OT-Sicherheit: Warum sie für Unternehmen unverzichtbar ist und wie man sie gewährleistet

Was ist OT-Sicherheit?

OT-Sicherheit umfasst die Gesamtheit von Hardware und Software, die zur Überwachung, Erkennung und Kontrolle von Änderungen an Geräten, Prozessen und Ereignissen eingesetzt wird. Sie wird hauptsächlich genutzt, um industrielle Systeme und Netzwerke vor Angriffen zu schützen, wie etwa Kraftwerke, Verkehrsnetze und Smart-City-Geräte. Im Gegensatz dazu konzentriert sich die IT-Sicherheit auf die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Daten.

OT-Umgebungen enthalten oft eine Mischung aus älteren Geräten, die in IT-Umgebungen normalerweise nicht zu finden sind. Da jeder Gerätetyp unterschiedliche Revisionsnummern aufweist, kann die Aufrechterhaltung eines stets aktuellen Patch-Management-Programms schwierig sein. Mit der zunehmenden Verbreitung des Internets der Dinge (IoT) wachsen die Welten der Betriebstechnologie (OT) und der Informationstechnologie (IT) stärker zusammen und geraten damit ins Visier von Cyberkriminellen.

Wer sollte für die OT-Sicherheit verantwortlich sein?

Es kommt weniger auf die konkrete Struktur oder einen bestimmten Titel an, sondern auf ein deutliches Bekenntnis der obersten Führungsebene und klare Verantwortlichkeiten. Die Geschäftsführung sollte eine Person benennen, die für alle Fragen der Sicherheit verantwortlich ist und mit den nötigen Ressourcen und Kompetenzen ausgestattet wird. Diese Person muss Standards und Regeln setzen, sie schriftlich fixieren, im Unternehmen bekannt machen und dafür sorgen, dass die Regeln im Alltag gelebt werden, etwa durch regelmäßige Schulungen der Belegschaft. Darüber hinaus sollte diese Person das Unternehmen auf Notfälle vorbereiten und Worst-Case-Szenarien regelmäßig simulieren – denn erst in der Praxis fallen Schwachstellen auf, an die vorher niemand gedacht hat.

Warum wird OT-Sicherheit wichtiger? Die wichtigsten Entwicklungen

• Gesetzliche Änderungen: Im Jahr 2023 erlebte die Cyber-Sicherheitslandschaft einen Umbruch, insbesondere in den Bereichen OT und IT. Regierungen weltweit überarbeiteten Gesetze und Standards, um die Sicherheit in kritischen Infrastrukturbereichen zu verbessern. In den USA verpflichten neue Vorschriften zur Stärkung der Cyber-Sicherheit durch eine Zero Trust Architecture und die Modernisierung der IT- und OT-Infrastruktur.
• Erhöhte Budgets: Die Budgets für OT-IT-Sicherheit steigen weiter, wobei der Schutz kritischer OT-Assets und die Datensicherheit höchste Priorität haben. Die sich verändernde Bedrohungslandschaft und die Auswirkungen jüngster Vorfälle haben Unternehmen dazu veranlasst, ihre Abwehrmechanismen gegen Cyber-Bedrohungen im OT-ICS-Bereich zu verbessern.
• Lieferkettensicherheit: Cyber-Sicherheitsrisiken in der Lieferkette und bei Dritten rücken weltweit zunehmend in den Fokus. In den USA konzentriert sich die Executive Order 14028 auf das „Cybersecurity Supply Chain Risk Management“, und die NIS2-Richtlinie in Europa verstärkt die Anforderungen erheblich.

Fazit

Geräte im OT-Bereich haben eine deutlich längere Lebensdauer als in der IT. Während in der IT eine Lebenserwartung von fünf Jahren bereits hoch ist, werden OT-Geräte bis zu 20 Jahre oder länger betrieben. Dies liegt an den hohen Anschaffungskosten und der Tatsache, dass es sich oft um Individuallösungen handelt, die nicht frei erhältlich sind und deren Implementierung aufwändiger ist. Die Sicherheit von OT ist entscheidend, da sie kritische physische Prozesse steuert und überwacht. Unternehmen sollten eine umfassende Sicherheitsstrategie entwickeln, die auf bewährten Standards und Lösungen basiert, um den Herausforderungen erfolgreich zu begegnen.