Kluft zwischen IT und OT schafft Sicherheitsrisiken

Nur 21 % der Unternehmen verfügen über ein ausgereiftes Cybersicherheitsprogramm für industrielle Kontrollsysteme (ICS) und Betriebstechnik (OT). Infolgedessen belaufen sich die durchschnittlichen Kosten von Sicherheitsvorfällen gegen diese Ziele auf etwa 3 Millionen US-Dollar, wobei der Betrag in einigen Fällen mehr als 100 Millionen US-Dollar erreicht. Die Daten stammen aus dem Bericht „The 2021 State of Industrial Cybersecurity“, der vom Ponemon Institute und Dragos erstellt wurde. Dieser basiert auf Daten, die unter 600 in den USA ansässigen IT-, IT-Sicherheits- und OT-Fachleuten erhoben wurden.

Die Studie ergab, dass 63 % der befragten Unternehmen in den letzten zwei Jahren einen Cybersicherheitsvorfall im ICS/OT-Bereich hatten und durchschnittlich 316 Tage benötigten, um die Sicherheitslücken zu erkennen, zu untersuchen und zu beheben. Für 61 % der Befragten haben die digitale Transformation und die Trends im Zusammenhang mit dem industriellen Internet der Dinge (IIoT) die Cyberrisiken im Umfeld der Branche stark erhöht.

“Den meisten Unternehmen fehlt die IT/OT-Governance-Struktur, die für die Aufrechterhaltung einer einheitlichen Cybersicherheitsstrategie erforderlich ist. Es beginnt schon mit einem Mangel an OT-spezifischem Cybersecurity-Fachwissen”, erklärt Steve Applegate, Direktor bei Dragos. “Die Überbrückung der kulturellen Kluft zwischen IT- und OT-Teams ist eine große Herausforderung. Unternehmen sollten trotzdem nicht in die Falle tappen und denken, dass OT-Systeme einfach in ein bestehendes IT-Programm integriert oder unter dem Dach der IT verwaltet werden können”, sagt er.

Seiner Meinung nach gibt es grundlegende Unterschiede zwischen den Problemen und Zielen des IT-Umfelds – kurz gesagt: Sicherheit und Datenschutz – und dem industriellen Umfeld, in dem die Gesundheit und Sicherheit der Mitarbeiter, Produktionsausfälle und Betriebsstillstände echte Risiken darstellen.

Die Ergebnisse des Berichts deuten darauf hin, dass nicht Konflikte, sondern Missverständnisse zwischen den Gruppen das Hauptproblem sind. Nur 32 % geben an, dass IT und OT bei Budgets und neuen Sicherheitsprojekten miteinander konkurrieren, und nur 27 % sehen es als schwierig an, IT- und OT-Sicherheitsteams zu einem umfassenden Programm zusammenzuführen.

Die Hälfte der Befragten gab an, dass kulturelle Unterschiede zwischen den Teams die größte Herausforderung darstellen. Weitere 44 % sagen, dass es problematische technische Unterschiede zwischen den bewährten Verfahren von IT-Gruppen und dem, was in OT-Umgebungen möglich ist, gibt – wie zum Beispiel Patch-Management oder Anforderungen in Verbindung mit Anbietern von Industrieautomatisierungsgeräten. Ein Anteil von 43 % sagt, dass es an einer “klaren Verantwortlichkeit” für industrielle Cyber-Risiken mangelt und Unsicherheit darüber besteht, wer die Initiative leiten, die Kontrollen implementieren und die Programme unterstützen soll.

Darüber hinaus werden die Führungskräfte und der Vorstand der Unternehmen nicht regelmäßig über die Effizienz und Wirksamkeit der Programme informiert. Nur 35 % der Befragten sagen, dass es jemanden gibt, der für diese Berichterstattung zuständig ist. 41 % geben an, dass dieser Bericht nur dann vorgelegt wird, wenn ein Sicherheitsvorfall eintritt.

Viele Führungskräfte sind sich der Risiken und Bedrohungen, die mit OT- und ICS-Umgebungen verbunden sind, nicht bewusst, was zu einer unzureichenden Zuweisung von Ressourcen für das Risikomanagement führt. Weniger als die Hälfte (48 %) der Befragten geben an, dass ihr Unternehmen diese spezifischen Risiken kennt und über Cybersicherheitsverfahren und -richtlinien für OT- und ICS-Umgebungen verfügt. Nur 43 % der Befragten sagen, dass die Unternehmensleitung diese Risiken ebenfalls kennt und für ausreichende Ressourcen zum Schutz der Umgebung sorgt.

Der Vertrauensverlust in die Systeme ist die wichtigste Folge eines Cybersicherheitsvorfalls (54 % der Befragten), gefolgt von der Ineffizienz der Prozesse (49 %) und dem Verlust der Kontrollmöglichkeiten (47 %).

Trotz der Herausforderungen sind die Unternehmen entschlossen, Investitionen zu tätigen, um die Cybersicherheit von ICS- und OT-Umgebungen zu verbessern. Laut 60 % der Befragten haben Investitionen in Bereiche, die Schwachstellen in der Sicherheitslage von OT-Umgebungen bewerten, oberste Priorität. Andere Initiativen zielen darauf ab, Informationen über spezifische Bedrohungen zu sammeln (56 %) und Experten für die Cybersicherheit von OT und ICS einzustellen (49 %).