Absicherung der deutschen Industrieproduktion und KRITIS:Es bedarf OT-spezialisierter Lösungen

9. November 2022

Vor einem Jahrzehnt beschäftigten sich die meisten deutschen Industrieunternehmen und Betreiber kritischer Infrastrukturen (KRITIS) mit IT-Sicherheit, aber weniger mit der Sicherung ihrer Betriebstechnik (OT). Heute ist das Umfeld grundlegend anders.

Das liegt daran, dass industrielle Fertigungs- und KRITIS-Umgebungen zunehmend auf verbundene IT-, OT- und industrielle IoT-Netzwerke angewiesen sind. Dies vergrößert die digitale Angriffsfläche und macht es für Cyber-Angreifer attraktiver, deutsche Industrien und Infrastrukturgeschäftsabläufe ins Visier zu nehmen.

Anzeige
cs espresso series

Darüber hinaus müssen Unternehmen nicht nur ihre Geschäftskontinuität und betriebliche Widerstandsfähigkeit sicherstellen, sondern auch die strengen deutschen und EU-Vorschriften einhalten. Die Nichteinhaltung dieser Vorschriften kann zu Ordnungswidrigkeiten und Geldbußen führen und sich nachteilig auf ihr Geschäft und ihre Aktionäre auswirken.

Der Schutz vor Cyber-Angriffen, die auf Hersteller und Betreiber kritischer Infrastrukturen abzielen, hat in der Praxis Priorität und ist kein theoretisches Konzept. Im Januar 2022 wurden zwei deutsche Brennstofflager- und -vertriebsunternehmen gehackt. Auch drei deutsche Windenergieunternehmen wurden kurz nach dem Einmarsch Russlands in die Ukraine Opfer von Cyber-Angriffen.
Vor drei Jahren stellte der Münchner Automobilhersteller BMW fest, dass sein internes Netzwerk gehackt worden war. Auch der größte Pharmakonzern des Landes, die Bayer AG, wurde Opfer eines Cyber-Angriffs auf seine Netzwerke. Jedes dieser realen OT- und IT-Sicherheitsereignisse hatte Auswirkungen auf KRITIS-Betreiber und industrielle Fertigungsunternehmen sowie auf Unternehmen und Endnutzer in ihrer Lieferkette.

In den Wochen vor dem Einmarsch in die Ukraine konzentrierten sich russische Hacker Berichten zufolge auf Cyber-Angriffe gegen Dutzende von LNG-Unternehmen. Als der Krieg begann, sahen sich Deutschland und andere EU-Länder sofort mit Problemen bei der Sicherheit der Energieversorgungskette konfrontiert, was die EU-Länder veranlasste, ihre Abhängigkeit von russischen Gas- und Öleinfuhren zu verringern.

Die Ausnutzung der Energieversorgung als Waffe durch Russland, die anhaltenden Cyber-Sicherheitsrisiken und das Potenzial für weitere Angriffe auf deutsche KRITIS-Betreiber und Industrieunternehmen dürfen nicht ignoriert werden. In diesem Umfeld ist es für diese Unternehmen ratsam, ein umfassendes OT-Sicherheitsrisikomanagement einzuführen. Dies kann ihnen dabei helfen, die Geschäftskontinuität zu schützen, die betriebliche Widerstandsfähigkeit aufrechtzuerhalten und eine wachsende Anzahl von deutschen und EU-Vorschriften einzuhalten.

Verschärfte Vorschriften

Angesichts der sich ständig weiterentwickelnden Cyber-Bedrohungen und Angriffe auf deutsche Unternehmen, kritische Infrastrukturen und Behörden verschärft das Land seine Cyber-Vorschriften. Dazu gehören das IT-Sicherheitsgesetz 2.0 und die erweiterten KRITIS-Sicherheitsvorschriften und -Meldepflichten. Die Compliance-Richtlinien haben erhebliche Auswirkungen auf industrielle Hersteller und Betreiber kritischer Infrastrukturen.

Das BSI – als Cyber-Sicherheitsbehörde des Bundes und Hauptarchitekt der sicheren Digitalisierung – ist für die Durchsetzung der Einhaltung dieser Gesetze und Vorschriften verantwortlich. KRITIS-Betreiber sind verpflichtet, Cyber-Angriffe zu erkennen, obligatorische Systeme und Prozesse zu deren Erkennung zu implementieren, Vorfälle zu melden und sich beim BSI zu registrieren. Darüber hinaus hat Deutschland seine Klassifizierung der KRITIS-Betreiber um kommunale Entsorgungsunternehmen, die Rüstungsindustrie und „Unternehmen mit besonders hoher wirtschaftlicher Bedeutung“ erweitert.

Industrielle Hersteller und KRITIS-Unternehmen müssen auch EU-Vorschriften wie die NIS-2-Richtlinie des EU-Parlaments einhalten. Die Gesetzgebung wird die Grundlage für Maßnahmen zum Cyber-Sicherheitsrisikomanagement und für Meldepflichten bilden, um „ein hohes gemeinsames Cyber-Sicherheitsniveau in allen Mitgliedstaaten zu erreichen“.

Das EU-Gesetz wird sich auf viele Branchen auswirken, darunter kritische Infrastrukturen, Energie, Verkehr, Gesundheit und andere Branchen. Im Rahmen von NIS 2 werden alle deutschen Unternehmen, die wesentliche Dienstleistungen erbringen und über Infrastrukturen in der EU verfügen, hinsichtlich ihrer Cyber-Sicherheits-Compliance nach europäischem Recht reguliert und beaufsichtigt.

OT-Sicherheitslösungen sind Teamarbeit

In der Unterstützung deutscher Industrieunternehmen und globaler Betreiber kritischer Infrastrukturen bei der Einhaltung von OT- und IT-Vorschriften sind Partner mit umfangreicher Erfahrung nötig. Denn es geht sowohl um staatliche, als auch branchenspezifische Vorschriften. Die von Otorio betreuten Branchen und kritischen Infrastrukturunternehmen sind breit gefächert: Automobilhersteller, Öl- und Gasraffinerien und -zulieferer, andere Energieunternehmen, Pharmaunternehmen, Versorgungsunternehmen, Transport- und Logistikunternehmen etc. Dies umfasst:

  • laufende Überprüfung der Einhaltung von Vorschriften, Risikobewertung, Überwachung und Management,
  • regelmäßige Risikobewertungen von Betriebsnetzwerken sowie
  • Automatisierung der Einhaltung von Cyber-Sicherheitsvorschriften über den gesamten Lebenszyklus einer Industriemaschine. (rhh)

Otorio

Lesen Sie auch