10 Kontrollen zur Verbesserung der OT-Sicherheit

Es wird erwartet, dass der Mensch bis 2025 das nächste Ziel von Cyberangriffen auf betriebliche Technologieumgebungen sein wird. Das mag wie eine Science-Fiction-Geschichte klingen – ist aber die Aussage eines aktuellen Berichts des Gartner-Instituts. Dabei geht es nicht nur darum, sich in Netzwerke zu hacken, Daten zu stehlen oder den Betrieb von Anlagen oder kritischen Infrastrukturen zum Erliegen zu bringen, wie es bei der Colonial Pipeline in den USA der Fall war. Es geht auch darum, durch Hackerangriffe Geräte, Anlagen und Prozesse in OT-Umgebungen in Waffen zu verwandeln, die Schaden anrichten oder Menschen töten.

„Diejenigen, die für das Sicherheits- und Risikomanagement in betrieblichen Einrichtungen verantwortlich sind, sollten sich mehr Gedanken über die realen Gefahren für Mensch und Umwelt machen – und nicht nur über Informationsdiebstahl”, sagt Wam Voster, Senior Research Director bei Gartner. „Gespräche mit Gartner-Kunden zeigen, dass sich Unternehmen in anlagenintensiven Branchen wie der Fertigungsindustrie und der Versorgungswirtschaft darum bemühen, angemessene Kontrollrahmen zu definieren.”

Mit der Entwicklung von OT-Umgebungen, intelligenten Gebäuden und Städten, vernetzten Autos und autonomen Fahrzeugen werden sich Vorfälle in der digitalen Welt viel stärker auf die physische Welt auswirken. Denn durch sie gibt es jetzt Risiken, Bedrohungen und Schwachstellen in einem zweiseitigen cyber-physischen Spektrum. Viele Unternehmen sind sich jedoch der sogenannten Cyber-Physical Systems (CPS), die bereits in ihren Umgebungen eingesetzt werden, nicht bewusst. Dies liegt entweder an älteren Lösungen, die von Nicht-IT-Teams an die Unternehmensnetzwerke angeschlossen wurden, oder an neuen Automatisierungs- und Modernisierungsmaßnahmen.

Gartner definiert CPS als Systeme zur Orchestrierung von Sensor-, Rechen-, Steuerungs-, Netzwerk- und Analyseaktionen, die mit der physischen Welt (einschließlich Menschen) interagieren. Dies sind Aktivitäten, die IT/OT und das Internet der Dinge (IoT) untermauern. Dabei umfassen Sicherheitsüberlegungen die Cyber- und die physische Welt.

Gartner prognostiziert, dass die finanziellen Auswirkungen von Angriffen auf CPS, die zu Todesfällen führen, bis 2023 mehr als 50 Milliarden US-Dollar erreichen werden. Natürlich ist der Wert eines Menschenlebens dabei unermesslich. Berücksichtigt man jedoch die Verluste in Form von Entschädigungen, Rechtsstreitigkeiten, Versicherungen, Bußgeldern und Rufschädigung, werden die Summen erheblich sein. Darüber hinaus warnt Gartner, dass die meisten CEOs wahrscheinlich persönlich für solche Vorfälle haftbar gemacht würden.

„Regulierungs- und Regierungsbehörden werden auf die steigende Zahl schwerwiegender Vorfälle, die auf CPS-Schutzversagen zurückzuführen sind, umgehend mit strengeren Regeln und Vorschriften reagieren”, kommentiert Katell Thielemann, Research Vice President bei Gartner. „In den USA haben das FBI, die NSA und die CISA bereits die Häufigkeit und Detailliertheit der Informationen über Bedrohungen kritischer Infrastrukturen erhöht. Bald werden CEOs nicht mehr auf Unwissenheit plädieren oder sich hinter Versicherungspolicen verschanzen können.”

Gartner empfiehlt einen Rahmen von zehn Kontrollen, um die Sicherheitslage zu verbessern und zu verhindern, dass Vorfälle in der digitalen Welt negative Auswirkungen auf die physische Welt haben.