Lange galten proprietäre Systeme an sicher vor Cyberattacken. Mit zunehmender Vernetzung wachsen die OT- und IT-Umgebungen stärker zusammen und die Produktion gerät in den Fokus von Hackern. Zeit, zu handeln.
Lange war die Operational Technology (OT) vom IT-Netzwerk getrennt und unter anderem aufgrund proprietärer Protokolle vergleichsweise sicher vor Cyber-Angriffen. Mit der zunehmenden Vernetzung im Zuge von Industrie 4.0 und Internet of Things wachsen die beiden Welten immer stärker zusammen und damit geraten auch OT-Systeme ins Visier von Hackern.
Durch die zunehmende Kommunikation und Integration von Software in Maschinen und Anlagen eröffnen sich neue, aus der IT bekannte Angriffsszenarien. Schaffen es beispielsweise Cyber-Kriminelle mittels verseuchter E-Mails ins Firmennetzwerk vorzudringen, können sie einzelne Maschinen oder Produktionsstraßen übernehmen, zum Stillstand bringen oder gar Prozesse manipulieren.
Daher sollten sich Unternehmen schon bei der Entwicklung neuer Maschinen oder Anlagen Gedanken um deren Sicherheit machen. Im OT-Bereich unterscheidet sich die Security jedoch deutlich von einer klassischen IT-Umgebung: Bei Laufzeiten von durchschnittlich 20 Jahren wird die Aktualisierung von Firmware, Betriebssystem und APIs sowie der Einsatz von Antiviren-Software deutlich erschwert. Wird eine auf die Kundenbedürfnisse speziell angepasste Individuallösung implementiert, ist sie oftmals nicht kompatibel mit standardisierten IT-Sicherheitssystemen.
Die Security Divison des Unternehmens NTT rät Unternehmen für die Sicherung ihrer OT-Anlagen folgende Maßnahmen zu beachten:
»In Zukunft müssen die IT-Abteilung und die OT-Kollegen enger zusammenarbeiten, nur gemeinsam können sie die größtmögliche Sicherheit für ihr Unternehmen gewährleisten. Cyber-Sicherheit für die OT-Umgebung umzusetzen, ist allerdings kein einfacher und auch kein schneller Weg «, erklärt Christian Koch, Director GRC & IoT/OT bei NTTs Security Division. »Immer mehr Unternehmen haben jedoch die Notwendigkeit erkannt, was unter anderem an den Haftungsrisiken liegt. Der andere Treiber ist die Automotive-Industrie, die im Hinblick auf die kommende UNECE-Zertifizierung und ISO/SAE 21434 als technischen Standard ein durchgängiges Security by Design in der Produktentwicklung und entlang des gesamten Lebenszyklus forciert. Diese Anforderung geben die Automobilhersteller an ihre Zulieferer weiter und lassen es verbindlich in die Verträge schreiben.«