Home » Fachbeiträge » Security Management » OT-Sicherheit: Bereit für die NIS-2-Richtlinie

OT-Sicherheit: Bereit für die NIS-2-Richtlinie

Viele Unternehmen müssen ihre IT-Infrastruktur an die nächste EU-Vorgabe anpassen. Wie das gelingt und warum Produktionsumgebungen samt vernetzter Maschinen nicht übersehen werden dürfen, erklärt TXOne Networks.

4 Min. Lesezeit
Foto: ©AdobeStock/Gorodenkoff

Advertorial

Bis Oktober 2024 muss die EU-Richtlinie NIS-2 (Network and Information Security 2) in nationales Recht umgesetzt werden. Entsprechend wird in Deutschland eine Änderung des IT-Sicherheitsgesetzes erwartet und mittlerweile wurde ein Referentenentwurf zur Umsetzung der NIS-2-Richtlinie veröffentlicht. Die Umsetzung soll mithilfe des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geschehen. Es wird das BSI-Gesetz neu strukturieren und um die Neuerungen ergänzen. Vieles soll präziser und schärfer formuliert werden.

KRITIS wird erweitert

NIS-2 sieht verschärfte Anforderungen für mehr als 40.000 deutsche Unternehmen vor. Besonders der Begriff des KRITIS-Betreibers wird erweitert. Zwei Eigenschaften sind nun entscheidend für die Einstufung eines Unternehmens: die Sektorzugehörigkeit und die Unternehmensgröße. 18 Sektoren werden zuerst zweigeteilt und dann in elf Sektoren mit hoher Kritikalität und sieben weitere kritische Sektoren unterteilt. Damit werden von NIS-2 sogar KMU (kleine und mittlere Unternehmen) erfasst, wobei mittlere Unternehmen hier 50 bis 250 Beschäftigte und einen jährlichen Umsatz von 10 bis 50 Millionen Euro oder eine Bilanzsumme von höchstens 43 Millionen Euro aufweisen müssen. Kleine Unternehmen haben weniger als 50 Angestellte und schaffen einen Jahresumsatz von höchstens 10 Millionen Euro.

Produktionsumgebungen nicht vergessen

Während die Unternehmen nun damit beschäftigt sind, ihre eigene Einstufung zu ermitteln und damit beginnen, ihre IT-Sicherheit anzupassen, wird die OT-Sicherheit selten erwähnt. Dabei ist diese, also der Schutz von empfindlichen Produktionsumgebungen, Anlagen, Robotern und Maschinen, nicht minder wichtig als die Absicherung der Büroumgebung, denn für das produzierende Gewerbe sind diese Maschinen der Motor ihres Geschäfts. Hacker wissen das und da die Zahl der mit dem Internet verbundenen Maschinen und Geräte steigt, also das Internet of Things (IoT) wächst, viele aber nie für diese Vernetzung entwickelt wurden, öffnet sich hier ein Einfallstor für Cyber-Kriminelle. Sie dringen in die Produktionsumgebung, attackieren die veralteten Betriebssysteme der Maschinen und springen weiter zu den restlichen IT-Systemen.

Diese Schwachstelle kann jedoch behoben werden. Hier bieten sich verschiedene Möglichkeiten mit spezialisierten Sicherheitslösungen an. Es können zwar nur wenige Beispiele genannt werden, die aber die Wichtigkeit der OT-Sicherheit verdeutlichen.

Segmentierung, USB-Sicherheit und Identitätsverwaltung

Das Netzwerk kann in Segmente oder sogar Mikrosegmente unterteilt werden, um die verschiedenen IT-Umgebungen in eigene, isolierte Zonen aufzuteilen, an deren Grenzen scharfe Sicherheitskontrollen den Datenverkehr überwachen. Ein Angreifer (eine Malware oder eine Ransomware), der in eines dieser Segmente eindringt, kann darin eingesperrt werden. Die berüchtigten seitlichen Bewegungen, das Springen von einem System zum anderen, werden auf diese Weise unterbunden.

Wird beispielsweise die OT so von der IT getrennt und die IT-Umgebung angegriffen, dann befindet sich die Produktionsumgebung in ihrer sicheren Zone und die Maschinen können unbehelligt weiterlaufen. Ein Stillstand der gesamten Produktion, wie schon oft geschehen, ist dann nicht mehr die automatische Folge eines jeden erfolgreichen Cyber-Angriffs. Darüber hinaus kann die Einführung strenger Richtlinien für den Datenverkehr und deren zuverlässige Durchsetzung auf allen Systemen und im gesamten Netzwerk dafür sorgen, dass nur noch die Daten ungehindert durchgelassen werden, die für die Arbeitsabläufe wirklich benötigt werden. Dabei wird die Konnektivität aller Anwendungen, Maschinen und Benutzeridentitäten genau ermittelt. Alles andere wird überprüft und löst im Zweifelsfall einen Alarm aus.

Was altmodisch klingt, aber in letzter Zeit häufiger zu beobachten ist und großen Schaden anrichten kann: Malware auf USB-Sticks. Dahinter stecken die berüchtigten Innentäter-Attacken oder auch ganz altmodisch eingeschleuste Verbrecher – oder ein absichtlich auf dem Firmengelände liegen gelassener Stick, der von einem unvorsichtigen Mitarbeiter an eine Maschine oder einen Rechner gesteckt wird, um zu sehen, was sich darauf befindet. Diese Bedrohung ist ernst zu nehmen. Daher sollte eine spezielle Sicherheitslösung dafür sorgen, dass nur autorisierte USB-Sticks verbunden werden können, die automatische Ausführung von Skripten verboten wird und Änderungen an Konfigurationen oder Daten unmöglich gemacht werden.

Identitätsverwaltung mittels Identity and Access Control (IAM) rundet die OT-Sicherheit ab. Dabei muss immer das Principle of Least Privilege, das Prinzip der geringsten Berechtigung, gelten, damit jedes Benutzerkonto und jede Maschinenidentität wirklich nur den Teil des Netzwerks sieht, den es zum Arbeiten und Funktionieren benötigt. Das verkleinert die Angriffsfläche ungemein, sowohl für Hacker als auch für Innentäter oder schlichte Fehler. Auf diese Weise können auch alle zugreifenden Geräte stets auf die Einhaltung der Compliance-Richtlinien überprüft werden.

Fazit

Alle Unternehmen, die vernetzte Maschinen im Einsatz haben, sollten umgehend prüfen, ob sie von NIS-2 betroffen sein werden. Ist das der Fall, muss sofort begonnen werden, die OT-Sicherheit mithilfe spezialisierter Lösungen aus den Bereichen Security Inspection, Endpoint Protection (SPS Detection & Response), und Network Defense anzupassen – das Alter der Maschinen und ihrer Betriebssysteme spielt dabei keine Rolle. Auch sie müssen und können gesichert werden – einfach und zuverlässig.

Mehr zu OT-Sicherheit in Verbindung mit der NIS-2-Richtlinie lesen Sie hier: https://www.txone.com/white-papers/mastering-nis2-directive/

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.