Die Security von Industrieanlagen ist oft mangelhaft. OT-Risiken manuell managen ist längst nicht mehr zeitgemäß, doch viele Betreiber handhaben das noch so. Ein Grund dafür: Unzufriedenheit mit Security-Produkten.
Bekannte Sicherheitsmängel sorgen für Besorgnis bei Betreibern von Industrieanlagen. Aktuelle Sicherheitsvorfälle verdeutlichen, dass nicht nur finanzielle Motive im Vordergrund stehen. Die Betreiber planen umfassende Erhöhungen des Security-Budgets.
OT-Betreiber haben häufig große Sicherheitsdefizite und wissen das auch. Die Angst vor Cyberbedrohungen wächst, wie eine aktuelle Studie aus den USA ergab. Gleich 58 Prozent der befragten Unternehmen mit Operational Technology (OT) stufen ihr Sicherheitsrisiko als hoch ein.
Dafür gibt es genügend Anlässe. Erst kürzlich wurde ein Wasserversorger im US-amerikanischen Bundesstaat Pennsylvania Opfer eines Cyberangriffs. Die mutmaßlich iranischen Angreifer hackten sich in die Geräte zur Steuerung des Wasserdrucks. Diese stammen von einem israelischen Hersteller. Der Versorger musste das automatisierte System abschalten und auf manuelle Steuerung umstellen.
FBI und CISA warnen
Kurz danach stellte sich heraus, dass der Wasserversorger in Pennsylvania nicht das einzige Opfer dieser Angriffswelle war. Auch eine Brauerei, ein Aquarium sowie weitere Versorgungsunternehmen zählten dazu. Das FBI sprach sogar von einer größeren Zahl an Betreibern in mehreren US-Bundesstaaten und sah sich veranlasst, gemeinsam mit der CISA und weiteren Sicherheitsbehörden eine Warnung herauszugeben. Unter anderem die Cybersecurity and Infrastructure Security Agency (CISA), das Federal Bureau of Investigation (FBI) sowie die National Security Agency (NSA) warnen darin vor weiterreichenden Sicherheitsproblemen: „Es ist nicht bekannt, ob zusätzliche Cyberaktivitäten beabsichtigt waren oder erreicht wurden, die tiefer in diese Steuergeräte oder zugehörige Steuerungsnetzwerke und -komponenten reichen. Unternehmen sollten ihre Systeme auf diese Möglichkeiten hin untersuchen und bewerten.“
Vorfälle wie diese bleiben den Geschäftsführungen im Produktionssektor nicht verborgen und wecken Sorgen. Daher beabsichtigen 78 Prozent der in obiger Studie befragten C-Level-Führungskräfte, ihr Budget für Cybersicherheit zu erhöhen. Die geplante Erhöhung beträgt durchschnittlich sogar 29 Prozent.
Das scheint auch dringend notwendig, denn nur 47 Prozent der Befragten verfügen über eine OT-Sicherheitslösung. Hingegen managen die meisten Betreiber OT-Risiken immer noch manuell. Zudem verfügt die Mehrheit derzeit über keine OT- beziehungsweise ICS-Sicherheitsstrategie. Die Kluft zwischen Anspruch und Realität ist somit unübersehbar.
Studie zeigt Anforderungen für OT
Zu den in der Untersuchung genannten wichtigsten Herausforderungen im Bereich der OT-Sicherheit zählt die Verbesserung der Transparenz, was Security betrifft. Die momentane Situation macht es demnach sehr schwer, potenzielle Schwachstellen und mögliche Bedrohungen zu erkennen oder Update-Notwendigkeiten zu identifizieren.
Als weiteres signifikantes Problem benennen die Führungskräfte die Flut von Warnungen und Alarmen, die von den Security-Produkten generiert werden. Die zuständigen Spezialisten seien von dieser Anzahl überfordert, woraus eine Alarmmüdigkeit resultiere. Das führe dazu, dass eine Reaktion auf gefährliche Bedrohungen ausbleibt oder erst verzögert erfolgt. Zu dieser Problematik gehört auch die mangelnde automatische Priorisierung der Meldungen. Denn die Alarme würden nicht nach ihrer Auswirkung auf Betrieb und Produktion priorisiert.
Die meisten Unternehmen verlassen sich auf reaktive Lösungen, anstatt ein proaktives Risikomanagement zu betreiben. Das macht sie anfälliger für Angriffe. Auch sind manuelle Methoden weit weniger effektiv als automatisierte Security-Ansätze. Wie die Untersuchung auch zeigt, sind sich aber die befragten Unternehmen zunehmend darüber im Klaren, dass sie verfügbare Automatisierungsmöglichkeiten nutzen und proaktive Verfahren einsetzen müssen, um eine Eskalation von Problemen zu verhindern, wie dieser Beitrag zeigt.
Viele der befragten Unternehmen verfügen über ein Team, das in den kommenden Monaten eine OT-Strategie entwickeln und umsetzen wird, was allein schon ein erhöhtes Security-Budget erfordert. Auch wenn dies ein wichtiger Schritt ist, stehen diese Teams angesichts der Komplexität im OT-Bereich und der Vielzahl der damit verbundenen Angriffsvektoren vor großen Herausforderungen.
Autor: Uwe Sievers