Wenn die Integration von IT- und OT-Systemen steigt, steigt die Gefahr von Cyberangriffen. Dabei tendiert der Fokus immer stärker Richtung Cloud-Plattformen. Wie beeinflusst das die Industrial Cyber Security?
Zahlreiche IIoT-Geräte (Industrial Internet of Things), Sensoren und Aktoren, Cloud-Dienste und die zunehmende Vernetzung von Information (IT) und Operational Technology (OT) prägen die moderne Industrie. Dabei schafft die digitale Transformation neben zahlreichen Vorteilen auch neue Abhängigkeiten und Unsicherheiten: Erfolgreiche Cyberangriffe können innerhalb kürzester Zeit zu Produktionsausfällen und enormen wirtschaftlichen Schäden führen.
Wenn Cyberangriffe die Produktion lahmlegen
Das musste auch der Automatisierungsspezialist Pilz schmerzlich erfahren, dessen Geschäftsführer Thomas Pilz ganz offen über einen 2019 erfolgten Cyberangriff berichtet: Nachdem sich ein Trojaner in der Bürosoftware des global agierenden Unternehmens festgesetzt und begonnen hatte, die gespeicherten Daten zu verschlüsseln, schalteten die Verantwortlichen sämtliche IT- und Produktionssysteme ab. Das war unvermeidbar, da sowohl die Bürosoftware als auch Maschinensteuerungen auf Microsoft-Betriebssystemen liefen.
Welche Rolle spielt Cloud Computing in der modernen Industrie?
Heute und nach der erfolgreichen Bewältigung des Angriffs, ist bei Thomas Pilz die Erkenntnis gewachsen, dass viele Cyber-Security-Maßnahmen ganz schnell veraltet sind. Wer mit den Kriminellen mithalten möchte, muss sich selbst ständig infrage stellen. Deshalb verbindet Pilz sein Kerngeschäft nun mit Komponenten für die funktionale Maschinensicherheit (safety), als auch mit Elementen der Industriellen Sicherheit (security). Zusätzlich wurde Thomas Pilz zum Cloud-Befürworter, denn die Erfahrung hat ihm gezeigt, dass die Wiederherstellung der dringend benötigten Services aus der Wolke deutlich schneller zu realisieren ist.
Vor allem aber weiß er nun, dass man die Cybersicherheit bei mit der Cloud verbundenen Anwendungen von einem Ende bis zum anderen Ende betrachten muss. Und dass man stets darauf achten sollte, die Vertraulichkeit, Integrität und Authentizität der Daten über alle Umgebungen hinweg zu wahren. Dazu kommen zahlreiche weitere Aspekte, die es in puncto industrieller Cloud Security zu beachten gibt.
Was es in puncto Industrial Cloud Security zu beachten gibt:
Konformität mit Gesetzen und Standards: Relevante gesetzliche Vorgaben (NIS2, DSGVO, etc.) und empfohlene Normen sollten erfüllt sein (z. B. I ISO 27001, ISO 2717, IEC 62443, etc.).
Datensicherheit: Die in der IT- als auch OT-Umgebung verarbeiteten sensiblen Daten müssen vorsichtig und unter Einhaltung strikter Vorgehensweisen behandelt werden.
Server-Standorte: Wenn die Datenverarbeitung innerhalb bestimmter geografischer Grenzen erfolgen muss, muss dies bei der Auswahl des Cloud-Anbieters und der genutzten Rechenzentren berücksichtigt werden.
Organisatorische Prozesse: Cybersicherheit ist nur dann möglich, wenn organisatorische Prozesse definieren, welche Daten von wem, wie und wann behandelt werden dürfen.
Notfall- und Krisenmanagement: Kommt es zu einem Ausfall oder einer anderen Krise, müssen Unternehmen in der Lage sein, ihre Dienste schnell wiederherzustellen. Das erfordert robuste Wiederherstellungs- und Notfallpläne (Backup & Disaster Recovery), die auch in der Praxis funktionieren.
Risikoanalyse und -management: Um potenzielle Cloud-Risiken zu identifizieren, sollte man eine umfassende Risikobewertung durchführen. Dazu gehört die fortlaufende Bewertung von Sicherheitslücken, Datenschutz- und Betriebsrisiken.
Besser in die Public oder Private Cloud migrieren?
Eine möglichst sichere Verbindung der OT zu einer Private Cloud betrifft so gut wie alle Unternehmen, die bereits ein eigenes Rechenzentrum nutzen und hier auch ihre OT-Services und -Applikationen betreiben. Aber auch Hyperscaler wie Amazon Web Services (AWS) stellen mit ihrer Public Cloud für produzierende Unternehmen eine attraktive Option dar.
Sie bieten nicht nur enorme Ressourcen, sondern auch eine Geschwindigkeit und Flexibilität, die in der Cloud unübertroffen sind. Und obwohl die Datensicherheit hier oft als Herausforderung angesehen wird, bieten viele Cloud-Anbieter fortschrittliche Sicherheitsmaßnahmen, die meist strenger sind als die, die Unternehmen intern umsetzen können.
Zudem helfen die Cloud-Provider dabei, die eigene Compliance mit verschiedenen Datenschutz- und Sicherheitsstandards zu gewährleisten. So bietet auch AWS mit der „European Sovereign Cloud“ eine vor allem auf stark regulierte Industrien zugeschnittene Lösung , die die Kontrolle über den Standort der Daten, den Zugriff darauf, die Resilienz der Cloud wie auch die Fähigkeit, Daten überall zu verschlüsseln, umfasst. Ein weitere Vorteil ist die Vielzahl an verfügbaren Drittservices, die man bei den Hyperscalern ohne zusätzliche Lizenzen aus einer Hand erhalten kann.
Third-Party-Softwarebausteine als Sicherheitsrisiko?
Allerdings stellen die sogenannten Third-Party-Softwarebausteine auch einen Knackpunkt dar: Durch die von Drittanbietern speziell für die Maschinen- und Anlagenbetreiber entwickelten und bei Amazon, Microsoft & Co. gehosteten Cloud-Lösungen vergrößert sich die mögliche Angriffsfläche für Cyberattacken erheblich.
So bleiben auch die Cloud-Marktführer angreifbar, man muss nur die Attacken anspruchsvoller gestalten. Letztendlich ist es damit die Private Cloud, die die volle Kontrolle über die physische und netzwerktechnische Infrastruktur bietet. Sie ermöglicht es, strengere Sicherheitsprotokolle und maßgeschneiderte Sicherheitsmaßnahmen zu implementieren, die speziell auf die Bedürfnisse und Anforderungen des eigenen Unternehmens zugeschnitten sind.
Warum die ISO 27001 eine stabile Basis ist
Entscheidend ist auch, dass das Bewusstsein für eine anstehende Migration zur Cloud und die damit einhergehende Informationssicherheit auf der Managementebene beginnt. Denn fehlt die Awareness auf der Führungsebene, wirkt sich das aufs gesamte Unternehmen negativ aus.
Wir empfehlen die Implementierung eines Informationssicherheits-Managementsystems (ISMS) gemäß der ISO 27001 Norm. Denn die hier festgelegten Richtlinien bieten bereits eine solide Grundlage, um zahlreiche gesetzliche Vorschriften zu erfüllen. Da die Verantwortung für die Umsetzung beim Unternehmen selbst liegt und mehrere Abteilungen einbezieht, kann eine ISO-Zertifizierung auf allen Ebenen mehr Security Awareness schaffen.
Auf die Eigenverantwortung kommt es an
Ob man sich dann für eine Public-, Private-, Hybrid- oder auch eine Multi-Cloud-Umgebung entscheidet – zunächst einmal sollten industrielle Cloudnutzende sich möglichst selbst um die Sicherheit ihrer (industriellen) Anwendungen kümmern und sich nicht einfach darauf verlassen, dass die Partner schon für die Cyber Security sorgen werden.
Um den aufgebauten Schutz aufrechtzuerhalten oder nach einem Vorfall wiederherzustellen, muss die Cybersicherheit dabei als durchgängiger Prozess im gesamten Unternehmen etabliert werden. Insgesamt ist eine mehrschichtige Sicherheitsstruktur anzustreben, bei der es gilt, die Auswertung der aus der Überwachung, Bedrohungs- und Vorfallsanalyse gewonnenen Daten mit aktuellen Business-Continuity-Plänen in Einklang zu bringen.
Auch unser Managed IT/OT SOC kann in diesem Kontext eine Rolle spielen, denn die Loganbindung an das SOC in Basel stellt ebenfalls eine sichere Verbindung zwischen IT, OT und einer Cloud dar.
Wie Sie sichere OT-Cloud-Verbindungen schaffen:
Sicherheitsgateways: Sie bilden eine sichere Brücke zwischen OT und der Private Cloud, können den Datenverkehr überprüfen und nur verifizierte Kommunikation zulassen.
Segmentierung: Eine Netzwerksegmentierung stellt sicher, dass der Datenverkehr zwischen OT- und IT-Netzwerken isoliert wird und eine Kompromittierung im IT-Bereich nicht auf die OT übergreift.
Verschlüsselung: Um Datenintegrität und Vertraulichkeit zu gewährleisten, sollten alle Daten, die zwischen OT-Geräten und der Private Cloud übertragen werden, verschlüsselt werden.
Authentifizierung und Zugriffskontrolle: Starke Authentifizierungsmechanismen und Zugriffskontrollen stellen sicher, dass nur autorisierte Geräte und Benutzer auf Netzwerkressourcen zugreifen können.
Regelmäßige Updates und Patches: Sowohl die OT- als auch die Cloud-Infrastruktur sollten regelmäßig aktualisiert werden, um Schutz gegen neueste Bedrohungen zu gewährleisten.
Überwachung und Anomalieerkennung: Die Implementierung von Überwachungssystemen, die kontinuierlich den Netzwerkverkehr analysieren, ermöglicht es, ungewöhnliche Aktivitäten zu identifizieren und schnell darauf zu reagieren.
Bereit für industrielle Cloud Security?
Der Parallelbetrieb von Cloud-Services und On-Premise-IT wird auch in industriellen Unternehmen zunehmend zum Standard. Eine effektive Cyber Security kann in Szenarien dieser Art nur durch ein zentrales Security-Management gewährleistet werden, das sämtliche Komponenten der IT-, OT- und auch der Cloud-Umgebung umfasst.
Axians unterstützt Sie bei der Ausarbeitung einer Industrial-Cloud-Security-Strategie, die auf Ihre Bedürfnisse zugeschnitten ist. Dabei berücksichtigen wir Compliance-Vorgaben und sind mit maßgeschneiderten Service-Modellen für Sie da – je nachdem, wie viel Unterstützung Sie sich wünschen und wie viel Verantwortung Sie abgeben möchten.