Hier geht es zum Report [PDF Datei]
Report herunterladenOT-Security: eine große Herausforderung jagt die nächste! Die Ausgangslage ist komplex und Rahmenbedingungen verändern sich kontinuierlich, so dass immer weitere neue Angriffsvektoren entstehen.
Die vielen Entwicklungen und Herausforderungen eines Jahres sind oftmals gar nicht so einfach zu greifen. Aus diesem Grund haben wir auch in diesem Jahr einige bekannte Experten nach ihrer persönlichen Erfahrung und nach ihrer Einschätzung gefragt, und zwar für die Themen, die gerade im Fokus sind. Außerdem haben wir gefragt, was sie sich für das Jahr 2023 wünschen.
Für einen möglichst differenzierten Blick haben wir wieder Personen aus unterschiedlichen Bereichen aufgetan. Im Prinzip von der Hochschule über Security-Berater bis hin zu Komponenten-Lieferanten und OT-Security-Verantwortliche bei Betreibern.
Daraus hat sich wieder ein umfassender und sehr spannender Blick auf die aktuelle Lage der OT-Security ergeben:
2022: Ein wildes, aber bemerkenswertes Security-Jahr
Es überrascht wohl niemanden, dass der russische Angriffskrieg als eines der prägendsten Ereignisse in diesem Jahr genannt wird. Die Befürchtungen, dass sich daraus Folgen für die Sicherheit Kritischer Infrastrukturen in Deutschland ergeben könnten, haben sich bislang glücklicherweise nicht bewahrheitet. Ein Cyberkrieg ist ausgeblieben und nicht nur die Experten hoffen, dass dies so bleiben wird.
Aus Expertensicht gab es noch weitere bemerkenswerte Themen:
Zunahme an Cyberangriffen
Zahlreiche Vorfälle und Cyberangriffe meist im Kontext Ransomware haben weitreichenden Folgen nicht nur für vernetzte Lieferketten mit sich gebracht. Auch für die Funktionsfähigkeit betroffener Behörden und anderer Organisationen im kommunalen Bereich, wo sowohl die Digitalisierung als auch deren Absicherung nur langsam voranschreitet, wurde dadurch stark beeinträchtigt. Deutlich wird, dass Cyberkriminelle sich bietende Einfallstore zunehmend auch in OT-Bereichen zielgerichtet nutzen und dabei immer professioneller agieren.
Was ergibt sich daraus für die relevanten Security-Themen? Unsere Experten stellen übereinstimmend fest, dass es ein starkes Gefälle zwischen Betrieben gibt, die Security-Anstrengungen unternehmen und anderen, die viel zu wenig tun. Wer nicht der Regulierung unterliegt oder selbst von Cyberangriffen betroffen war oder ist, für den hat Security immer noch zu wenig Priorität.
Viele Trendthemen, aber zu wenig Basics umgesetzt
In die Automationsbereiche drängen immer mehr IoT und Cloud-Anwendungen, von denen sich Unternehmen positive Effekte auf ihre Wirtschaftlichkeit versprechen. Was dagegen zu kurz kommt, ist die Absicherung. Die Basics, die das Security-Niveau bereits wesentlich erhöhen können, werden in vielen Betrieben nach wie vor nicht umgesetzt. Das hat Auswirkungen nicht nur auf die wachsende Cyberbedrohungslage. Die Nutzung innovativer Technologien erfordert stabile Infrastrukturen, damit sich echte Mehrwerte ergeben.
Wer beispielsweise keine Transparenz über die Assets in seinem produktiven Betrieb hat, der kann ohne dieses Fundament viele Security-Maßnahmen gar nicht umsetzen und scheitert in der Projektarbeit.
Aktuelle Anforderungen aus der Gesetzgebung
Was die Sicherheitslage für Kritische Infrastrukturen deutlich erhöhen soll und die betroffenen Unternehmen derzeit stark beschäftigt, ist die Anforderung aus dem IT-Sicherheitsgesetz (IT-SiG 2.0) für einen ab 1. Mai 2023 verpflichtenden Einsatz einer wirksamen Angriffserkennung. Auch auf europäischer Ebene wird die Gesetzgebung dem erhöhten Schutzbedarf von IT-Infrastrukturen angepasst. Von der NIS 2 Richtline und dem Cyber Resilience Act versprechen sich die Experten einen deutlichen Schub sowohl für Cybersecurity in Kritischen Infrastrukturen als auch für die Security global vernetzter Lieferketten. Auf Hersteller und auf Betreiber kommen damit weitere Anforderungen zu und neue Herausforderungen für deren Umsetzung.
Initiativen für Produktsicherheit und Schwachstellenmanagement
Ein Thema, das derzeit viel Aufmerksamkeit erhält, ist Produktsicherheit und Schwachstellenmanagement.
Experten machen die Erfahrung, dass die IEC 62443 von Unternehmen inzwischen als relevante Norm für OT-Security wahrgenommen wird und die Umsetzung der Anforderungen im eigenen Betrieb vermehrt angestrebt wird.
Die Software Bill of Materials (SBOM) fungiert als Software-Inventardatenbank und listet die Komponenten von Open Source Software-Paketen sowie entdeckte Schwachstellen. Diese Transparenz unterstützt Hersteller dabei, Sicherheitslücken zu schließen und ermöglicht es Betreibern, zu ermitteln, ob sie betroffen sind und wie das daraus resultierende Risiko einzuschätzen ist. Eine weitere Unterstützung für Betreiber kommt durch das Common Security Advisory Framework (CSAF), das zum Standard erhoben wurde. Sicherheitsmeldungen von Herstellern sind im CSAF in einem maschinenlesbaren Format verfügbar und ermöglichen einen systematischen Umgang mit Security-Updates.
Es ist also gerade eine Menge im Gang, um Security im Automationsumfeld voranzubringen und trotzdem bleibt es ein Wettlauf gegen die Zeit. Was sich im Security-Jahr 2023 tun muss und welche Entwicklungen sie sich wünschen, formulieren die Experten in den Beiträgen unseres Jahresrückblicks.
Mega Security-Start in 2023?
Endlich ein Umsetzen der ganzen Basics? Grundlegende Security-Maßnahmen, wie beispielsweise sichere Zugänge oder grundlegende Netzwerk-Segmentierung sind meist keine Herkulesaufgaben, aber sie haben großen Einfluss auf das allgemeine Security-Niveau. Unternehmen müssen diese relativ einfach umzusetzenden Maßnahmen aktiv angehen und ein stabiles Fundament legen.
Überhaupt ist es wichtig, aus der Theorie in die Umsetzung zu kommen. Projekte erfolgreich abzuschließen und Themen in den Betrieb zu überführen, ist das Gebot der Stunde. Dafür sind kompetente Fachleute nötig und zwar sehr viel mehr, als aktuell am Arbeitsmarkt bereitstehen. Wir brauchen dringend mehr Initiativen, um Security-Experten auszubilden und für die anstehenden Aufgaben verfügbar zu haben.
Security muss im Bewusstsein verankert sein, und zwar als Anforderung, die schon bei der Produktentwicklung gleichrangig mit funktionalen Features zu berücksichtigen ist. Da können Betreiber aktiv Einfluss ausüben, wenn Security im Einkaufsprozess als Standard gilt, der über die Auftragsvergabe entscheidet. Wenn der Markt Security fordert, werden Hersteller Security liefern.
Aber genug gespoilert!
Was sonst noch dringend nötig ist und uns in 2023 erwarten wird, lesen Sie in unserem Jahresrückblick.
Viel Spaß beim Lesen!
Max Weidele
PS:
Mit unserem Kurz & Gut teilen wir wöchentlich hilfreiche Praxistipps zur Umsetzung von OT-Security Projekten. Gerne anmelden 🙂
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!