Insbesondere die Absicherung von Admin-Accounts und Accounts externer Dienstleister (»Privileged Account Security«) ist eine essenzielle Schutzmaßnahme. Wenn doch etwas passiert, ist das »Business Continuity Management« in Hinblick auf 
Cyberangriffe meist zu schwach ausgeprägt. Der Aufbau der Fähigkeit, nach erfolgreichen Angriffen Systeme schnell und sicher wiederherzustellen, und damit die Auswirkungen eines Angriffs abzufedern, braucht dringend Zuwendung.

Vorsicht ist besser als Nachsicht

Die Atos-Tochter addIT hat gemeinsam mit Check Point die IT-Sicherheit des Kärntner Stahl- und Anlagebauunternehmens Urbas auf einen neuen Level gehoben. Zunächst wurde ein sogenanntes »Security Checkup« durchgeführt. Dabei handelt es sich um ein Assessment, das dabei hilft, potenzielle und tatsächliche Sicherheitsrisiken im Unternehmensnetzwerk zu identifizieren. Anschließend erhielt Urbas einen Analysebericht über die bestehende Bedrohungslage, inklusive der identifizierten Schwachstellen und Gefährdungen. Dazu zählen zum Beispiel identifizierte Cyber-Attacken inklusive der Empfänger*innen bösartiger Malware. Für alle Punkte erhielt Urbas praktische Empfehlungen dafür, wie man sich vor diesen Bedrohungen schützen kann.

(Bild: Urbas)

Diesen Empfehlungen folgend wurde anschließend die Check-Point-Lösung »Harmony E-Mail & Office« sowie die Check Point »Endpoint Protection«, die auf dem weltweit leistungsstärksten Pool an Bedrohungsinformationen und Erkenntnissen aus über 60 Engines zur Bedrohungsprävention basiert, für insgesamt 180 Endpunkte, wie Laptops und PCs, sowie für 350 E-Mail-Postfächer implementiert. Sie besitzt eine benutzerfreundliche webbasierte Management-Konsole und blockiert eingehende E-Mail-Bedrohungen automatisch, ohne dabei zusätzlichen Aufwand für die Administrator*innen zu verursachen. Die Lösung stoppt zudem ausgeklügelte Phishing-Angriffe, blockiert bösartige Anhänge und stellt innerhalb von Sekunden sichere und saubere Versionen bereit. Außerdem verhindert sie den Verlust sensibler Geschäftsdaten über sogenannte »Lecks« (Data Loss Prevention – DLP). Schließlich wurde auch eine »Next Generation Firewall«, welche Cyberangriffe mit mehr als 60 Sicherheitsdiensten verhindert, von den addIT-Expert*innen installiert, konfiguriert und in Betrieb genommen.