Industrielle Cybersicherheit: Wie geht OT-Sicherheit ohne eigene Fachkräfte in Zeiten von NIS-2?
Industrieunternehmen und kritische Infrastrukturen geraten hinsichtlich ihrer industriellen Cybersicherheit von allen Seiten unter Druck. Der sich zuspitzende Fachkräftemangel steht einer immer dynamischeren Risikolandschaft und weitreichenderen Gesetzgebung gegenüber. Dennoch müssen Unternehmen schnell Wege finden, eigene OT-Sicherheitskompetenzen aufzubauen.
Je nachdem, auf welcher Seite der OT-Cybersicherheit man sich bewegt, dominieren zwei Narrative. Auf der Seite der Lösungsanbieter und Beratungsunternehmen überwiegen Doomsday-Szenarien mit Blick auf die Potenziale und Prognosen. Auf der Seite der anwendenden Unternehmen wird beschwichtigt, dass bisher nur wenige Cyberangriffe direkt auf industrielle Netzwerke (Operational Technology, OT) abzielten. Eine sinnvolle und kosteneffektive OT-Cybersicherheit benötigt beide Sichtweisen, um das (akzeptable) Risiko richtig einschätzen zu können.
In der OT lohnt es sich dabei, eine verstärkte Gewichtung auf das potenzielle Risiko zu legen. Denn anders als in der IT herrschen in industriellen Anlagen in der Regel Lebenszyklen von 10 bis 20 Jahren.
Thomas Menze, Senior Consultant bei der ARC Advisory Group, formulierte diesen Unterschied zwischen IT und OT Mitte 2023 in einem Podcast zum Thema „Die Herausforderung und Relevanz von OT-Sicherheitsservices“ folgendermaßen: „Wir müssen die von diesen [industriellen] Anlagen erwirtschafteten Gewinne wirklich über einen längeren Zeitraum als nur ein paar Quartale aufrechterhalten. Und das ist die Diskussion, die wir mit unseren Finanzinvestoren führen müssen, um zu erklären, warum Cybersicherheit [in der OT] entscheidend ist.“
Sicherheitsvorfälle in der OT nehmen (wirklich) zu
Das potenzielle Risiko für OT-Netze und industrielle Infrastrukturen nimmt auch ganz real zu. Das verdeutlichen die Zahlen der Cyberangriffe der letzten Jahre. Der Cybersicherheitsexperte Paolo Passeri sammelt seit 2011 Meldungen über Cyberangriffe und wertet sie nach betroffenen Sektoren und Angriffsformen aus.
Zwischen 2017 und 2022 stiegen demnach die Cybervorfälle in den Kernsektoren mit OT-Netzen (u. a. Produktion, Energie, Telekommunikation) von rund 300 auf fast 1.400 pro Jahr (www.hackmageddon.com, siehe dazu auch Abb. 1).
Für die ersten drei Quartale des Jahres 2023 zählte er bereits 1.226 Vorfälle. Das entspricht einer Zunahme um 34 Prozent im Vergleich zum Vorjahreszeitraum 2022.
Die Quelle der Sicherheitsvorfälle fand sich bislang zwar fast ausschließlich in der Unternehmens-IT. Das ist aber leider keine Entwarnung für die OT-Netze, denn die OT ist längst keine abgeschottete Insel mehr. Industrielle Anlagen sind eng verzahnt mit der Unternehmens-IT, selbst wenn – im besten Fall – zwischen beiden Netzen zusätzliche Sicherungsmechanismen (Firewalls, Segmentierung, Demilitarized Zones) existieren.
Abb. 1: Die Zahl der Cyberangriffe auf Industrieunternehmen und kritische Infrastrukturen hat über die letzten Jahre stetig zugenommen.
Die OT benötigt besondere Beachtung
Tatsächlich häufen sich in den letzten Jahren Berichte, wonach die Kompromittierung der Unternehmens-IT zu einem Shutdown industrieller Anlagen führte. Eins der jüngsten Beispiele ist die VARTA AG, die im Februar 2024 aufgrund eines Cyberangriffs über mehrere Wochen alle fünf Produktionsstandorte in Deutschland, Rumänien und Indonesien herunterfahren musste.
Wie exponiert auch kritische Infrastrukturen sind, zeigen weitere aktuelle Vorfälle. Im Mai 2023 wurden fast zwei Dutzend Energieversorgungsunternehmen in Dänemark Opfer verschiedener Cyberangriffe, bei denen neue Schwachstellen auf Firewalls ausgenutzt wurden.
Mehrere Betriebe gingen offline. In mindestens einem Fall wurde die Steuerung der Umspannwerke auf manuellen Betrieb umgestellt. In Irland legten Hacktivisten im Dezember 2023 die Wasserversorgung einer Gemeinde mit 180 Einwohnern für zwei Tage lahm.
Im Februar 2024 wurde auch das Unternehmen PSI Software Opfer eines Ransomware-Angriffs. Die PSI liefert und betreut die Leittechnik vieler Energieversorgungsunternehmen. Nach aktuellem Stand waren keine VPN-Verbindungen zu Kunden betroffen. Die PSI reagierte als kritische Infrastruktur schnell und professionell, um Schlimmeres zu verhindern. Zudem können PSI-Kunden den Kern ihrer Leittechnik seit 2023 mit einem dedizierten netzwerkbasierten Angriffserkennungssystem vor Störungen schützen.
Dennoch hat der Fall das Potenzial eines „Supply Chain Compromise“ wie bei Solarwinds 2020, bei dem die eigentlichen Zielunternehmen über einen Zulieferer oder einen Dienstleister angegriffen wurden.
Neben der Verbindung in die IT ist seit jeher auch die OT selbst die Achillesferse der Cybersicherheit. Die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) veröffentlichte 2023 insgesamt 415 Advisories für neu entdeckte Schwachstellen in Steuerungstechnik-Komponenten (ICS Advisories). In den ersten beiden Monaten des laufenden Jahres sind bereits 62 neue hinzugekommen (vgl. www.cisa.gov/news-events/cybersecurity-advisories). Bei Schwachstellenbewertungen wurden im letzten Jahr durchschnittlich 26 Risikotypen pro OT-Netzwerk identifiziert (siehe Abb. 2).
Abb. 2: Die zehn am häufigsten identifizierten Risikokategorien in OT-Netzwerken
NIS-2 verschärft den Fachkräftemangel
Dieser neuen und sich schnell entwickelnden Bedrohungslandschaft steht ein enormer Fachkräftemangel im Bereich der OT-Sicherheit gegenüber. Für die IT-Branche und Unternehmen mit IT-Bedarf ist das keine Neuigkeit. Die Wirtschaftsinstitute und Interessenverbände warnen seit Jahren vor einer steigenden Zahl unbesetzter Stellen im Bereich der Informationstechnologie.
Laut dem Institut der deutschen Wirtschaft (IW) werden bis 2027 rund 128.000 qualifizierte Arbeitskräfte in den Digitalisierungsberufen fehlen. Der Bitkom e. V. spricht sogar schon von 149.000 offenen Stellen in diesem Jahr. Im Durchschnitt bleibe eine Stelle für IT-Fachkräfte inzwischen bis zu sieben Monate unbesetzt.
Diese Prognose setzt sich im Bereich der Cybersicherheit fort. Bereits 2022 hatte sich die weltweite Lücke zwischen Bedarf und Angebot zum Vorjahr um 26 Prozent vergrößert, trotz eines Zuwachses an Sicherheitsexpertinnen und -experten von 10 Prozent (siehe www.isc2.org/research). In einer Studie des IDC im September 2022 stellten fast zwei Drittel aller Befragten fest, einen akuten Fachkräftemangel in der Cybersicherheit ihrer Unternehmen zu erleben. In einer deutschen Umfrage sehen 40 Prozent der CISOs den Mangel an qualifizierten Fachkräften als größtes Problem, die Cybersicherheit im Unternehmen zu gewährleisten (siehe www.csoonline.com/de/a/mehrheit-der-deutschen-cisos-klagtueber-mangelnde-unterstuetzung,3674574).
Derzeit existieren zwar keine konkreten Zahlen, die den Bedarf an Fachpersonal in die Bereiche IT-Sicherheit und OT-Sicherheit unterteilen, der Leidensdruck in der OT-Sicherheit dürfte aber noch einmal höher liegen. Schließlich stellt der Bereich für den Ausbildungsmarkt und die meisten Unternehmen ein völlig neues Feld dar.
Der bereits bestehende deutliche Fachkräftemangel im Bereich der OT-Sicherheit wird sich in den nächsten Jahren sehr wahrscheinlich weiter verschärfen. Dazu wird nicht zuletzt die novellierte EU-Direktive zur Netzwerk- und Informationssicherheit (NIS-2) beitragen, die im Oktober 2024 mit dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in geltendes deutsches Recht überführt wird.
Mit der neuen Gesetzgebung steigt mit einem Schlag die Anzahl der gesetzlich zu Cybersicherheit verpflichteten Unternehmen in Deutschland von rund 5.000 auf 30.000. Diese Unternehmen werden binnen kurzer Zeit neues Know-how aufbauen und ihr Cybersicherheitsmanagement erweitern müssen. Ohne externe Hilfe wird das nicht möglich sein.
Welche Kompetenzen brauchen Unternehmen in der OT-Sicherheit?
Thomas Menze von der ARC Advisory Group verweist im oben genannten Podcast auf drei etablierte Dienstleistungen in der IT-Sicherheitsbranche. In der OT-Sicherheit sieht er einen zusätzlichen Service, der als Teilmenge des Managed-Services eine entscheidende Rolle spielen wird.
Als – zumindest in der IT – weit verbreitete Dienstleistungen nennt Menze den Assessment-Service, den Implementation-Service und den generellen Managed-Service. Ersterer ist der objektive Blick auf bestehende Sicherheitsmaßnahmen und der Abgleich mit der vorliegenden Netzwerktopologie (und Risikolandschaft).
Der Implementation-Service unterstützt bei der Umsetzung notwendiger Zusatzmaßnahmen oder Korrekturen. Der Managed-Service übernimmt schlussendlich einen Großteil des Betriebs der jeweiligen Sicherheitslösung. Laut einer IDC-Studie bilden mit 27 Prozent diese Dienstleistungen zur Unterstützung der Security-Operations den häufigsten Investitionsbereich.
Als neuen vierten Bedarf identifiziert Menze „einen Service über den gesamten Lebenszyklus der Anlage, bei dem Sie die Kritikalität der Anwendung und die eingesetzten Cybersicherheitsmaßnahmen ständig überwachen. [Der Service] führt regelmäßig Scans zur Erkennung von Angriffen, Anomalien und dergleichen durch“, so Menze.
Dabei gehe es nicht nur um den Betrieb der OT-Angriffserkennung, sondern vor allem um die Fähigkeit, Vorfälle in der OT richtig zu bewerten und sinnvoll auf diese zu reagieren (siehe Abb. 3). „Denn die IT-Mitarbeiter wissen nicht genug über die Cybersicherheit im OT-Bereich, weil sie andere Protokolle verwenden und andere Ziele verfolgen als die OT-Mitarbeiter. Und die OT-Automatisierungsingenieure sind mit IT-Informationen ein wenig überfordert“, so Menze.
Abb. 3: In der OT-Sicherheit fehlt es häufig an Ressourcen und Expertise, um ein Angriffserkennungssystem zu betreuen, Risiken zu ermitteln und die Meldungen zu bewerten
Eine Kundenbefragung der Rhebo GmbH aus dem Jahr 2023 bestätigt diese Beobachtung. In den meisten Fällen betreiben die Befragten das Angriffserkennungssystem in der OT selbst. Jedoch bleiben im täglichen Betrieb Unsicherheiten und Fragen, wie eine Anomalie in der OT zu interpretieren ist (siehe Abb. 4). Es besteht ein hoher Bedarf an Erklärungen, Bewertungen und Empfehlungen, welche Maßnahmen zu ergreifen sind, ohne die industriellen Prozesse zu stören.
Abb. 4: Was steckt dahinter? Für viele Betreiber ist die OT eine Unbekannte. Es gilt, die Sicherheitsvorfälle in dieser neuen Cybersicherheitsumgebung richtig einzuschätzen.
OT-Sicherheit schrittweise ins Unternehmen holen
In der OT gehen die Servicetypen 3 und 4 aufgrund fehlender Expertise und personeller Ressourcen meist Hand in Hand. Trotz des anhaltenden Fachkräftemangels haben Unternehmen jedoch einen wirksamen Hebel, ihre OT-Kompetenz durch Managed-Services als „Training on the Job“ aufzubauen.
Im ersten Schritt gilt es, kurzfristig Lücken zu schließen. Externe Expertinnen und Experten übernehmen hierfür den Betrieb der OT-Angriffserkennung, analysieren und bewerten die identifizierten Anomalien und informieren die Verantwortlichen im Unternehmen nebst Empfehlungen für Gegenmaßnahmen. Aufgrund der Empfindlichkeit industrieller Prozesse bleibt die Entscheidung und Durchführung der Gegenmaßnahmen dabei im Hoheitsgebiet des betroffenen Unternehmens. Die Sicherheitsbeauftragten im Unternehmen können aufgrund der
Informationen schnell und gezielt reagieren.
Im zweiten Schritt wird intern eine Position für OT besetzt. Der Betrieb des Angriffserkennungssystems geht damit an das Unternehmen über. Das externe Cybersecurity-Serviceteam steht ab diesem Zeitpunkt als „Sparring-Partner“ zur Verfügung. Vom Angriffserkennungssystem in der OT identifizierte Sicherheitsvorfälle oder technische Fehlerzustände werden regelmäßig gemeinsam ausgewertet und Gegenmaßnahmen abgestimmt. Ziel ist der gezielte Wissenstransfer, um das interne Know-how kontinuierlich aufzubauen und die Verantwortlichen sattelfest in OT-Sicherheit zu machen.
Der schrittweise Ansatz nimmt nicht nur den Druck aus der neuen Herausforderung. Durch den Fokus auf Wissenstransfer mit dem Aufbau eigener Kompetenzen, bleibt auch der langfristige Investitionsrahmen planbar.
René Krause ist Teamlead Cybersecurity Service bei der Rhebo GmbH.