Die Zeit, in der Fließbänder von außen unangreifbar waren, ist vorbei. Vor einem Jahrzehnt beschäftigten sich die meisten deutschen Industrieunternehmen und Betreiber kritischer Infrastrukturen (KRITIS) mit IT-Sicherheit, aber weniger mit der Sicherung ihrer Betriebstechnik (OT). Heute ist das Umfeld grundlegend anders. Das liegt daran, dass industrielle Fertigungs- und KRITIS-Umgebungen zunehmend auf verbundene IT-, OT- und industrielle IoT-Netzwerke angewiesen sind. Dies vergrößert die digitale Angriffsfläche und macht es für Cyberangreifer attraktiver, deutsche Industrien und Infrastrukturgeschäftsabläufe ins Visier zu nehmen.
Darüber hinaus müssen Unternehmen nicht nur ihre Geschäftskontinuität und betriebliche Widerstandsfähigkeit sicherstellen, sondern auch die strengen deutschen und EU-Vorschriften einhalten. Die Nichteinhaltung dieser Vorschriften kann zu Ordnungswidrigkeiten und Geldbußen führen und sich nachteilig auf ihr Geschäft und ihre Aktionäre auswirken.
Der Schutz vor Cyberangriffen, die auf Hersteller und Betreiber kritischer Infrastrukturen abzielen, hat in der Praxis Priorität und ist kein theoretisches Konzept. Im Januar 2022 wurden zwei deutsche Brennstofflager- und -vertriebsunternehmen gehackt. Auch drei deutsche Windenergieunternehmen wurden kurz nach dem Einmarsch Russlands in die Ukraine Opfer von Cyberangriffen. Vor drei Jahren stellte der Münchner Automobilhersteller BMW fest, dass sein internes Netzwerk gehackt worden war. Auch der größte Pharmakonzern des Landes, die Bayer AG, wurde Opfer eines Cyberangriffs auf seine Netzwerke. Jedes dieser realen OT- und IT-Sicherheitsereignisse hatte Auswirkungen auf KRITIS-Betreiber und industrielle Fertigungsunternehmen sowie auf Unternehmen und Endnutzer in ihrer Lieferkette.
Deutsche Energiesicherheit und Russland
In den Wochen vor dem Einmarsch in die Ukraine konzentrierten sich russische Hacker Berichten zufolge auf Cyberangriffe gegen Dutzende von Flüssiggas (Liquefied natural gas (LNG)) Unternehmen. Als der Krieg begann, sahen sich Deutschland und andere EU-Länder sofort mit Problemen bei der Sicherheit der Energieversorgungskette konfrontiert, was die EU-Länder veranlasste, ihre Abhängigkeit von russischen Gas- und Öleinfuhren zu verringern.
Deutschland ist bestrebt, seinen Bedarf an LNG-Speichern vor dem Winter zu decken. Dem Spiegel zufolge wären jedoch „bei einer ernsthaften Gasverknappung die industriellen Verbraucher die ersten Leidtragenden“, da nach deutschem Recht Verbraucher und Gesundheitseinrichtungen Vorrang bei LNG-Lieferungen haben.
Die Ausnutzung der Energieversorgung als Waffe durch Russland, die anhaltenden Cybersicherheitsrisiken und das Potenzial für weitere Angriffe auf deutsche KRITIS-Betreiber und Industrieunternehmen dürfen nicht ignoriert werden. In diesem Umfeld ist es für diese Unternehmen ratsam, ein umfassendes OT-Sicherheitsrisikomanagement einzuführen. Dies kann ihnen dabei helfen, die Geschäftskontinuität zu schützen, die betriebliche Widerstandsfähigkeit aufrechtzuerhalten und eine wachsende Anzahl von deutschen und EU-Vorschriften einzuhalten.
Verschärfte deutsche und EU-Vorschriften
Angesichts der sich ständig weiterentwickelnden Cyberbedrohungen und Angriffe auf deutsche Unternehmen, kritische Infrastrukturen und Behörden verschärft das Land seine Cybervorschriften. Dazu gehören das IT-Sicherheitsgesetz 2.0 und die erweiterten KRITIS-Sicherheitsvorschriften und -Meldepflichten. Die Compliance-Richtlinien haben erhebliche Auswirkungen auf industrielle Hersteller und Betreiber kritischer Infrastrukturen.
Das BSI – als Cybersicherheitsbehörde des Bundes und Hauptarchitekt der sicheren Digitalisierung – ist für die Durchsetzung der Einhaltung dieser Gesetze und Vorschriften verantwortlich. KRITIS-Betreiber sind verpflichtet, Cyberangriffe zu erkennen, obligatorische Systeme und Prozesse zu deren Erkennung zu implementieren, Vorfälle zu melden und sich beim BSI zu registrieren. Darüber hinaus hat Deutschland seine Klassifizierung der KRITIS-Betreiber um kommunale Entsorgungsunternehmen, die Rüstungsindustrie und „Unternehmen mit besonders hoher wirtschaftlicher Bedeutung“ erweitert.
Industrielle Hersteller und KRITIS-Unternehmen müssen auch EU-Vorschriften wie die NIS-2-Richtlinie des EU-Parlaments einhalten. Die Gesetzgebung wird die Grundlage für Maßnahmen zum Cybersicherheitsrisikomanagement und für Meldepflichten bilden, um „ein hohes gemeinsames Cybersicherheitsniveau in allen Mitgliedstaaten zu erreichen“. Das EU-Gesetz wird sich auf viele Branchen auswirken, darunter kritische Infrastrukturen, Energie, Verkehr, Gesundheit und andere Branchen. Im Rahmen von NIS 2 werden alle deutschen Unternehmen, die wesentliche Dienstleistungen erbringen und über Infrastrukturen in der EU verfügen, hinsichtlich ihrer Cybersicherheits-Compliance nach europäischem Recht reguliert und beaufsichtigt.
OTORIO und seine Technologiepartner wie Atos verfügen über Erfahrung bei der Einhaltung von OT- und IT-Vorschriften, sowohl staatlicher als auch branchenspezifischer Vorschriften.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…