Security Rockwell Automation und Claroty diskutieren über Cyber-Risiken in OT und IIoT

Von Sebastian Human

Nicht nur die Angriffe auf klassische IT-Systeme nehmen zu. Immer häufiger werden auch Industrieanlagen und kritische Infrastrukturen zum Opfer von Cyberattacken. Welche Implikationen das mit sich bringt, besprechen Blake Moret, CEO von Rockwell Automation, und Yaniv Vardi, CEO von Claroty.

Anbieter zum Thema

Die digitale Transformation verändert unsere Art zu arbeiten – nicht zuletzt auch unter Sicherheitsaspekten. CEOs müssen sich mit dieser neuen Situation konfrontieren, sagt Yaniv Vardi, CEO von Claroty.
Die digitale Transformation verändert unsere Art zu arbeiten – nicht zuletzt auch unter Sicherheitsaspekten. CEOs müssen sich mit dieser neuen Situation konfrontieren, sagt Yaniv Vardi, CEO von Claroty.
(Bild: gemeinfrei / Pixabay )

Spätestens im Kontext des Ukraine-Krieges hat das Thema Cybersecurity und die damit verbundene Absicherung kritischer Infrastruktur wieder an Fahrt aufgenommen. Anhand einiger konkreter Fragestellungen erörtern Yaniv Vardi vom Industrial-Cybersecurity-Spezialisten Claroty und Blake Moret von Rockwell Automation, wie man die steigenden Cybersicherheitsrisiken für Produktionsanlagen und kritische Infrastrukturen bewältigen kann.

Wie sollten wir mit Cybersicherheitsrisiken in kritischen Infrastrukturen umgehen, von denen das tägliche Funktionieren der Gesellschaft abhängt?

Blake Moret: Das industrielle Internet der Dinge, kurz IIoT, umfasst eine Vielzahl von Prozessen, bei denen Maschinen in Bewegung sind. Dies führt zu einer Reihe von Sicherheits- und Zuverlässigkeitsbedenken, da man diese Prozesse nicht mitten in der Aktivität abschalten kann. Man muss sicherstellen, dass die Prozesse jederzeit kontrolliert werden. Deshalb steht in vielen Fällen einiges auf dem Spiel.

Die Technologien und Anwendungen sind in den IT- und OT-Bereichen der Unternehmensnetze sehr unterschiedlich. Mit der Konvergenz von IT und OT gibt es einige Gemeinsamkeiten zwischen den beiden Bereichen, und die Auswirkungen auf die Cybersicherheit müssen auf koordinierte Weise behandelt werden. Es gibt jedoch sehr große Unterschiede in Bezug auf den Ansatz, die Verfügbarkeit von Geräten und die verwendeten Technologien.

Yaniv Vardi: Die Industrieunternehmen befinden sich im digitalen Wandel. Sie automatisieren und optimieren ihre traditionellen Fertigungsprozesse und versuchen möglichst alles zu vernetzen, um wettbewerbsfähiger zu werden und die Produktivität zu steigern. Das birgt ein enormes Risiko, das durch ein proaktives Risikomanagement und eine entsprechende Unternehmenskultur eingedämmt werden kann.

Dabei ist Transparenz der erste Punkt, der angegangen werden muss. Man muss herausfinden, welche Assets man im Netzwerk hat - OT, IoT, IIoT, IT – was auch immer vorhanden ist. Die Vernetzung zwischen OT und IT, dem Netzwerk und der Cloud nimmt zu. Die Transparenz der OT-Seite ist eine große Herausforderung für Chief Information Security Officers, kurz CISOs, aber gleichzeitig auch der erste Punkt, den sie angehen müssen.

Auf dieser Grundlage kann man mit dem Aufbau von Programmen für das Schwachstellen- und Risikomanagement beginnen. Dann kann man damit anfangen, die vorhandenen Risiken zu verstehen und sie zu beseitigen. Bei der digitalen Transformation geht es aber vor allem darum, sich einen Überblick zu verschaffen, was man hat. Denn man kann nicht schützen, was man nicht sieht.

Wie komplex ist das Sicherheitsmanagement in einem Umfeld, das von den oft konkurrierenden Anforderungen einer Vielzahl von Interessengruppen geprägt ist?

Yaniv Vardi: Es gibt leider eine Menge Konflikte zwischen IT und OT. Die IT konzentriert sich in erster Linie auf Vertraulichkeit und Daten. Sie ist offen für Veränderungen, muss Systeme patchen, Schwachstellen beseitigen und Fehlerkorrekturen vornehmen. Veränderungen sind positiv für die IT.

Was die OT betrifft, so können Änderungen Risiken mit sich bringen und sind eher negativ. Sie können ein System nicht außer Betrieb nehmen, wenn Sie es patchen müssen. Sie haben vielleicht Altsysteme, die seit 20 Jahren in Betrieb sind und nicht mehr oder nur noch langsam gepatcht werden können. Die OT-Prioritäten konzentrieren sich auf Verfügbarkeit und Zuverlässigkeit, und dies führt zu Konflikten zwischen IT und OT.

Hinzu kommt: Bei unseren Gesprächen mit vielen CISOs haben wir erfahren, dass die IT-Sicherheitsteams oft nicht viel über die OT-Seite, die industriellen Netzwerke, wissen. Sie haben Probleme und Herausforderungen bei der Transparenz, dem Verständnis, welche Anlagen vorhanden sind und wie die Anlagen miteinander verbunden sind. Auf der anderen Seite wissen die Betriebsteams, also etwa Betriebsleiter und Verfahrenstechniker, oftmals nicht viel über Sicherheit. Es gibt also eine Kluft, die es zu schließen gilt, wenn man die OT mit der IT verbinden will, um wettbewerbsfähig zu sein und die Produktivität zu steigern.

Viele Unternehmen adressieren dies mit einem hochrangigen Verantwortlichen, einem CISO, CIO oder sogar CEO, der eine Strategie und die Entwicklung der industriellen Cybersicherheit vorantreibt und gleichzeitig sicherstellt, dass die IT- und OT-Teams hinter der Strategie stehen.

Blake Moret: Hinzu kommt, dass sich die Qualifikationslücke meiner Meinung nach hier besonders deutlich zeigt. Unternehmen versuchen, einen umfassenden Verteidigungsansatz in der Fabrikhalle zu implementieren und zu verstehen, wie groß die Angriffsfläche ist: Von den Endgeräten über die Netzwerke und die Software bis hin zum Insider-Risiko und der Fähigkeit, eine sich verändernde Belegschaft zu schulen. Das ist eine echte Herausforderung für Hersteller.

Cyberangriffe auf Produktionsstandorte haben auf der Führungsebene in letzter Zeit viel Aufmerksamkeit erlangt. Wie können sich CISOs für eine effektivere Vorbereitung und Reaktion auf industrielle Cyber-Bedrohungen einsetzen?

Yaniv Vardi: Die Pandemie hat die Unternehmen dazu gebracht, anders zu arbeiten, indem sie eine rasche Umstellung auf Fernwartung bei vielen Industrieunternehmen beschleunigt hat. 40 Prozent der US-Unternehmen fangen an, remote oder mit einem hybriden Ansatz zu arbeiten. Aber auch in Deutschland stieg der Anteil hybrider Arbeitsmodelle im verarbeitenden Gewerbe deutlich und liegt bei Unternehmen mit mehr als 100 Beschäftigten derzeit bei 32 Prozent. Vor der Pandemie waren es gerade 8 Prozent.

Das bedeutet, dass die Fertigungs- und Industriebranche den Benutzern den Zugang zu Netzwerken aus der Ferne ermöglichen muss, um die Produktion zu kontrollieren und zu steuern. Man muss auch Drittanbietern den Zugang zu Netzwerken aus der Ferne ermöglichen. Seit März 2020 wurde das umgesetzt und Angreifer nutzen es aus. Die Häufigkeit und die Auswirkungen der Angriffe nehmen deutlich zu. Vieles davon geschieht aufgrund des Fernzugriffs, der gewährt wird, aber nicht sicher ist.

Wir leben in einer neuen Ära, einer Zeit, in der sich die Art und Weise, wie wir arbeiten, deutlich verändert. Allerdings befassen sich nicht alle Unternehmen mit dieser neuen Art und Weise. CEOs müssen hier ein besseres Bewusstsein entwickeln und sich mit der neuen Situation auseinandersetzen.

Blake Moret ist CEO von Rockwell Automation.
Blake Moret ist CEO von Rockwell Automation.
(Bild: Business Wire)

Blake Moret: Dieses Thema ist in den Diskussionen in der Führungsebene allgegenwärtig und immer wieder präsent. Führungskräfte suchen nach einem konsistenten, umfassenden und einheitlichen Ansatz. Auf die Frage, ob IT- und OT-Sicherheit letztlich in einer Hand liegen sollten, lautet die Antwort meiner Meinung nach ‚Ja‘. In Anbetracht der Tatsache, dass die OT nicht mehr komplett isoliert ist und viele OT-Daten in die IT-Umgebung des Unternehmens gelangen, ist ein koordinierter Ansatz erforderlich. Dieser muss die Unterschiede zwischen IT und OT berücksichtigen und sicherstellen, dass alle wichtigen Bedrohungsbereiche berücksichtigt werden. Es bedarf einer umfassenden Verteidigungsstrategie, die sicherstellt, dass die herkömmliche Fehlermöglichkeits- und Einflussanalyse, kurz FMEA, aktualisiert wird, um auch Ereignisse zu berücksichtigen, die in der Vergangenheit nicht wahrscheinlich waren oder keine hohe Priorität hatten und daher bislang nicht berücksichtigt wurden.

Wenn es um die Verbesserung der IIoT-Sicherheit geht, gibt es keine Standardlösung, die für alle Unternehmen passt. Was ist Ihrer Meinung nach am wichtigsten, um eine Cybersicherheitslösung auf die Bedürfnisse eines Unternehmens zuzuschneiden?

Yaniv Vardi: Wir sehen, dass verschiedene Unternehmen einen unterschiedlichen Reifegrad im Bereich der Cybersicherheit aufweisen. Nur weil ein Unternehmen groß ist, bedeutet das nicht unbedingt, dass es einen hohen Reifegrad hat. Der Reifegrad hängt oft stärker mit der Branche oder dem Land zusammen, in dem ein Unternehmen tätig ist, als mit seiner Größe.

Deshalb muss man sich mit dem Reifegrad eines Unternehmens auseinandersetzen, bevor man seine Lösung anbietet. Ich sehe viele Anbieter von Cybersicherheitslösungen, die ihre gesamte Plattform in der Umgebung eines Kunden einsetzen und sagen: ‚Hier ist die Lösung‘ und es dabei belassen. Das ist kein effektiver Ansatz, denn nicht alle Unternehmen haben einen Reifegrad, bei dem sie eine industrielle Cybersicherheitslösung ohne Anleitung und Unterstützung nutzen können.

Die Unternehmen müssen zunächst ihr Netzwerk verstehen, welche Anlagen sie haben, wie sie verbunden sind, welche proprietären Protokolle es gibt und mehr. Dann kommen Schwachstellen- und Risikomanagement, dann Erkennung von Bedrohungen, dann sicherer Fernzugriff. Es ist ein gewisser Weg, den man gehen muss. Als Technologieanbieter kann man nicht einfach seine Plattform offerieren und davon ausgehen, dass der Kunde den richtigen Reifegrad erreicht hat.

Blake Moret: Das Konzept des Weges ist bei der Einführung einer neuen Technologie in einem Produktionsbetrieb sehr wichtig. Man sollte nicht versuchen, alles auf einmal umzusetzen.

Welche Gemeinsamkeiten gibt es zwischen der Entwicklung der industriellen Sicherheit und der funktionalen Sicherheit, auch Safety genannt?

Yaniv Vardi ist CEO von Claroty.
Yaniv Vardi ist CEO von Claroty.
(Bild: Claroty)

Yaniv Vardi: Ich habe mich sehr gefreut, dass in der jüngsten Executive Order von Präsident Biden die Cybersicherheit ähnlich wie die funktionale Sicherheit behandelt wird: mit bewährten Praktiken und Industriestandards, wie man eine Überprüfung von Cybersicherheits- und Sicherheitsausschüssen durch den Vorstand einrichtet und wie man kritische Infrastrukturen dazu zwingt, sich damit zu befassen. In Deutschland sehen wir mit dem IT-Sicherheitsgesetz 2.0 eine Initiative, die in die gleiche Richtung zielt: Den Schutz kritischer Infrastruktur und wichtiger Lieferanten auch im OT-Bereich vor Cyber-Bedrohungen zu verbessern.

Ein positives Ergebnis des Vorfalls bei Colonial Pipeline ist, dass mehr Unternehmen die industrielle Cybersicherheit auf ähnliche Weise angehen, wie sie es zuvor mit der funktionalen Sicherheit getan haben. Die Frage ist: Was müssen Unternehmen in Zukunft tun, um sicherzustellen, dass sie die erforderlichen Sicherheitsvorkehrungen treffen und gleichzeitig die Vorteile der Konnektivität optimal nutzen können?

Blake Moret: Hierzu muss man das Team, das man zur Bewältigung dieser Probleme geschaffen hat, weiter analysieren, ihm die notwendige Aufmerksamkeit widmen und sicherstellen, dass man die richtigen Personen in den richtigen Positionen hat. Wenn IT und OT zusammenkommen, geht es nicht nur um Cybersicherheit, sondern auch um die Vorteile eines effektiven Unternehmens, das die Perspektiven verschiedener Gruppen zusammenführt.

Yaniv Vardi: Das sehe ich genauso. Es ist ein dreifacher Ansatz. Zunächst einmal muss man eine Bewertung vornehmen und dem Unternehmen seine Strategie ganz klar mitteilen. Der zweite Punkt ist die Transparenz: Wie ich bereits sagte, ist die größte Herausforderung, wenn wir mit CISOs und CIOs von Industrieunternehmen sprechen, die Transparenz, was in ihren Netzwerken vorhanden ist. Und auch das wiederhole ich: Man kann nicht schützen, was man nicht sieht. Damit muss man anfangen.

Und schließlich die Zusammenarbeit bei der Entwicklung von Lösungen für die Erkennung von Bedrohungen, das Management von Schwachstellen und so weiter. Dabei muss man sicherstellen, dass das gesamte Ökosystem berücksichtigt wird. Es ergibt oft keinen Sinn, sich nur auf das eigene Unternehmen zu konzentrieren.

Nehmen wir das Beispiel der Automobilindustrie: Der größte Teil der Produktionslinie wird möglicherweise von einem Anbieter in der Lieferkette bereitgestellt. Wenn ein Zulieferer angegriffen wird, sind die Auswirkungen auf die Produktionslinie die gleichen wie bei einem direkten Angriff. Wir brauchen also einen gemeinsamen Ansatz für die Cybersicherheitsstrategie, nicht nur intern, sondern für das gesamte Ökosystem.

Dieser Beitrag ist ursprünglich auf unserem Partnerportal MM Maschinenmarkt erschienen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48135149)