Inhalt
Die komplexen IT-Landschaften von Fertigungsunternehmen sind schwerer zu überblicken und aufwendiger zu pflegen als in anderen Branchen. Muss die Produktion infolge eines Ransomware-Angriffs gestoppt werden, drohen hohe finanzielle Verluste, Strafzahlungen wegen nicht eingehaltener Lieferverpflichtungen und Imageschäden. Die gute Nachricht: Mit dem richtigen Maßnahmenmix können die potenziellen Schwachstellen von Produktions- und Informationstechnik (OT und IT) so abgesichert werden, dass Cyberkriminelle keine attraktiven Angriffspunkte mehr finden.
Multiple Bedrohungen durch komplexe IT-Landschaft
Ob staatlich oder kommerziell motiviert: Warum Hackerbanden gerne produzierende Unternehmen attackieren, liegt einerseits an den sensiblen Daten, die sich gut für die Erpressung oder den Weiterverkauf im Darknet eignen, andererseits an den typischen Schwachstellen der gewachsenen IT-Landschaft mit vielen Altsystemen, bei deren Entwicklung nicht auf Cybersicherheit geachtet wurde oder deren Software sich gar nicht mehr aktualisieren oder patchen lässt. Darüber hinaus wurden im Lauf der Zeit zahlreiche Internet- und IoT-Schnittstellen nachgerüstet, deren Sicherheit regelmäßige Updates voraussetzt.
Warum Air-Gapping so wichtig ist
Ohne eine ordentliche Trennung zwischen OT und IT (Air-Gapping), können diese Schwachstellen leicht ausgenutzt werden, indem die Hacker beispielsweise aus dem Office-Bereich über einen gehackten E-Mail-Account eine Schadsoftware einschleusen. Ein beliebter Weg führt auch über Lieferanten und Partner, die für das Phishing von Zugangsdaten gezielt mittels Social Engineering ausspioniert werden. So kommt es vor, dass ein argloser Techniker von einem übernommenen Account eines bekannten Servicemitarbeiters einen Link für ein Firmware-Update zugeschickt bekommt und die getarnte Malware auf die entsprechende Steuerung überträgt.
IT und OT erfordern einen abteilungsübergreifenden Security-Ansatz mit unterschiedlichen Tools.
Sabotageakte nehmen zu
Um solche Übergriffe zu erschweren, sollten IT und OT physisch und logisch voneinander getrennt sein. Ungeachtet des Air-Gappings müssen Produktionsunternehmen aber auch mit interner Sabotage rechnen. Solche „Insider Threats“ werden häufig in der hybriden Kriegsführung genutzt, um kritische Infrastrukturen zu manipulieren oder außer Betrieb zu setzen. Die Täter sind häufig staatlich motiviert und versuchen, mit Bestechung etwa Administratoren mit hohen Rechten dazu zu bringen, Geräte mit maliziöser Firmware auszustatten oder die Programmierung von Systemen zu ändern.
Konzertiertes Maßnahmenpaket
Ein ausreichender Schutz von IT und OT ist nicht allein eine Frage der Technik, sondern erfordert vielmehr einen abteilungsübergreifenden Ansatz, der die Maßnahmen orchestriert und synchronisiert. Laufen die zu härtenden Systeme und Geräte im Dauerbetrieb, müssen die meist kleinen Wartungsfenster für die Absicherung genutzt werden. Abhängig von der vorhandenen Technologie gibt es häufig auch keinen verfügbaren EDR-Client (Endpoint Detection and Response). Für eine alternative Überwachung der Gerätekommunikation und Alarmierung bei verdächtigen Aktivitäten bewähren sich Network Detection and Response (NDR)-Dienste mit geeigneten Netzwerksensoren.
Effektive Risikominimierung durch MDR
Eine weitere Herausforderung besteht darin, dass OT-Verantwortlichen häufig das nötige Security-Know-how fehlt. Dies lässt sich gut durch einen ganzheitlichen MDR-Ansatz (Managed Detection and Response) lösen, der auch das erforderliche NDR umfasst. Der Vorteil: Externe Analysten bringen ihren breiten Erfahrungshintergrund ein. Darüber hinaus kann ein Dienstleister die zeitlichen Kapazitäten zur Erkennung spezifischer Risiken und Schwachstellen effizient erweitern – und echte Alarme von Fehlalarmen unterscheiden. Das ist umso wichtiger, da die Zahl der Meldungen kontinuierlich zunimmt.
Beim Monitoring besser nicht sparen
Um den MDR-Service möglichst zielgerichtet zu gestalten, sollten beide Parteien gemeinsam die zu überwachenden Systeme und die Intensität des Monitorings definieren. Dabei gilt: Lieber mehr als weniger überwachen – auch nicht direkt überwachbare Systeme wie Legacy-Komponenten und deren Kommunikation. Als prinzipiell verdächtig gelten etwa nicht zugelassene Devices an einer SPS-Steuerung oder unübliche Datenübertragungen außerhalb der Betriebszeiten. Im Falle eines Alarms können geschulte Security-Analysten schnell die Legitimität beurteilen und – je nach MDR-Vereinbarung – die zuständige Stelle informieren, Empfehlungen geben oder sofortige Gegenmaßnahmen einleiten.
Erweiterter Schutz durch 24×7-Monitoring und Expertise
Nur durch eine ganzheitliche Sicht auf die gesamte IT-Landschaft und ein 24×7-Monitoring können Produktionsunternehmen sicherstellen, dass wechselseitige Angriffe auf IT und OT zuverlässig erkannt und rechtzeitig behandelt werden. Konzentriert sich die Cybersecurity hingegen nur auf einzelne Bereiche oder Inseln, entstehen gefährliche Lücken im Monitoring. Als Folge lassen sich einmal genutzte Einfallstore und die anschließende Ausbreitung von Ransomware oder anderer Schadsoftware kaum nachvollziehen – was eine Bekämpfung und Schadensbegrenzung im Ernstfall erheblich erschwert. Dagegen zählt in der Praxis zählt oft jede Minute, bis die Sicherheitslücke gefunden und beseitigt wird. Dann ist mitunter auch digitale Forensik gefragt, die innerhalb eines umfassenden MDR-Angebots auch kurzfristig zur Verfügung stehen.
MDR-Angebot mit dem wichtigen Baustein NDR zur Überwachung von OT-Systemen.
5 Praxistipps für mehr OT-Sicherheit in der Produktion
Aus Expertensicht ist ein ganzheitlicher MDR-Service sicherlich die beste Voraussetzung für einen nachhaltigen Schutz. Vorbereitend oder ergänzend dazu können aber auch die IT-Verantwortlichen selbst viel für die Sicherheit in ihrem Produktionsunternehmen tun:
1. Transparenz schaffen und Netzwerke segmentieren
Eine grundlegende Maßnahme ist die Segmentierung von Netzwerken in überschaubare Einheiten. Voraussetzung dafür, ist das Wissen um die beteiligten Geräte, wann sie im Einsatz sind, sie miteinander kommunizieren, und wie die Hersteller im Ernstfall kontaktiert werden können. Frühere Sicherheitsvorfälle wie Log4j oder der SolarWinds-Hack zeigen, wie wichtig diese Transparenz für eine schnelle, gezielte Reaktion ist.
2. OT-Beschaffung sicher gestalten
Nicht jedes Gerät ist vertrauenswürdig – insbesondere dann nicht, wenn es aus intransparenten Quellen stammt. Manche Geräte enthalten sogar ab Werk versteckte Zugänge (Backdoors). Auch Open-Source-Software sollte kritisch betrachtet und durch Netzwerk Detection and Response (NDR) überwacht werden. Reichen die internen Kapazitäten dafür nicht aus, sollte ein branchenerfahrenen MDR-Dienstleister hinzugezogen werden, der zugleich die analytische Expertise und präventive Maßnahmen einbringen kann.
3. Risikoanalysen und Krisenmanagement
Ein lückenloses Patch-Management ist im OT-Umfeld nahezu unrealistisch, da Systeme nicht ohne Weiteres unterbrochen werden können. Abhilfe schaffen fundierte Risikoanalysen, die zeigen, welche Komponenten ohne Patch sicher weiterbetrieben werden können und welche zwingend Updates benötigen. Ergänzend dazu sind sogenannte Tabletop-Exercises empfehlenswert – interaktive Krisenübungen, bei denen Rollen, Reaktionen und Notfallprozesse realistisch durchgespielt und im Nachgang optimiert werden. Dieses Wissen kann wiederum dazu genutzt werden, konkrete Notfallpläne zu erstellen und zu testen.
4. Zero Trust und physische Sicherheit
Digitale Sicherheit allein reicht nicht mehr aus. Immer häufiger werden Geräte vor Ort manipuliert, ausgelesen oder entwendet. Deshalb sollten Unternehmen neben digitalen Maßnahmen wie einer Zero-Trust-Architektur auch die physische Sicherheit ihrer Anlagen aktiv in ihre Schutzkonzepte einbeziehen – etwa durch Zugangskontrollen, Videoüberwachung und USB-Schutzmaßnahmen.
5. Regulatorischer Anforderungen
Für Betreiber kritischer Infrastrukturen und systemrelevanter Produktion gelten zunehmend strenge gesetzliche Vorgaben – etwa durch die NIS2-Richtlinie, die eine durchgängige Sicherheitsbetrachtung von IT und OT fordert. Unternehmen sollten daher frühzeitig prüfen, ob sie unter die Regelungen fallen, und entsprechende Maßnahmen planen und dokumentieren.
Fazit
Angriffe auf die OT sind besonders folgenschwer. Die Risiken reichen von finanziellen Schäden bis zu lebensgefährlichen Situationen. Deshalb kann es sich kein Produktionsunternehme leisten, IT und OT solitär zu betrachten. Sollte ein ganzheitliches Sicherheitskonzept inklusive NDR und Monitoring nicht aus eigener Kraft zu stemmen sein oder die Kompetenz fehlen, unterstützt SECUINFRA gerne mit breiter Branchenerfahrung und einem maßgeschneiderten Angebot.
Sie möchten mehr über unser MDR-Services erfahren? Jetzt informieren
