NIS-2-Richtlinie – der Countdown läuft
»Viele Produktionsanlagen sind zu wenig geschützt«
Die EU-Richtlinie NIS-2 für ein hohes Cybersecurity-Niveau und das deutsche Umsetzungsgesetz NIS2UmsuCG stellen Unternehmen besonders im OT-Umfeld vor große Herausforderungen. Doch welche sind das, und wie lassen sie sich bewältigen? Patrick Scholl, Head of OT bei Infinigate Deutschland, informiert.
Markt&Technik: Welche Konsequenzen folgen aus der NIS-2-Richtlinie, die demnächst in Kraft treten soll, für Industrie- und Produktionsunternehmen?
Patrick Scholl: Mit der nationalen Umsetzung der NIS-2-Richtlinie, die ab dem 17. Oktober 2024 mit dem deutschen NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz (NIS2UmsuCG) greifen soll, werden Meldepflichten für Sicherheitsvorfälle verschärft, Bußgelder im Millionenbereich eingeführt und strengere Risikomanagement-Maßnahmen gefordert. Die Umsetzung des NIS2UmsuCG erfordert die Etablierung einer robusten Cybersecurity-Strategie. Doch viele Organisationen haben damit noch zu kämpfen.
Welche Arten von Industrie- und Produktionsunternehmen werden in Deutschland von der NIS-2-Gesetzgebung bzw. vom NIS2UmsuCG betroffen sein?
In Deutschland sind schätzungsweise 30.000 bis 40.000 Unternehmen betroffen. Doch bei der Betroffenheitsanalyse taucht oft schon das erste Problem auf, resultierend aus der bisweilen nicht eindeutigen Begriffsbestimmung. Bei der Entscheidung, welche Unternehmen von der Richtlinie betroffen sind und welche nicht, sind drei Faktoren ausschlaggebend: Zunächst müssen Unternehmen prüfen, ob sie gemäß NIS2UmsuCG als »wesentliche« oder »wichtige« Einrichtung eingestuft werden. Ein weiterer Faktor ist die Größe der jeweiligen Organisation. Unter die Regelung fallen »mittlere Unternehmen«, d. h. 50 bis 250 Mitarbeiter mit 10 bis 50 Mio. Euro Umsatz und einer Bilanzsumme bis 43 Mio. Euro, und »große Unternehmen« mit mehr als 250 Mitarbeitern, mehr als 50 Mio. Euro Umsatz sowie einer Bilanzsumme über 43 Mio. Euro. Wichtig zu erwähnen ist, dass die Anforderungen der Gesetzgebung über die Unternehmensgrenzen hinaus, also über die gesamte Lieferkette hinweg, eingehalten werden müssen.
Was sind die konkreten Herausforderungen, die sich im Hinblick auf die Absicherung der Produktion ergeben?
In der Produktion besteht ein meist unklares Bild über die vorhandenen Assets, über deren Kommunikation innerhalb des Produktionsnetzwerks sowie über deren Cyberrisiko, wenn sie auf älteren Betriebssystemen wie etwa Windows XP beruhen. Und sehr oft handelt es sich dabei um gewachsene Strukturen. Dies bedeutet: In vielen OT-Umgebungen finden sich veraltete Legacy-Systeme, die proprietäre Protokolle verwenden, sodass sie nicht für moderne Sicherheitsanforderungen ausgelegt und damit anfällig für Sicherheitslücken und Schwachstellen sind – gerade vor dem Hintergrund der zunehmenden Vernetzung von Produktion und IT. Zudem steigt auch die Komplexität der Netzwerke, was sowohl die Integration und Absicherung solcher Systeme selbst als auch die Implementierung einheitlicher Sicherheitsrichtlinien und -maßnahmen erschwert. Weil sich kein Unternehmen Ausfallzeiten leisten kann, wird es auch darum gehen, den Einsatz möglicher Sicherheitsmaßnahmen sorgfältig zu planen, um den Betrieb nicht zu stören.
Wie können sich diese Organisationen bestmöglich auf das NIS2UmsuCG vorbereiten, und welche Schritte gilt es jetzt zu tun?
Wichtige Kriterien, um die Anforderungen der NIS2UmsuCG-Risikomanagement-Maßnahmen zu erfüllen, sind ein Asset-Detection- bzw. Asset-Management nach dem Stand der Technik sowie ein robustes Risiko- und Notfallmanagement. Doch noch bevor sich Unternehmen damit beschäftigen können, wird es darum gehen, sich einen vollständigen Überblick über die aktuelle Lage der eigenen Informationssicherheit zu verschaffen. Vielerorts müssen erst einmal die nötigen Prozesse und Strukturen geschaffen werden, um die nötigen Maßnahmen ergreifen zu können. Hierzu gehört auch die Überprüfung der Lieferkette. Denn um diese effektiv abzusichern, ist es wichtig, Einblick in die Struktur und die vorhandenen Assets zu bekommen. Nach der Sicherheitsbewertung, die die Cyberhygiene und die Sicherheitspraktiken im eigenen Unternehmen unter die Lupe nimmt und Schwachstellen identifizieren soll, geht es darum, im Rahmen des Risikomanagements geeignete und verhältnismäßige technische und betriebliche Maßnahmen zu ergreifen. Hierunter fallen unter anderem, den Schutz privilegierter Konten mithilfe des Zugriffsmanagements sicherzustellen und Maßnahmen für das Business-Continuity-Management zu ergreifen, sodass kritische Systeme auch im Fall der Fälle aufrechterhalten werden können. Dazu gehören Backup-Management, Disaster-Recovery, Krisenmanagement und Notfallpläne.
Welche Gefahren drohen der Industrie durch Cyberattacken? Welche Lösungen sind hier sinnvoll?
Cyberattacken auf Produktionsanlagen werden in den meisten Fällen sehr systematisch zum Zweck der Industriespionage, Sabotage und Erpressung durchgeführt. Angreifer können sensible Produktionsdaten stehlen, kritische Infrastrukturen manipulieren oder Betriebsabläufe stören, um finanzielle oder politische Ziele zu verfolgen. Ransomware-Angriffe, bei denen Cyberkriminelle Daten verschlüsseln und Lösegeld für deren Freigabe verlangen, sind auch in Produktionsumgebungen weit verbreitet. Im schlimmsten Fall drohen erhebliche Betriebsunterbrechungen, sodass sich viele Unternehmen gezwungen sehen, auf die Forderungen der Erpresser einzugehen, um ihre Geschäftskontinuität nicht zu gefährden. Die wirtschaftlichen Folgen erfolgreicher Cyberattacken auf Produktionsanlagen können daher verheerend sein: Sie reichen von den erwähnten Betriebsunterbrechungen und Produktionsausfällen über Datenklau und -manipulation bis hin zu Reputationsverlust. All dies sind Faktoren, die neben den mitunter erheblichen finanziellen Aspekten auch das Vertrauensverhältnis der Kunden in das betroffene Unternehmen negativ beeinflussen.
Welche Vorteile haben Strategien wie »Defense in Depth«?
Bei der Defense-in-Depth-Strategie geht es vor allem um den Schutz vor verschiedenen Angriffstypen, die Verzögerung und Erkennung von Angriffen sowie um Redundanz und Fehlertoleranz. Das bedeutet, dass mehrere Schutzebenen implementiert werden, sodass der Ausfall einer einzelnen Sicherheitsmaßnahme nicht zu einem vollständigen Systemausfall führt und das Unternehmen weiterhin vor Cyberangriffen geschützt bleibt. Gleichzeitig verringern die verschiedenen Ansätze und Techniken der unterschiedlichen Schutzebenen die Wahrscheinlichkeit, dass eine einzelne Attacke alle Barrieren überwinden kann. Hinzu kommt, dass mehrere Verteidigungsebenen die Komplexität für Angreifer erhöhen und auf diese Weise ihre Fortschritte verlangsamen, was wiederum dem Unternehmen mehr Zeit gibt, den Angriff zu erkennen und darauf adäquat zu reagieren. Damit bietet dieser Ansatz tatsächlich eine umfassende und robuste Sicherheitsarchitektur, die eine effektive Verteidigung gegen eine Vielzahl von Bedrohungen in der OT-Umgebung ermöglicht. Zudem lässt er sich schrittweise umsetzen, unter Betrachtung des größtmöglichen Risikos sowie im Einklang mit den vorhandenen Budgets. Zu den Defense-in-Depth-Maßnahmen gehören in erster Linie physische Sicherheitsmechanismen, Regeln und Prozeduren, Zonen und Leitungen, Malware-Schutz, Zugriffskontrollen, Monitoring und Detektion sowie das Patch-Management.
Im Zusammenhang mit dem NIS2UmsuCG taucht auch immer wieder das Thema Zero Trust auf. Welche Vorteile hat dieser Ansatz, und wie lässt er sich erfolgreich umsetzen?
Während sich der Defense-in-Depth-Ansatz auf Angriffsszenarien konzentriert, die durch einen unautorisierten Zugriff von außen auf das Netzwerk entstehen, ist Zero Trust eine zusätzliche Cyberstrategie mit genau entgegengesetztem Ansatz. Das heißt, es wird davon ausgegangen, dass sich eine potenzielle Gefahr bereits im Inneren des Netzwerks befinden kann, weil ein modernes Produktionsnetzwerk eben nicht nur durch Angriffe von außen gefährdet ist, sondern auch durch Eintrag von außen durch Wechselmedien, technische Störungen oder Fehlbedienungen der Mitarbeiter. Im Fokus stehen grundsätzlich alle unternehmensrelevanten Assets einer Produktion, wobei jedes einzelne Asset als unsicher betrachtet wird. Durch das zugrundeliegende Null-Toleranz-Prinzip muss jeder Zugriffsversuch auf Ressourcen in der OT-Umgebung gründlich authentifiziert und autorisiert werden. Es findet somit eine kontinuierliche Verifizierung mit strikten granularen Zugriffskontrollen statt, auf Basis von Identität, Rolle und Kontext. Zero Trust adressiert außerdem ein anderes, weit verbreitetes Problem: Viele OT-Umgebungen sind mit Legacy-Systemen ausgestattet, die besonders anfällig für raffinierte Angriffe sind. Durch eine Mikrosegmentierung des Netzwerks und zusätzliche Sicherheitsüberprüfungen lassen sich diese Umgebungen besser schützen. Die moderne Zero-Trust-Architektur sorgt in der OT für eine robuste und anpassungsfähige Sicherheit, um die aktuellen und zukünftigen Herausforderungen in der OT-Security zu lösen.
Welche Investitionen sind seitens der Industrie vor allem zu tätigen?
Investieren müssen Unternehmen sowohl in die physische als auch in die logische und prozessbezogene Sicherheit. Während das Setzen von Zäunen und die Implementierung von Überwachungskameras und Zugangskontrollen dabei hilft, den physischen Zugriff auf kritische Infrastrukturkomponenten zu beschränken, bilden Firewalls, Asset-Management, Intrusion-Prevention-Systems (IPS) und Antivirensoftware eine starke Barriere gegen unbefugten Zugriff und schädliche Software innerhalb des Unternehmensnetzwerks. Zugriffskontrollen, ein gutes Berechtigungsmanagement und strikte Sicherheitsrichtlinien definieren, wer auf welche Systeme und Daten zugreifen kann und welche Aktionen überhaupt durchgeführt werden dürfen. Die kontinuierliche Überwachung von Netzwerkaktivitäten, eine detaillierte Protokollierung von Ereignissen und die zuverlässige Alarmierung bei verdächtigem Verhalten ermöglichen eine schnelle Reaktion auf potenzielle Sicherheitsvorfälle. Von großer Bedeutung ist außerdem, bei allen Anstrengungen die Anwender nicht außer Acht zu lassen: Security-Awareness-Trainings und Schulungen für Mitarbeiter schärfen das Sicherheits- und Risikobewusstsein und sensibilisieren für mögliche Bedrohungen, um auch versehentliche Sicherheitsverletzungen zu minimieren.
Welche Herstellerlösungen lassen sich hier beispielhaft nennen?
Für das Asset-/Inventory-Management, das ein wichtiger Bestandteil der Gesamtstrategie eines Unternehmens ist, sollte man zunächst analysieren, welche individuellen Anforderungen vorliegen, um dann die am besten geeignete Software-Lösung auszuwählen. Armis beispielsweise gehört hier zu den Herstellern, die sich gerade auf den OT-Bereich spezialisiert haben. Für eine moderne Netzwerkarchitektur ist ein erster wichtiger Basisschritt die Makrosegmentierung, also die Trennung von IT und OT. Diese kann zum Beispiel mit Firewalls von Fortinet, Barracuda oder Check Point erreicht werden. Eine sinnvolle Ergänzung zur Firewall sind Intrusion-Detection- und Intrusion-Prevention-Systeme, die potenzielle Angriffe erkennen und melden, aber auch mit aktiven Gegenmaßnahmen begegnen. Auch hier verfügt Armis über ein passgenaues Portfolio. Was die Mikrosegmentierung betrifft, und diese stellt sich in der Praxis tatsächlich als Königsdisziplin heraus, lassen sich mit Blick auf die Endpoint-Protection beispielsweise Anwendungen aus dem Hause Fortinet, Barracuda und TXOne als sehr gute OT-Lösungen nennen.
Lesen Sie mehr zum Thema
