Bis 2030 werden nach Marktforschungen etwa 30 Milliarden Geräte mit dem Internet verbunden sein. Doch IoT-Konnektivität ist ein zweischneidiges Schwert. Offene Netzwerke erhöhen die Anfälligkeit und das Risiko von Cyberangriffen. Einem Bericht des IBM Threat Intelligence Report zufolge hatte das verarbeitende Gewerbe im Jahr 2022 den höchsten Anteil an Cyberangriffen unter den führenden Branchen weltweit. Im selben Jahr war das verarbeitende Gewerbe die Branche, die am häufigsten Ziel von Ransomware-Angriffen war.
Tausende Unternehmen in der Pflicht
Mit der NIS-2-Richtlinie soll die Cybersicherheit sowohl im öffentlichen als auch im privaten Sektor steigen. Sie tritt am 1. Oktober 2024 in Kraft und betrifft tausende von Industrieunternehmen. Vorausgesetzt sie haben mehr als 50 Mitarbeiter und einen Umsatz von mehr als 10 Millionen Euro.
NIS 2 listet unter anderem zehn Arten von Cybersicherheitsmaßnahmen auf, die Unternehmen einhalten müssen. Sie umfassen Risikoanalysen und IT-Sicherheitsrichtlinien, den Umgang mit Cybersicherheitsvorfällen, die Geschäftskontinuität, die Sicherheit der Lieferkette, den Umgang mit Schwachstellen, die Bewertung der Maßnahmenwirksamkeit, Cyber-Hygiene und -Schulungen, Kryptografie und Verschlüsselung, Zugriffsmanagement und Kontrollrichtlinien sowie Multifaktor-Authentifizierungslösungen.
Betriebstechnik absichern ist komplex
Hersteller, die ihre OT gemäß NIS 2 absichern wollen, stehen vor besonderen Herausforderungen. Die Betriebstechnologie hat andere Anforderungen als die IT, und die für die IT implementierten Maßnahmen sind oft nicht mit denen für die OT kompatibel. Produktionssysteme umfassen oft alte und sogar veraltete Komponenten. Viele von ihnen sind nicht gepatcht und können nicht aufgerüstet werden, wodurch sie leichter für Cyberbangriffe ausgenutzt werden können. Der Fernzugriff ist ein weiterer komplizierter Faktor. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Defense in Depth und Zero Trust
Zum Schutz der Produktion empfiehlt Siemens grundsätzlich das mehrschichtige Defense-in-Depth-Konzept – erweitert um Zero-Trust-Prinzipien. Dieses Konzept entspricht den Empfehlungen der IEC 62443 rund um die Sicherheit in der industriellen Automatisierung. Dieses Konzept umfasst drei Säulen: Anlagensicherheit, Netzwerksicherheit und Systemintegrität. Dabei werden wesentliche Faktoren berücksichtigt, darunter der physische Zugangsschutz und organisatorische Maßnahmen wie Richtlinien und Prozesse sowie technische Maßnahmen zum Schutz von Netzwerken und Automatisierungssystemen vor unberechtigtem Zugriff, Spionage und Manipulation.
Übertragen auf die NIS-2Anforderungen
Das Defense-in-Depth-Konzept bietet einen umfassenden Ansatz, die Anforderungen gemäß NIS 2 umzusetzen. Mit Blick auf die Praxis wird im Folgenden beschrieben, wie sich drei Schlüsselanforderungen der Richtlinie mit Rückgriff auf das Konzept erfüllen lassen:
- das Risikomanagement im Bereich Cybersicherheit bewerten
- Kryptographie und Verschlüsselung einsetzen
- Schwachstellenmanagement
Asset Management zum Netzwerkschutz
Anlagen-Assets zu erkennen und zu verwalten, sollte ein wesentlicher Bestandteil des Konzepts sein, um die NIS-2-Richtlinie zu erfüllen. Der Überblick über die Assets einer Anlage hilft dabei, kritische Geräte zu erkennen, sie zu überwachen und zu betreiben und so ihre Angriffsfläche zu verringern. Dafür kommen ein zentrales Managementsystem zur Überwachung von Netzwerken zum Einsatz, eine Software zur Topologieerkennung sowie ein Tool zur Diagnose und zum Firmware-Management. Programme zur Asset-Erkennung und zum Netzwerk-Scanning kommen noch hinzu, um Cybersecurity-Risikomanagementmaßnahmen weitreichend bewerten zu können.
Kryptographie und Verschlüsselung
Offene Netze vor unbefugtem Zugriff zu schützen, ist ein wesentlicher Bestandteil von Defense in Depth. Kryptographie und gegebenenfalls Verschlüsselung wird im Rahmen des NIS-2-Cybersicherheitsrisikomanagements ebenfalls gefordert. In der Produktionsumgebung von heute tauschen Geräte, Systeme und Benutzer ständig Daten aus. Vielen Systemen mangelt es an einer angemessenen Verwaltung des Datenzugriffs und an Identifizierungsmechanismen, wodurch die Netzwerke offen und anfällig für Man-in-the-Middle-Angriffe werden können. Daten im Klartext sind ebenfalls anfällig für Diebstahl, Manipulation, Spionage und Sabotage. Die Verschlüsselung der OT-Kommunikation mindert das Risiko von Ausfallzeiten, Diebstahl und Schäden.
In Fertigungsanlagen kann die Kommunikation von der Engineering-Plattform, etwa dem TIA-Portal von Siemens, über die Steuerungen bis hin zu den HMI-Stationen verschlüsselt werden. Hier kommt die Transport Layer Security (TLS) 1.3 zum Einsatz, die keine bekannten Schwachstellen aufweist. Die Authentifizierung der Kommunikationspartner soll verhindern, dass unautorisierte Benutzer mit Anlagenkomponenten kommunizieren. Die Komponenten werden außerdem durch individuelle Zertifikate identifiziert, was das Sicherheitsrisiko verringert, selbst wenn ein Zertifikat kompromittiert wird.
Schwachstellen und Patches
Für viele Systeme werden täglich neue Schwachstellen gemeldet, die Angreifer ausnutzen könnten, wenn keine Schutzmaßnahmen ergriffen werden. Betreiber sollten neue Schwachstellen also möglichst schnell erkennen und patchen. Eine der Pflichten des NIS-2-Cybersicherheitsrisikomanagements ist der Umgang mit erkannten Schwachstellen. Industrieunternehmen sollten eine Quelle haben, die sie laufend mit Informationen über bekannte Schwachstellen versorgt.
Eine solche Plattform könnte gleichzeitig Schwachstellenwarnungen für die Systeme des Benutzers ausgeben, etwa über eine webbasierte Anwendung oder über APIs. Darüber hinaus sollten Betreiber einen Schwachstellen-Scanner einsetzen, um potenzielle Einfallstore in ihren Industrienetzwerken selbst zu erkennen. Schließlich hilft ein Patch-Management-Tool den Betreibern bei der Verwaltung wichtiger Microsoft-Produktaktualisierungen.
Die Zeit läuft
Obwohl die gesetzliche Frist für die Einhaltung der NIS-2-Richtlinie noch Monate entfernt ist, sollten sich Industrieunternehmen rechtzeitig damit auseinandersetzen. Etwa indem sie ein Cybersicherheitskonzept entwickeln und konsequent umsetzen, bei Bedarf mit Unterstützung durch externe Beratung.
