Ohne Cyber-Security keine digitale Transformation

Bislang zeichneten sich erfolgreiche Neuerungen in der Industrie dadurch aus, dass man durch sie schneller, günstiger, flexibler oder ökonomischer produzieren konnte. Das gilt auch immer noch. Jedoch kommt ein wichtiges Element als Auswahlkriterium hinzu: die Cyber-Sicherheit. So stellt sich die Frage bevor man investiert: Wie sicher können neue und natürlich auch die bereits vorhandenen Automatisierungssysteme betrieben werden? Sicher genug?

Warum das Risiko von Cyber-Angriffen auf Industrieanlagen steigt

Der digitale Wandel ändert auch die Bedingungen in der Industrie schneller als es jemals zuvor war. Natürlich gab es immer ständige Weiterentwicklungen und Innovationen, aber die langen Lebenszyklen der industriellen Automatisierungssysteme zeigen, dass sich größere Veränderungen nur langsam durchsetzen konnten. Doch das hat sich geändert.

Industrieanlagen werden immer stärker digitalisiert, mit Büro-IT-Systemen vernetzt und an die Cloud angebunden. Dies bringt enorme Vorteile in Aspekten wie Prozessoptimierung und Reduzierung der Wartungskosten. Doch mit zunehmender Digitalisierung steigt auch für Industrieunternehmen das Risiko, Opfer von Cyber-Angriffen zu werden. Angreifer erhoffen sich Lösegelder, stehlen geistiges Eigentum oder sabotieren sogar betriebliche Prozesse, um Konkurrenten zu schaden. Wenn Cyber-Sicherheit jedoch als Teil des Designprozesses standardmäßig in digitale Produkte und Lösungen integriert wird, eröffnet dies Möglichkeiten für ein schnelleres Wachstum des digitalen Geschäfts und hilft, einen Wettbewerbsvorteil zu sichern.

Die Sicherheit in der OT hat sich in den letzten Jahren im Allgemeinen verbessert, liegt aber immer noch teilweise hinter der in der IT zurück. Einer der Gründe dafür ist, dass OT hauptsächlich nach rein funktionalen Kriterien entwickelt werden. Die meisten Systeme wurden oft zu einer Zeit entwickelt, als die Verbindung mit dem Internet nicht vorgesehen und daher ein Cyber-Angriff unwahrscheinlich war. Security-Patches waren für OT-Geräte normalerweise nicht vorhanden, getreu dem Motto „never touch a running system“. Das Risiko, dass ein Sicherheitspatch ein System herunterfährt, wird oft noch größer angesehen als das Risiko eines Hackerangriffs.

Security-Konzepte setzen Wissen voraus

Auch die Regulierungsbehörden haben mit höheren Anforderungen auf die rasante Zunahme von Cyber-Angriffen reagiert. In Deutschland spielt das deutsche IT-Sicherheitsgesetz eine große Rolle. Darüber hinaus hat die Umsetzung der EU-NIS-Richtlinie zur Einführung nationaler NIS-Gesetze in allen EU-Mitgliedsstaaten geführt, die in Deutschland dem IT-Sicherheitsgesetz 2.0 gleichkommen. Die Vorschriften werden regelmäßig aktualisiert, um mehr Betreiber einzubeziehen und die Anforderungen zu verschärfen. Und es gibt einen weiteren Trend, Hersteller und Zulieferer mit einzubeziehen. Die Betreiber müssen in regelmäßigen Abständen nachweisen, dass sie die Anforderungen erfüllen.

Firmen, die in kritischen Infrastrukturbereichen tätig sind, stellen zunehmend Fragen zur Cyber-Sicherheit, da sie gesetzlich verpflichtet sind, entsprechende Maßnahmen umzusetzen, und dies ohne die Unterstützung ihrer Lieferanten nicht tun können. Dazu benötigen sie Fachwissen sowohl in der IT- als auch in der OT-Welt, das intern häufig nicht vorhanden ist. Die besonderen Randbedingungen in der OT wie 24/7 Betrieb, hohe Performance-Anforderungen und Verfügbarkeit erfordern darüber hinaus ein fundiertes Verständnis der Prozesse, um Security-Konzepte optimal einführen und umsetzen zu können.

Erfahrungen mit Schutzmaßnahmen

Mit dem Wert der Daten für Unternehmen steigen die Begehrlichkeiten von Cyber-Kriminellen. Die zunehmende Vernetzung macht es ihnen zudem auch immer einfacher. Die Zahl von Cyber-Angriffen steigt daher kontinuierlich. Das kann nicht nur teuer werden, sondern auch die Existenz von Unternehmen und bei kritischen Einrichtungen sogar Menschenleben gefährden. Es ist jedoch keine Lösung, Daten einfach nicht mehr zugänglich zu machen. Daten müssen horizontal und vertikal im Unternehmen und oft über Unternehmensgrenzen hinaus fließen, um optimal genutzt werden zu können. Hinzu kommt die wachsende Beliebtheit und Notwendigkeit von Fernzugriffen auf Maschinen und Anlagen, nicht nur in Zeiten einer globalen Pandemie. Die zentrale Aufgabe von Cyber-Security ist also, dafür zu sorgen, dass nur berechtigte Prozesse und Personen Zugriff auf die Daten haben. Dass die Arten von Cyber-Angriffen sich ständig ändern und Cyber-Security immer schnellstmöglich darauf reagieren muss, wird zu einer ständig neuen Herausforderung.

Die Komplexität dieser Aufgabe ist für die meisten Unternehmen nicht mehr beherrschbar: Sie benötigen einen Partner, der die speziellen Anforderungen der Industrie und der Cyber-Security gleichermaßen beherrscht. Daher schätzen es viele von ihnen, sowohl Cyber-Sicherheits- als auch Automatisierungskomponenten aus einer Hand beziehen zu können, um diese Know-how Lücke schließen zu können. Siemens ist eine der Firmen, die spezifisches Automatisierungs- und Branchenwissen mit hoher Kompetenz in Cyber-Security, nicht zuletzt aus den Erfahrungen mit dem Schutz eigener Werke, zu „Cybersecurity for Industry“ ideal kombinieren können.

Als Treiber der digitalen Transformation mit dem Digital Enterprise sorgt Siemens seit Jahren dafür, dass bei Unternehmen auf dem Weg zu Industrie 4.0 Digitalisierung und Cyber-Security Hand in Hand gehen. Als Mitglied der Charter of Trust und mit einem eigenen Cyber Emergency Readiness Team sorgt Siemens proaktiv für den ständig aktuellen Schutz der Kunden und der eigenen Werke. Bei der OT-/IT-Integration profitieren Unternehmen so gleichermaßen von der Automatisierungs-, Digitalisierungs-, und Cyber-Security-Expertise von Siemens.

Zum Schutz der industriellen Produktion setzt Siemens auf das mehrschichtige Defense-in-Depth-Konzept, das durch Zero-Trust-Prinzipien noch verstärkt wird. Denn nur ein umfassendes Konzept, das auf allen relevanten Ebenen ansetzt, kann effektiv den Cyber-Bedrohungen entgegenwirken. Diese Ebenen sind Anlagensicherheit, Netzwerksicherheit und Systemintegrität der Automatisierungssysteme. Hierzu bietet Siemens ein breites Spektrum von Netzwerk- und Automatisierungskomponenten mit integrierten Security Funktionen und entsprechenden Security Services an, mit denen mehrschichtige Security Konzepte für die Industrie auch umgesetzt werden können.

Alle Automatisierungs-Produkte von Siemens werden nach den Prinzipien „Security by Design“ und zunehmend auch nach „Security by Default“ entwickelt und sind so bereits ab Werk entsprechend gehärtet und werden durch ständige Updates weiter verbessert, um Unternehmen die sichere Verbindung ihrer OT- und IT-Netzwerke zu ermöglichen, damit sie ihre Daten optimal nutzen können und dabei vor Cyber-Angriffen geschützt sind.