logo lineofbiz

Absicherung der deutschen Industrieproduktion und KRITIS:Es bedarf OT-spezialisierter Lösungen

9. November 2022
titel bild
Quelle: pira555, Adobe Stockphoto

Vor einem Jahrzehnt beschäftigten sich die meisten deutschen Industrieunternehmen und Betreiber kritischer Infrastrukturen (KRITIS) mit IT-Sicherheit, aber weniger mit der Sicherung ihrer Betriebstechnik (OT). Heute ist das Umfeld grundlegend anders.

Das liegt daran, dass industrielle Fertigungs- und KRITIS-Umgebungen zunehmend auf verbundene IT-, OT- und industrielle IoT-Netzwerke angewiesen sind. Dies vergrößert die digitale Angriffsfläche und macht es für Cyber-Angreifer attraktiver, deutsche Industrien und Infrastrukturgeschäftsabläufe ins Visier zu nehmen.

Darüber hinaus müssen Unternehmen nicht nur ihre Geschäftskontinuität und betriebliche Widerstandsfähigkeit sicherstellen, sondern auch die strengen deutschen und EU-Vorschriften einhalten. Die Nichteinhaltung dieser Vorschriften kann zu Ordnungswidrigkeiten und Geldbußen führen und sich nachteilig auf ihr Geschäft und ihre Aktionäre auswirken.

Der Schutz vor Cyber-Angriffen, die auf Hersteller und Betreiber kritischer Infrastrukturen abzielen, hat in der Praxis Priorität und ist kein theoretisches Konzept. Im Januar 2022 wurden zwei deutsche Brennstofflager- und -vertriebsunternehmen gehackt. Auch drei deutsche Windenergieunternehmen wurden kurz nach dem Einmarsch Russlands in die Ukraine Opfer von Cyber-Angriffen.
Vor drei Jahren stellte der Münchner Automobilhersteller BMW fest, dass sein internes Netzwerk gehackt worden war. Auch der größte Pharmakonzern des Landes, die Bayer AG, wurde Opfer eines Cyber-Angriffs auf seine Netzwerke. Jedes dieser realen OT- und IT-Sicherheitsereignisse hatte Auswirkungen auf KRITIS-Betreiber und industrielle Fertigungsunternehmen sowie auf Unternehmen und Endnutzer in ihrer Lieferkette.

In den Wochen vor dem Einmarsch in die Ukraine konzentrierten sich russische Hacker Berichten zufolge auf Cyber-Angriffe gegen Dutzende von LNG-Unternehmen. Als der Krieg begann, sahen sich Deutschland und andere EU-Länder sofort mit Problemen bei der Sicherheit der Energieversorgungskette konfrontiert, was die EU-Länder veranlasste, ihre Abhängigkeit von russischen Gas- und Öleinfuhren zu verringern.

Die Ausnutzung der Energieversorgung als Waffe durch Russland, die anhaltenden Cyber-Sicherheitsrisiken und das Potenzial für weitere Angriffe auf deutsche KRITIS-Betreiber und Industrieunternehmen dürfen nicht ignoriert werden. In diesem Umfeld ist es für diese Unternehmen ratsam, ein umfassendes OT-Sicherheitsrisikomanagement einzuführen. Dies kann ihnen dabei helfen, die Geschäftskontinuität zu schützen, die betriebliche Widerstandsfähigkeit aufrechtzuerhalten und eine wachsende Anzahl von deutschen und EU-Vorschriften einzuhalten.

Verschärfte Vorschriften

Angesichts der sich ständig weiterentwickelnden Cyber-Bedrohungen und Angriffe auf deutsche Unternehmen, kritische Infrastrukturen und Behörden verschärft das Land seine Cyber-Vorschriften. Dazu gehören das IT-Sicherheitsgesetz 2.0 und die erweiterten KRITIS-Sicherheitsvorschriften und -Meldepflichten. Die Compliance-Richtlinien haben erhebliche Auswirkungen auf industrielle Hersteller und Betreiber kritischer Infrastrukturen.

Das BSI – als Cyber-Sicherheitsbehörde des Bundes und Hauptarchitekt der sicheren Digitalisierung – ist für die Durchsetzung der Einhaltung dieser Gesetze und Vorschriften verantwortlich. KRITIS-Betreiber sind verpflichtet, Cyber-Angriffe zu erkennen, obligatorische Systeme und Prozesse zu deren Erkennung zu implementieren, Vorfälle zu melden und sich beim BSI zu registrieren. Darüber hinaus hat Deutschland seine Klassifizierung der KRITIS-Betreiber um kommunale Entsorgungsunternehmen, die Rüstungsindustrie und „Unternehmen mit besonders hoher wirtschaftlicher Bedeutung“ erweitert.

Industrielle Hersteller und KRITIS-Unternehmen müssen auch EU-Vorschriften wie die NIS-2-Richtlinie des EU-Parlaments einhalten. Die Gesetzgebung wird die Grundlage für Maßnahmen zum Cyber-Sicherheitsrisikomanagement und für Meldepflichten bilden, um „ein hohes gemeinsames Cyber-Sicherheitsniveau in allen Mitgliedstaaten zu erreichen“.

Das EU-Gesetz wird sich auf viele Branchen auswirken, darunter kritische Infrastrukturen, Energie, Verkehr, Gesundheit und andere Branchen. Im Rahmen von NIS 2 werden alle deutschen Unternehmen, die wesentliche Dienstleistungen erbringen und über Infrastrukturen in der EU verfügen, hinsichtlich ihrer Cyber-Sicherheits-Compliance nach europäischem Recht reguliert und beaufsichtigt.

OT-Sicherheitslösungen sind Teamarbeit

In der Unterstützung deutscher Industrieunternehmen und globaler Betreiber kritischer Infrastrukturen bei der Einhaltung von OT- und IT-Vorschriften sind Partner mit umfangreicher Erfahrung nötig. Denn es geht sowohl um staatliche, als auch branchenspezifische Vorschriften. Die von Otorio betreuten Branchen und kritischen Infrastrukturunternehmen sind breit gefächert: Automobilhersteller, Öl- und Gasraffinerien und -zulieferer, andere Energieunternehmen, Pharmaunternehmen, Versorgungsunternehmen, Transport- und Logistikunternehmen etc. Dies umfasst:

  • laufende Überprüfung der Einhaltung von Vorschriften, Risikobewertung, Überwachung und Management,
  • regelmäßige Risikobewertungen von Betriebsnetzwerken sowie
  • Automatisierung der Einhaltung von Cyber-Sicherheitsvorschriften über den gesamten Lebenszyklus einer Industriemaschine. (rhh)

Otorio

Lesen Sie auch

Logistic network distribution and transport concept Goods delivery

Industrie kauft sich Cyber-Sicherheitslücken ein

Operational Technology (OT) Security

Sicherheitsstrategie für produzierende Unternehmen

bitnamic CONNECT Augmented Reality Datenbrille

Industrieanlagen warten und entstören – aber effizient!