Home » Fachbeiträge » Security Management » OT-Sicherheit: Bereit für die NIS-2-Richtlinie

OT-Sicherheit: Bereit für die NIS-2-Richtlinie

Viele Unternehmen müssen ihre IT-Infrastruktur an die nächste EU-Vorgabe anpassen. Wie das gelingt und warum Produktionsumgebungen samt vernetzter Maschinen nicht übersehen werden dürfen, erklärt TXOne Networks.

4 Min. Lesezeit
Foto: ©AdobeStock/Gorodenkoff

Advertorial

Bis Oktober 2024 muss die EU-Richtlinie NIS-2 (Network and Information Security 2) in nationales Recht umgesetzt werden. Entsprechend wird in Deutschland eine Änderung des IT-Sicherheitsgesetzes erwartet und mittlerweile wurde ein Referentenentwurf zur Umsetzung der NIS-2-Richtlinie veröffentlicht. Die Umsetzung soll mithilfe des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geschehen. Es wird das BSI-Gesetz neu strukturieren und um die Neuerungen ergänzen. Vieles soll präziser und schärfer formuliert werden.

KRITIS wird erweitert

NIS-2 sieht verschärfte Anforderungen für mehr als 40.000 deutsche Unternehmen vor. Besonders der Begriff des KRITIS-Betreibers wird erweitert. Zwei Eigenschaften sind nun entscheidend für die Einstufung eines Unternehmens: die Sektorzugehörigkeit und die Unternehmensgröße. 18 Sektoren werden zuerst zweigeteilt und dann in elf Sektoren mit hoher Kritikalität und sieben weitere kritische Sektoren unterteilt. Damit werden von NIS-2 sogar KMU (kleine und mittlere Unternehmen) erfasst, wobei mittlere Unternehmen hier 50 bis 250 Beschäftigte und einen jährlichen Umsatz von 10 bis 50 Millionen Euro oder eine Bilanzsumme von höchstens 43 Millionen Euro aufweisen müssen. Kleine Unternehmen haben weniger als 50 Angestellte und schaffen einen Jahresumsatz von höchstens 10 Millionen Euro.

Produktionsumgebungen nicht vergessen

Während die Unternehmen nun damit beschäftigt sind, ihre eigene Einstufung zu ermitteln und damit beginnen, ihre IT-Sicherheit anzupassen, wird die OT-Sicherheit selten erwähnt. Dabei ist diese, also der Schutz von empfindlichen Produktionsumgebungen, Anlagen, Robotern und Maschinen, nicht minder wichtig als die Absicherung der Büroumgebung, denn für das produzierende Gewerbe sind diese Maschinen der Motor ihres Geschäfts. Hacker wissen das und da die Zahl der mit dem Internet verbundenen Maschinen und Geräte steigt, also das Internet of Things (IoT) wächst, viele aber nie für diese Vernetzung entwickelt wurden, öffnet sich hier ein Einfallstor für Cyber-Kriminelle. Sie dringen in die Produktionsumgebung, attackieren die veralteten Betriebssysteme der Maschinen und springen weiter zu den restlichen IT-Systemen.

Diese Schwachstelle kann jedoch behoben werden. Hier bieten sich verschiedene Möglichkeiten mit spezialisierten Sicherheitslösungen an. Es können zwar nur wenige Beispiele genannt werden, die aber die Wichtigkeit der OT-Sicherheit verdeutlichen.

Segmentierung, USB-Sicherheit und Identitätsverwaltung

Das Netzwerk kann in Segmente oder sogar Mikrosegmente unterteilt werden, um die verschiedenen IT-Umgebungen in eigene, isolierte Zonen aufzuteilen, an deren Grenzen scharfe Sicherheitskontrollen den Datenverkehr überwachen. Ein Angreifer (eine Malware oder eine Ransomware), der in eines dieser Segmente eindringt, kann darin eingesperrt werden. Die berüchtigten seitlichen Bewegungen, das Springen von einem System zum anderen, werden auf diese Weise unterbunden.

Wird beispielsweise die OT so von der IT getrennt und die IT-Umgebung angegriffen, dann befindet sich die Produktionsumgebung in ihrer sicheren Zone und die Maschinen können unbehelligt weiterlaufen. Ein Stillstand der gesamten Produktion, wie schon oft geschehen, ist dann nicht mehr die automatische Folge eines jeden erfolgreichen Cyber-Angriffs. Darüber hinaus kann die Einführung strenger Richtlinien für den Datenverkehr und deren zuverlässige Durchsetzung auf allen Systemen und im gesamten Netzwerk dafür sorgen, dass nur noch die Daten ungehindert durchgelassen werden, die für die Arbeitsabläufe wirklich benötigt werden. Dabei wird die Konnektivität aller Anwendungen, Maschinen und Benutzeridentitäten genau ermittelt. Alles andere wird überprüft und löst im Zweifelsfall einen Alarm aus.

Was altmodisch klingt, aber in letzter Zeit häufiger zu beobachten ist und großen Schaden anrichten kann: Malware auf USB-Sticks. Dahinter stecken die berüchtigten Innentäter-Attacken oder auch ganz altmodisch eingeschleuste Verbrecher – oder ein absichtlich auf dem Firmengelände liegen gelassener Stick, der von einem unvorsichtigen Mitarbeiter an eine Maschine oder einen Rechner gesteckt wird, um zu sehen, was sich darauf befindet. Diese Bedrohung ist ernst zu nehmen. Daher sollte eine spezielle Sicherheitslösung dafür sorgen, dass nur autorisierte USB-Sticks verbunden werden können, die automatische Ausführung von Skripten verboten wird und Änderungen an Konfigurationen oder Daten unmöglich gemacht werden.

Identitätsverwaltung mittels Identity and Access Control (IAM) rundet die OT-Sicherheit ab. Dabei muss immer das Principle of Least Privilege, das Prinzip der geringsten Berechtigung, gelten, damit jedes Benutzerkonto und jede Maschinenidentität wirklich nur den Teil des Netzwerks sieht, den es zum Arbeiten und Funktionieren benötigt. Das verkleinert die Angriffsfläche ungemein, sowohl für Hacker als auch für Innentäter oder schlichte Fehler. Auf diese Weise können auch alle zugreifenden Geräte stets auf die Einhaltung der Compliance-Richtlinien überprüft werden.

Fazit

Alle Unternehmen, die vernetzte Maschinen im Einsatz haben, sollten umgehend prüfen, ob sie von NIS-2 betroffen sein werden. Ist das der Fall, muss sofort begonnen werden, die OT-Sicherheit mithilfe spezialisierter Lösungen aus den Bereichen Security Inspection, Endpoint Protection (SPS Detection & Response), und Network Defense anzupassen – das Alter der Maschinen und ihrer Betriebssysteme spielt dabei keine Rolle. Auch sie müssen und können gesichert werden – einfach und zuverlässig.

Mehr zu OT-Sicherheit in Verbindung mit der NIS-2-Richtlinie lesen Sie hier: https://www.txone.com/white-papers/mastering-nis2-directive/

Andere interessante Fachbeiträge

Symbol der E-Mail-Verschlüsselung

Effiziente E-Mail-Verschlüsselung weiterentwickelt mit GINA V2

Mit GINA V2 steht eine innovative Lösung für die sichere Spontanverschlüsselung bei der E-Mail-Kommunikation bereit, diese Verschlüsselungsform bietet höchsten Datenschutz und ermö...

Digitale Daten vor Strommasten

Zugriff verweigert

Kritische Infrastrukturen (KRITIS) sind nicht zuletzt aufgrund ihrer hohen gesellschaftlichen und politisch-strategischen Relevanz ein beliebtes Ziel für Cyberangriffe. Die zunehme...

Datenschutz-Symbol vor Industrieanlage

So schützt das KRITIS-Dachgesetz kritische Infrastrukturen

Am 6. November 2024 hat das Bundeskabinett das neue KRITIS-Dachgesetz beschlossen: ein zentrales Gesetz, das den Schutz kritischer Infrastrukturen (KRITIS) stärkt. Mit dieser Regel...