Supply-Chain-Angriffe bedrohen OT

OTORIO zeigt in seinem 2022 OT Cybersecurity Survey Report die aktuelle Situation der OT-Sicherheit auf. OT steht für Operational Technology und bezieht sich auf Betriebstechnologie zur Steuerung industrieller Anlagen und kritischer Infrastrukturen. Infolge des fortschreitenden Zusammenwachsens von IT- und früher vollständig getrennter OT-Umgebungen und vor dem Hintergrund gezielter Angriffe gewinnt die OT-Sicherheit an Bedeutung.

In den letzten zwei Jahren sind drei verschiedene Trends zusammengekommen, die die Sichtweise der Menschen auf die industrielle (OT) Cybersicherheit verändern. Der erste ist die Beschleunigung der Entwicklung hin zu einer vernetzten Produktion, insbesondere in den Bereichen Remote-Operationen und Lieferkettenmanagement. Angetrieben durch die Pandemie und in der Hoffnung, immer effizienter und kostengünstiger zu werden, sehen sich die Unternehmen gezwungen, ihre Abläufe zu digitalisieren. Dies hat zur Folge, dass ehemals abgeschottete industrielle Umgebungen heute dem Internet ausgesetzt sind.

Zweitens: die Zunahme der Internetkriminalität selbst. Noch vor wenigen Jahren wurde die Branche hauptsächlich von staatlichen Angreifern bedroht. Das waren  die einzigen, die über die Ressourcen verfügten, um kritische Infrastrukturen, Energie- und Industrieunternehmen anzugreifen. Heute werden so ausgefeilte Werkzeuge, wie sie früher nur Nationalstaaten zur Verfügung standen, von cyberkriminellen Organisationen genutzt und richten erheblichen Schaden an. Diese Kriminellen haben es auf industrielle Umgebungen abgesehen, die sie aufgrund der beschleunigten Digitalisierung als leichte Beute betrachten.

Der letzte Trend ist die Verschärfung von Gesetzen und Vorschriften, die von Regierungen vorangetrieben wird, die eine immer aktivere Rolle bei der Cyberabwehr übernehmen. Der Energie-, Versorgungs- und Transportsektor ist sowohl für die Wirtschaft als auch für die nationale Sicherheit von entscheidender Bedeutung und zwingen die Regierungen zur Einführung neuer Aktualisierung und Weiterentwicklung bestehender Vorschriften. Dieser Trend wurde im Jahr 2021 durch die Biden-Regierung beschleunigt, und mehrere US-Behörden nehmen nun alles unter die Lupe, was mit Betriebstechnologie zu tun hat.

Auch in Deutschland reagiert der Gesetzgeber: Mit der Verabschiedung des „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT- Sicherheitsgesetzes 2.0) im Frühjahr 2021 wurden die Pflichten noch einmal verschärft. Ab dem 1. Mai 2023 müssen die Betreiber kritischer Infrastrukturen zusätzlich besondere „Systeme zur Angriffserkennung“ vorhalten.

In der Otorio Umfrage sehen 53 Prozent der Teilnehmer Supply-Chain-Angriffe als eine ihrer drei größten Sorgen an. Die Angriffe auf Kaseya und SolarWinds sowie der groß angelegte Angriff auf das afrikanische Hafennetz sind nur einige Beispiele für große Angriffe dieser Art im Jahr 2021. So waren Hunderte von Unternehmen, von der Ausnutzung einer Schwachstelle bei einem Dienstleister betroffen. Dies zeigt erneut: Unternehmen sind nur so stark wie ihr schwächstes Glied. In einem betrieblichen oder industriellen Umfeld kann dies jeder Anbieter mit Fernzugriff auf die Produktionsumgebung sein, der möglicherweise nicht einmal für IT-Überwachungstools sichtbar ist, da OT anders funktioniert.

99 Prozent der Befragten haben in den letzten zwölf Monaten (zum Zeitpunkt der Befragung) die Auswirkungen eines Supply-Chain-Angriffs erlebt. 83 Prozent der Befragten gaben an, dass sie sehr besorgt über Angriffe sind, die ihren Ursprung in der Lieferkette haben. Um das Risiko zu verringern, sollten Unternehmen Technologien wie Mikrosegmentierung implementieren und den Zugang von Drittanbietern zu ihrer Umgebung nach den Grundsätzen der geringsten Privilegien und von Zero Trust beschränken.

98 % der Befragten berichteten über einen Anstieg der digitalen und Cyber-Risiken in den letzten drei Jahren. Die Sorge um die OT-Cybersicherheit ist wohlbegründet. 67 % der Befragten gaben an, dass die Risiken seit 2019 erheblich gestiegen sind, und nur 31 % haben einen geringeren Anstieg festgestellt.

Anforderung eines Cyberzertifikats von Anbietern in der Lieferkette

OTORIO hat die Umfrageteilnehmer gefragt, ob sie von ihren Zulieferern ein Cyberzertifikat für ihre Hardware und/oder Software verlangen. 64 Prozent gaben an, dass sie dies schon immer verlangt haben, 32 Prozent verlangen es seit 2021 und fünf Prozent planen, es ab 2022 zu verlangen. Das bedeutet, dass in Zukunft jede Maschine, jedes System und jedes Gerät vor der Auslieferung auf Cybersicherheit, gesetzliche und vertragliche Anforderungen geprüft werden muss. Um wettbewerbsfähig zu bleiben, müssen die Hersteller dieses Cyberzertifikat anbieten – oder sie riskieren, Aufträge zu verlieren.