KRITIS

Deutsche Industrieproduktion und KRITIS benötigen eine bessere Absicherung

Deutsche Industrieproduktion und KRITIS benötigen eine bessere Absicherung

Ohne Einsatz von OT spezialisierten Lösungen ein Ding der Unmöglichkeit

Vor einem Jahrzehnt beschäftigten sich die meisten deutschen Industrieunternehmen und Betreiber kritischer Infrastrukturen (KRITIS) mit IT-Sicherheit, aber weniger mit der Sicherung ihrer Betriebstechnik (OT). Heute ist das Umfeld grundlegend anders, wie OTORIO, Anbieter von Sicherheitslösungen für OT-Umgebungen meldet. Das liegt daran, dass industrielle Fertigungs- und KRITIS-Umgebungen zunehmend auf verbundene IT-, OT- und industrielle IoT-Netzwerke angewiesen sind. Dies vergrößert die digitale Angriffsfläche und macht es für Cyberangreifer attraktiver, deutsche Industrien und Infrastrukturgeschäftsabläufe ins Visier zu nehmen.

Darüber hinaus müssen Unternehmen nicht nur ihre Geschäftskontinuität und betriebliche Widerstandsfähigkeit sicherstellen, sondern auch die strengen deutschen und EU-Vorschriften einhalten. Die Nichteinhaltung dieser Vorschriften kann zu Ordnungswidrigkeiten und Geldbußen führen und sich nachteilig auf ihr Geschäft und ihre Aktionäre auswirken.

OTORIO schildert den Status Quo und zukünftig Herausforderungen:

Der Schutz vor Cyberangriffen, die auf Hersteller und Betreiber kritischer Infrastrukturen abzielen, hat in der Praxis Priorität und ist kein theoretisches Konzept. Im Januar 2022 wurden zwei deutsche Brennstofflager- und -vertriebsunternehmen gehackt. Auch drei deutsche Windenergieunternehmen wurden kurz nach dem Einmarsch Russlands in die Ukraine Opfer von Cyberangriffen. Vor drei Jahren stellte der Münchner Automobilhersteller BMW fest, dass sein internes Netzwerk gehackt worden war. Auch der größte Pharmakonzern des Landes, die Bayer AG, wurde Opfer eines Cyberangriffs auf seine Netzwerke. Jedes dieser realen OT- und IT-Sicherheitsereignisse hatte Auswirkungen auf KRITIS-Betreiber und industrielle Fertigungsunternehmen sowie auf Unternehmen und Endnutzer in ihrer Lieferkette.

Deutsche Energiesicherheit und Russland

In den Wochen vor dem Einmarsch in die Ukraine konzentrierten sich russische Hacker Berichten zufolge auf Cyberangriffe gegen Dutzende von LNG-Unternehmen. Als der Krieg begann, sahen sich Deutschland und andere EU-Länder sofort mit Problemen bei der Sicherheit der Energieversorgungskette konfrontiert, was die EU-Länder veranlasste, ihre Abhängigkeit von russischen Gas- und Öleinfuhren zu verringern.

Deutschland ist bestrebt, seinen Bedarf an LNG-Speichern vor dem Winter zu decken. Dem Spiegel zufolge wären jedoch „bei einer ernsthaften Gasverknappung die industriellen Verbraucher die ersten Leidtragenden“, da nach deutschem Recht Verbraucher und Gesundheitseinrichtungen Vorrang bei LNG-Lieferungen haben.

Die Ausnutzung der Energieversorgung als Waffe durch Russland, die anhaltenden Cybersicherheitsrisiken und das Potenzial für weitere Angriffe auf deutsche KRITIS-Betreiber und Industrieunternehmen dürfen nicht ignoriert werden. In diesem Umfeld ist es für diese Unternehmen ratsam, ein umfassendes OT-Sicherheitsrisikomanagement einzuführen. Dies kann ihnen dabei helfen, die Geschäftskontinuität zu schützen, die betriebliche Widerstandsfähigkeit aufrechtzuerhalten und eine wachsende Anzahl von deutschen und EU-Vorschriften einzuhalten.

Verschärfte deutsche und EU-Vorschriften

Angesichts der sich ständig weiterentwickelnden Cyberbedrohungen und Angriffe auf deutsche Unternehmen, kritische Infrastrukturen und Behörden verschärft das Land seine Cybervorschriften. Dazu gehören das IT-Sicherheitsgesetz 2.0 und die erweiterten KRITIS-Sicherheitsvorschriften und -Meldepflichten. Die Compliance-Richtlinien haben erhebliche Auswirkungen auf industrielle Hersteller und Betreiber kritischer Infrastrukturen.

Das BSI – als Cybersicherheitsbehörde des Bundes und Hauptarchitekt der sicheren Digitalisierung – ist für die Durchsetzung der Einhaltung dieser Gesetze und Vorschriften verantwortlich. KRITIS-Betreiber sind verpflichtet, Cyberangriffe zu erkennen, obligatorische Systeme und Prozesse zu deren Erkennung zu implementieren, Vorfälle zu melden und sich beim BSI zu registrieren. Darüber hinaus hat Deutschland seine Klassifizierung der KRITIS-Betreiber um kommunale Entsorgungsunternehmen, die Rüstungsindustrie und „Unternehmen mit besonders hoher wirtschaftlicher Bedeutung“ erweitert.

Industrielle Hersteller und KRITIS-Unternehmen müssen auch EU-Vorschriften wie die NIS-2-Richtlinie des EU-Parlaments einhalten. Die Gesetzgebung wird die Grundlage für Maßnahmen zum Cybersicherheitsrisikomanagement und für Meldepflichten bilden, um „ein hohes gemeinsames Cybersicherheitsniveau in allen Mitgliedstaaten zu erreichen“. Das EU-Gesetz wird sich auf viele Branchen auswirken, darunter kritische Infrastrukturen, Energie, Verkehr, Gesundheit und andere Branchen. Im Rahmen von NIS 2 werden alle deutschen Unternehmen, die wesentliche Dienstleistungen erbringen und über Infrastrukturen in der EU verfügen, hinsichtlich ihrer Cybersicherheits-Compliance nach europäischem Recht reguliert und beaufsichtigt.

OT-Sicherheitslösungen sind Teamarbeit

OTORIO und seine Technologiepartner wie Atos verfügen über umfangreiche Erfahrung in der Unterstützung deutscher Industrieunternehmen und globaler Betreiber kritischer Infrastrukturen bei der Einhaltung von OT- und IT-Vorschriften, sowohl staatlicher als auch branchenspezifischer Vorschriften. Die von OTORIO betreuten Branchen und kritischen Infrastrukturunternehmen sind breit gefächert: Automobilhersteller, Öl- und Gasraffinerien und -zulieferer, andere Energieunternehmen, Pharmaunternehmen, Versorgungsunternehmen, Transport- und Logistikunternehmen etc.

Dies umfasst:

  • Laufende Überprüfung der Einhaltung von Vorschriften, Risikobewertung, Überwachung und Management
  • Regelmäßige Risikobewertungen von Betriebsnetzwerken
  • Automatisierung der Einhaltung von Cybersicherheitsvorschriften über den gesamten Lebenszyklus einer Industriemaschine