Über IT-Sicherheitsvorfälle wird regelmäßig in den Medien berichtet. Der Bedarf für IT-Sicherheit erscheint offensichtlich. Doch auch für eine Steigerung bei der OT-Sicherheit gibt es mehr als gute Gründe. Bis 2025 werden Angreifer operative Technologieumgebungen in einer Form und Tragweite missbrauchen und manipulieren, dass Menschenleben in Gefahr geraten und sogar Opfer zu beklagen sind, so eine Prognose des Analystenhauses Gartner.
Die Folgen möglicher Angriffe auf die OT
Bei Cyberangriffen auf Operational Technology denkt man an stillstehende Maschinen und Produktivitätsverlust. Aber bei OT-Attacken geht es nicht mehr „nur“ um Betriebsunterbrechungen, es geht um deutlich schwerwiegendere Konsequenzen, bis hin zu körperlichen Schäden und dem Verlust von Menschenleben.
Gartner sieht für Angriffe auf OT und andere cyber-physische Systeme (CPS) drei Hauptgründe: das Verursachen von Schäden, kommerzieller Vandalismus (Betriebsstörungen, reduzierte Leistung) und Rufschädigung, also einen Hersteller nicht vertrauenswürdig oder unzuverlässig erscheinen zu lassen.
Des Weiteren prognostiziert Gartner, dass die finanziellen Auswirkungen von CPS-Angriffen mit Todesopfern bis 2023 über 50 Milliarden US-Dollar betragen werden. Gartner prognostiziert auch, dass die meisten Geschäftsführungen/CEOs für solche Vorfälle persönlich haften werden.
Doch es gibt weitere Gründe, die OT-Sicherheit mehr in den Fokus zu rücken.
Attacken auf OT sind bereits Realität
Angriffe auf OT passieren schon heute. Die Folgen der OT-Angriffe haben sich dabei fortentwickelt von einer Prozessunterbrechung wie dem Herunterfahren einer Anlage hin zu einer Gefährdung der Integrität industrieller Umgebungen mit der Absicht, auch physische Schäden zu verursachen.
Wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) berichtet hat, spielen gerade in der Industrie die Attacken auf Lieferketten (Supply Chain Attacks) eine zentrale Rolle. In der industriellen Lieferkette gibt es Angriffsflächen und damit Einfallstore für Cyberattacken, die tief in die jeweils eigene Produktionsumgebung reichen können. Angriffe auf die OT eines Lieferanten können sich also auf die OT und IT des jeweiligen Industrieunternehmens auswirken.
OT-Sicherheit gehört zur Compliance
Neben den hohen Cyberrisiken im OT-Bereich und den möglichen, dramatischen Folgen wie Verlust von Menschenleben gibt es noch weitere Gründe, warum auch für OT-Sicherheit ein hoher Bedarf besteht.
Gemäß § 8a BSIG (BSI-Gesetz) müssen Unternehmen, die kritische Dienstleistungen für die Versorgung der Bevölkerung erbringen, gegenüber dem Bundesamt für Sicherheit in der Informationstechnik seit 2019 nachweisen, dass Maßnahmen gegen Cyberangriffe umgesetzt werden.
KRITIS umfasst „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten“ und damit viele Industriebereiche und Anwendungen von OT.
Ebenso können bei OT-Attacken personenbezogene Daten in Gefahr geraten, so dass die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zum Tragen kommen können, zu denen auch Maßnahmen für die Sicherheit der Verarbeitung der Daten zählen.
Mit dem IT-Sicherheitsgesetz 2.0 werden auch die sogenannten „Unternehmen im besonderen öffentlichen Interesse“ (UBI) reguliert. Dies sind Unternehmen, die im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte tätig sind (UBI 1), sowie Unternehmen, „die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind“ (UBI 2), und die einen Bereich betreiben, in dem gefährliche Stoffe in Mengen vorhanden sind, die die „in Spalte 5 der Stoffliste in Anhang I der Störfall-Verordnung genannten Mengenschwellen erreichen oder überschreiten“ (UBI 3). Auch hier finden sich zahlreiche Industrieunternehmen wieder, die Maschinen und Anlagen betreiben und OT nutzen.
Weiterführende Links
Analystenhaus Gartner (https://www.gartner.com/en)
BSI (Bundesamt für Sicherheit in der Informationstechnik) (https://www.bsi.bund.de/DE/Home/home_node.html)
§ 8a BSIG (BSI-Gesetz) (https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-Nachweise/Nachweise-erbringen/nachweise-erbringen.html)
Datenschutz-Grundverordnung (DSGVO) (https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=celex%3A32016R0679)
IT-Sicherheitsgesetz 2.0 (https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html)