Suchen

Das Industrial Internet of Things ändert die Gefährdungslage Wie das IIoT die Cyber-Risikoanalyse verändert

| Autor / Redakteur: Markus Braendle / Peter Schmitz

Risikoanalyse und Risk-Management werden mit IoT-Konzepten und Haftungsfragen immer dringlicher. Bei der Cyber-Risikoanalyse geht es schon lange nicht mehr nur um digitale Assets, IT-Komponenten, Netzwerke und Computer. Zunehmend kommt auch die OT (Operation Technology) mit ihren industriellen Control Systems dazu. Eine Gesamteinschätzung fällt vielen Unternehmen allerdings noch schwer.

Firma zum Thema

Insbesondere im Produktionsumfeld bringt das Industrial Internet of Things zwar viele neue Möglichkeiten, aber auch neue Herausforderungen und Cyberrisiken mit sich.
Insbesondere im Produktionsumfeld bringt das Industrial Internet of Things zwar viele neue Möglichkeiten, aber auch neue Herausforderungen und Cyberrisiken mit sich.
(Bild: gemeinfrei / Pixabay )

Das Industrial Internet of Things (IIOT) erhöht mit immer mehr zu schützenden Sensoren und Endgeräten die Komplexität heutiger Produktionslandschaften. Zugleich nehmen rechtliche Vorgaben die Managementetagen in die Pflicht, auf Compliance und Governance zu achten. Cybersicherheit muss genauso ernst genommen werden wie traditionelle Risiken.

Die Gefährdungslage ändert sich allerdings schnell und ständig, unter anderem durch technologische Modifikationen oder neue Angriffsvektoren. Eine Bewertung muss also kontinuierlich erfolgen. So sind beispielsweise Technologien wie Künstliche Intelligenz und Machine Learning zwar interessant für die Abwehr von Cyberattacken, sie werden aber auch von den Angreifern genutzt. Der KI-Einsatz in der Produktion wiederum generiert neue Möglichkeiten der Manipulation. Das zeigt deutlich: Eine einmalige Anstrengung reicht nicht aus, neben regelmäßigen Risikoanalysen ist auch ein dauerhaftes Risikomanagement nötig. Beide Bereiche müssen zudem eng verbunden sein: Eine Risikoanalyse, deren Ergebnisse nicht automatisch in das Risikomanagement eingebunden werden, nützt wenig.

Das IIoT verändert die Gefahrenlage

Die erste Schwierigkeit der Cyber-Risikoanalyse liegt meist darin, dass es an Sichtbarkeit in der IT- und OT-Infrastruktur fehlt. Dafür ist eine transparente Landkarte und Übersicht über alle Assets, Endpunkte, internen und nach außen gerichteten Schnittstellen notwendig. Genauso wichtig ist ein klares Verständnis, was es in Bezug auf das Geschäft, auf finanzielle und Reputationsschäden bedeutet, wenn ein Angriff auf die jeweilige Infrastruktur erfolgt. Gerade mit Blick auf die Industrie gilt es, die Risiken in einer Sprache zu formulieren, die nicht nur IT-Spezialisten, sondern auch Geschäftsführung und Finanzvorstände verstehen.

Insbesondere im Produktionsumfeld bringt das Industrial Internet of Things neue Herausforderungen. Viele der verwendeten Technologien, zum Beispiel bei der Maschinensteuerungen, sind angesichts von Lebenszyklen über viele Jahrzehnte hinweg bereits stark veraltet. Das war in traditionellen Fabrikkonzepten, in denen man sich bewusst von der Außenwelt abgekapselt hat, kein Problem. Heute können durch die Vernetzung bekannte Schwachstellen in Steuerungen oder Embedded Systems jedoch für Cyberangriffe missbraucht werden. Es muss also nicht nur bei Neuanschaffungen darauf geachtet werden, dass sie „Secure by Design“ sind, sondern auch eine Balance gefunden werden, die installierte Basis in das Sicherheitskonzept mit einzubinden.

Bei OT Angriffen gelten andere Spielregeln

Die Folgen von Angriffen auf eine Produktionsanlage oder eine Softwarelösung sehen sehr unterschiedlich aus. Deshalb braucht es andere Prozesse dafür, wie mit einem Vorfall umgegangen wird. Anlagen basieren auf einem physikalischen Prozess, dessen Risiken man verstehen muss, auch um einen Notfallplan festzulegen: Kann die Anlage einfach stillgelegt werden oder gibt es Schritte, die vorher nötig sind? Auch die Frage nach den finanziellen Konsequenzen, wenn eine Anlage oder Maschine heruntergefahren wird, ist ein wichtiger Teilaspekt. Im IT-Umfeld ist es leicht, einen Rechner vom Netz zu trennen – in einer Produktionsanlage ist das nicht immer möglich. Deshalb ist es unbedingt nötig, im Team das Know-how unterschiedlicher Gebiete einzubeziehen, Security, Shopfloor und Business.

Eine der größten Hürden der Risikoanalyse liegt für Unternehmen darin, zu verstehen, was überhaupt geschützt werden muss. Das sind neben den physischen Geräten auch Intellectual Property und Prozesse. Ganz wichtig ist dabei, die Risiken im Zusammenhang mit dem Business zu verstehen – rein auf IT-Systeme bezogen, hat das Ergebnis wenig Aussagekraft. Außerdem müssen Cyberbedrohungen in den Gesamtkontext sämtlicher Risiken gestellt werden, damit Entscheider überhaupt zu einer Bewertung kommen können.

Was kostet ein Angriff?

Besonders schwer fällt es Unternehmen vor allem, die Wahrscheinlichkeiten, mit denen ein Ereignis eintreten könnte, in Bezug auf den entstehenden Schaden zu beziffern. Es kann sehr verlockend sein, sich nur auf die Worst-Case-Szenarien zu fokussieren. Man sollte aber nicht vergessen, dass andere Risiken teilweise viel wahrscheinlicher sind und ebenfalls einen massiven Impact haben können. Es sollten also alle Risiken gewichtet werden. Nach wie vor ist der Mensch das schwächste Glied in der Kette, wenn es um Sicherheitsvorfälle geht. Mitarbeiter-Schulungen sind deshalb essenziell, kommen in der Praxis jedoch oft zu kurz. Vor allem aber fehlt noch das Verständnis dafür, dass man in einer digitalisierten Welt als Unternehmen Teil eines Ökosystems ist. Selbst wenn der interne Schutz gut ist, entstehen Risiken durch Verbindungen nach außen, beispielsweise in der Supply-Chain.

Ganz schwierig wird es beim Thema Reputationsschäden: Wie genau soll zum Beispiel ein eventueller Vertrauensverlust beim Kunden quantifiziert werden? Speziell im Umfeld der Data Privacy liegen bisher mit der DSVGO in Europa noch wenige Erfahrungen vor, welche finanziellen Konsequenzen deren Missachtung hat. Viele Unternehmen haben hier eher eine abwartende Haltung. Das wird sich erst ändern, wenn es erste Bußen gibt.

Für eine tiefgehende Risikoanalyse testen Spezialisten sozusagen als „gute“ Hacker aus, welche Schwachstellen das Unternehmen hat. Solche Experten sind Mangelware. Zudem sind Fachkräfte gefragt, die das Thema Risikomanagement verstehen und die Methoden und gängigen Tools beherrschen. Aufgrund der Komplexität ist es für viele Unternehmen nicht mehr möglich, alles selbst abzudecken.

Handlungsfähig im Ernstfall

Die Notwendigkeit einer umfassenden Cyberrisiko-Analyse und vor allem des kontinuierlichen Risikomanagements ist noch nicht bei allem Unternehmen angekommen. Gerade im produzierenden Mittelstand wird häufig davon ausgegangen, dass einem selbst nichts passieren kann. Deshalb ist es hilfreich, wenn betroffene Unternehmen offen über ihre Erfahrungen sprechen, wie vor kurzem ein großer Automatisierungstechnikhersteller, dessen globales Geschäft fast zwei Wochen stillstand, weil man sich einer Erpressung mit Ransomware nicht beugen wollte. In der Praxis finden sich oft noch offene Tore, auch wenn Unternehmen sich vielleicht schon einmal mit möglichen Cyberrisiken befasst haben. Die Erfahrung zeigt: Eine systematische Vorgehensweise mit bewährten Methoden und kontinuierlichen Prozessen ist wichtig. Ad-hoc-Ansätze haben immer das Risiko, dass doch etwas übersehen wird.

Ein Fokus sollte auf der schnellen Handlungsfähigkeit im Fall einer Attacke liegen, Stichwort Response/Recovery, und einer kurzfristigen Wiederherstellung der Business-Kontinuität. Dafür ist ein mitwachsender Reaktionsplan notwendig, in dem mögliche Alternativen und Notfallprozesse dokumentiert sind. Was wenn zum Beispiel bei einer Attacke die gesamte Kommunikation ausfällt? Wer muss involviert werden, welche Systeme müssen zuerst wieder zum Laufen gebracht werden? Ganz oft haben Unternehmen keine nutzbaren System-Backups. Eine systematische Backup-Strategie, bei der die Backups regelmäßig auf ihre Einsetzbarkeit hin überprüft werden, ist also obligatorisch. Generell gilt: Statt nur theoretisch High Level für den Ernstfall zu üben, müssen auch Szenarien systematisch durchgespielt werden, nach dem Motto „was wäre, wenn?“.

Über den Autor: Markus Braendle ist Head of Cyber Security bei Airbus CyberSecurity. Mit über 850 Cybersicherheitsspezialisten und fünf Cyber Defence Centern in ganz Europa schützt Airbus CyberSecurity Kunden unter anderem aus den Bereichen Industrie, Defence und Kritische Infrastruktur. Braendle bringt eine langjährige Erfahrung aus dem Industrieumfeld bei ABB mit, wo er ein unternehmensweites Cybersicherheitsprogramm aufbaute und für die Cybersicherheit bei ABB verantwortlich war. Er hat an der ETH Zürich Universität studiert und hat einen Masterabschluss und einen PhD in Computer Science erhalten sowie einen Masterabschluss in Hochschulbildung.

(ID:46617785)