Nachricht schreiben an

Sie haben keinen Betreff angegeben, möchten Sie die Nachricht ohne Betreff versenden?
Bitte beachten Sie, dass Ihre Nachricht maximal 1000 Zeichen lang sein darf
Sonderzeichen '<', '>' sind im Betreff und in der Nachricht nicht erlaubt
reCaptcha ist ungültig.
reCaptcha ist aufgrund eines Serverproblems gescheitert.

Ihre Nachricht wurde gesendet

Sie finden die Nachricht jetzt in Ihrem persönlichen Bereich unter „Meine Nachrichten“.

Es ist ein Fehler aufgetreten

Bitte versuchen Sie es nochmal.

Termin vereinbaren mit

Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.

Vor-Ort-Termin vereinbaren mit

Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.

Roboterarm mit Industriemitarbeiter
  • Branchennews
  • Hacking & Abwehr

Security-Mängel im OT-Sektor: 78 Prozent wollen Budgets für Sicherheit erhöhen

Die Angst vor Sicherheitsvorfällen bei OT-Betreibern wächst. Sie haben häufig große Sicherheitsdefizite und wissen das auch. So hackten in den USA mutmaßlich iranische Angreifer jüngst die technischen Anlagen eines Wasserversorgers. Vorfälle wie diese bleiben den Geschäftsführungen im Produktionssektor nicht verborgen. Daher beabsichtigen 78 Prozent der in einer Studie befragten C-Level-Führungskräfte, ihr Budget für Cybersicherheit zu erhöhen.

Die Security von Industrieanlagen ist oft mangelhaft. OT-Risiken manuell managen ist längst nicht mehr zeitgemäß, doch viele Betreiber handhaben das noch so. Ein Grund dafür: Unzufriedenheit mit Security-Produkten.

Bekannte Sicherheitsmängel sorgen für Besorgnis bei Betreibern von Industrieanlagen. Aktuelle Sicherheitsvorfälle verdeutlichen, dass nicht nur finanzielle Motive im Vordergrund stehen. Die Betreiber planen umfassende Erhöhungen des Security-Budgets.

OT-Betreiber haben häufig große Sicherheitsdefizite und wissen das auch. Die Angst vor Cyberbedrohungen wächst, wie eine aktuelle Studie aus den USA ergab. Gleich 58 Prozent der befragten Unternehmen mit Operational Technology (OT) stufen ihr Sicherheitsrisiko als hoch ein.

Dafür gibt es genügend Anlässe. Erst kürzlich wurde ein Wasserversorger im US-amerikanischen Bundesstaat Pennsylvania Opfer eines Cyberangriffs. Die mutmaßlich iranischen Angreifer hackten sich in die Geräte zur Steuerung des Wasserdrucks. Diese stammen von einem israelischen Hersteller. Der Versorger musste das automatisierte System abschalten und auf manuelle Steuerung umstellen.

 

FBI und CISA warnen

Kurz danach stellte sich heraus, dass der Wasserversorger in Pennsylvania nicht das einzige Opfer dieser Angriffswelle war. Auch eine Brauerei, ein Aquarium sowie weitere Versorgungsunternehmen zählten dazu. Das FBI sprach sogar von einer größeren Zahl an Betreibern in mehreren US-Bundesstaaten und sah sich veranlasst, gemeinsam mit der CISA und weiteren Sicherheitsbehörden eine Warnung herauszugeben. Unter anderem die Cybersecurity and Infrastructure Security Agency (CISA), das Federal Bureau of Investigation (FBI) sowie die National Security Agency (NSA) warnen darin vor weiterreichenden Sicherheitsproblemen: „Es ist nicht bekannt, ob zusätzliche Cyberaktivitäten beabsichtigt waren oder erreicht wurden, die tiefer in diese Steuergeräte oder zugehörige Steuerungsnetzwerke und -komponenten reichen. Unternehmen sollten ihre Systeme auf diese Möglichkeiten hin untersuchen und bewerten.“

Vorfälle wie diese bleiben den Geschäftsführungen im Produktionssektor nicht verborgen und wecken Sorgen. Daher beabsichtigen 78 Prozent der in obiger Studie befragten C-Level-Führungskräfte, ihr Budget für Cybersicherheit zu erhöhen. Die geplante Erhöhung beträgt durchschnittlich sogar 29 Prozent.

Das scheint auch dringend notwendig, denn nur 47 Prozent der Befragten verfügen über eine OT-Sicherheitslösung. Hingegen managen die meisten Betreiber OT-Risiken immer noch manuell. Zudem verfügt die Mehrheit derzeit über keine OT- beziehungsweise ICS-Sicherheitsstrategie. Die Kluft zwischen Anspruch und Realität ist somit unübersehbar.

 

Studie zeigt Anforderungen für OT

Zu den in der Untersuchung genannten wichtigsten Herausforderungen im Bereich der OT-Sicherheit zählt die Verbesserung der Transparenz, was Security betrifft. Die momentane Situation macht es demnach sehr schwer, potenzielle Schwachstellen und mögliche Bedrohungen zu erkennen oder Update-Notwendigkeiten zu identifizieren.

Als weiteres signifikantes Problem benennen die Führungskräfte die Flut von Warnungen und Alarmen, die von den Security-Produkten generiert werden. Die zuständigen Spezialisten seien von dieser Anzahl überfordert, woraus eine Alarmmüdigkeit resultiere. Das führe dazu, dass eine Reaktion auf gefährliche Bedrohungen ausbleibt oder erst verzögert erfolgt. Zu dieser Problematik gehört auch die mangelnde automatische Priorisierung der Meldungen. Denn die Alarme würden nicht nach ihrer Auswirkung auf Betrieb und Produktion priorisiert.

Die meisten Unternehmen verlassen sich auf reaktive Lösungen, anstatt ein proaktives Risikomanagement zu betreiben. Das macht sie anfälliger für Angriffe. Auch sind manuelle Methoden weit weniger effektiv als automatisierte Security-Ansätze. Wie die Untersuchung auch zeigt, sind sich aber die befragten Unternehmen zunehmend darüber im Klaren, dass sie verfügbare Automatisierungsmöglichkeiten nutzen und proaktive Verfahren einsetzen müssen, um eine Eskalation von Problemen zu verhindern, wie dieser Beitrag zeigt.

Viele der befragten Unternehmen verfügen über ein Team, das in den kommenden Monaten eine OT-Strategie entwickeln und umsetzen wird, was allein schon ein erhöhtes Security-Budget erfordert. Auch wenn dies ein wichtiger Schritt ist, stehen diese Teams angesichts der Komplexität im OT-Bereich und der Vielzahl der damit verbundenen Angriffsvektoren vor großen Herausforderungen.

Autor: Uwe Sievers

close

Diese Inhalte oder Funktionen stehen der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.