Startseite » Cybersecurity »

NIS-2: Neun Bausteine für sichere OT

Gastbeitrag von Ulrich Plate
NIS-2-Strategie für eine sichere Operational Technology

10. Juli 2024
4 Minuten Lesezeit
NIS-2-Strategie für eine sichere Operational Technology
Mit der zunehmenden Vernetzung von Maschinen werden Industrieanlagen verwundbarer gegenüber Cyberangriffen. Bild: PNG City / stock.adobe.com

Mit der zunehmenden Vernetzung von Maschinen werden Industrieanlagen verwundbarer gegenüber Cyberangriffen. Zudem ändert sich die Regulierung dieses Jahr deutlich mit dem Kritis-Dachgesetz und NIS-2-Umsetzungsgesetz: Die Anzahl künftig regulierter Unternehmen erweitert sich auf über 30.000. Wie Unternehmen auch in ihrer OT die strengeren Vorgaben erfüllen, dafür gibt die Kompetenzgruppe Kritis im eco – Verband der Internetwirtschaft neun Tipps.

Ein Gastbeitrag von Ulrich Plate, nGENn GmbH und Leiter der eco Kompetenzgruppe Kritis

Industrielle Steuerungs- und Automatisierungssysteme, kurz häufig unter dem englischen Begriff Operational Technology (OT) bekannt, werden mit langfristiger Perspektive entwickelt: 30 Jahre lang Produktionsanlagen mit derselben Software zu steuern und zu überwachen ist keine Seltenheit. Viele OT-Systeme wurden deshalb schon in Betrieb genommen, ohne moderne Cybersecurity-Methoden berücksichtigen zu können. Und weil sie nicht ohne erheblichen Aufwand auf den notwendigen Stand der Sicherheitstechnik gebracht werden können, sind sie beliebte Ziele krimineller Cyberattacken. Auch vor dem Hintergrund der sich ändernden Regulierung durch Kritis-Dachgesetz und NIS-2-Umsetzungsgesetz ist es dringend geboten, Sicherheitsstrategien zu überdenken und zu stärken, um die Integrität und Zuverlässigkeit kritischer Infrastrukturen zu gewährleisten.

Jetzt ist die Zeit, in der Betreiber kritischer Anlagen gut beraten sind, für mehr Cyber-Resilienz zu sorgen. Das klingt leichter als es ist, und für industrielle Steuerungsanlagen wird es manchmal besonders kompliziert: Wartungsfenster für ein Softwareupdate kann man dort nicht einfach mal für nächste Woche einplanen, sondern vielleicht erst im nächsten Jahr. Wenn NIS-2 und Kritis-DachG auch in Deutschland in Kraft treten, werden auch zahlreiche neue Organisationen unter die Regulierung fallen, die bislang noch nicht zu den Betreibern kritischer Infrastrukturen gezählt wurden. Auch Produktionsanlagen mit ausgeprägter Operational-Technology-Umgebung werden davon erstmals betroffen sein.

An sie werden die Anforderungen an ihre Cybersicherheit ebenfalls dadurch deutlich anspruchsvoller. Bei Verstößen gegen Pflichten wie mangelnder Umsetzung von Sicherheitsmaßnahmen oder versäumten Melde- und Registrierungsfristen drohen empfindliche Bußgelder und vor allem persönliche Haftungsrisiken für die Geschäftsleitungen.

Neun Tipps für mehr OT-Sicherheit

Diese konkreten Tipps empfehlen die Expertinnen und Experten der eco Kompetenzgruppe Kritis allen Unternehmen für mehr OT-Sicherheit:

  • Identifizieren Sie Schwachstellen und Bedrohungen in Ihren OT-Systemen! Führen Sie regelmäßige Risikoanalysen durch, um aktuelle und potenzielle Sicherheitslücken zu erkennen und zu bewerten.
  • Netzwerksegmentierung: Trennen Sie IT- und OT-Netzwerke voneinander, um die Angriffsfläche zu minimieren. Segmentieren Sie OT-Netzwerke weiter, um den Schaden im Falle eines Angriffs zu begrenzen.
  • Härtung von OT-Systemen: Deaktivieren Sie unnötige Dienste und Ports auf OT-Geräten. Stellen Sie sicher, dass nur autorisierte Anwendungen und Benutzer auf diese Systeme zugreifen können.
  • Sicherheitsupdates und Patch-Management: Halten Sie alle OT-Systeme und -Geräte auf dem neuesten Stand, indem Sie regelmäßig Sicherheitsupdates und Patches anwenden. Entwickeln Sie Verfahren, um kritische Updates zeitnah zu installieren.
  • Zugangskontrolle und Authentifizierung: Implementieren Sie starke Zugangskontrollmechanismen. Verwenden Sie mehrstufige Authentifizierung (MFA) und sorgen Sie dafür, dass nur autorisierte Benutzer Zugang zu OT-Systemen haben.
  • Schulung und Sensibilisierung der Mitarbeiter: Schulen Sie Ihre Mitarbeiter regelmäßig in Bezug auf Cybersecurity-Best Practices. Stellen Sie sicher, dass alle Mitarbeiter, die mit OT-Systemen arbeiten, über die aktuellen Bedrohungen und Schutzmaßnahmen informiert sind.
  • Überwachung und Incident Response: Implementieren Sie kontinuierliche Überwachungs- und Erkennungsmechanismen für OT-Netzwerke. Entwickeln und testen Sie Incident-Response-Pläne, um schnell auf Sicherheitsvorfälle reagieren zu können
  • Sicherheitsrichtlinien und -verfahren: Erstellen und implementieren Sie klare Sicherheitsrichtlinien und -verfahren für den Betrieb und die Wartung von OT-Systemen. Stellen Sie sicher, dass alle Mitarbeiter diese Richtlinien verstehen und befolgen.
  • Zusammenarbeit und Informationsaustausch: Fördern Sie die Zusammenarbeit und den Informationsaustausch mit anderen Unternehmen und Behörden. Nutzen Sie Informationsplattformen, um über aktuelle Bedrohungen und Sicherheitsvorfälle informiert zu bleiben. (ah)
Unsere Whitepaper-Empfehlung
Teilen:
Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de