NIS2: Bausteine für sichere OT

Industrielle Steuerungs- und Automatisierungssysteme werden mit langfristiger Perspektive entwickelt: 30 Jahre lang Produktionsanlagen mit derselben Software zu steuern und zu überwachen ist keine Seltenheit. Viele Operational Technology-Systeme (OT) wurden deshalb schon in Betrieb genommen, ohne moderne Cybersecurity-Methoden berücksichtigen zu können. Und weil sie nicht ohne erheblichen Aufwand auf den notwendigen Stand der Sicherheitstechnik gebracht werden können, sind sie beliebte Ziele krimineller Cyberattacken. Auch vor dem Hintergrund der sich ändernden Regulierung durch KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz ist es dringend geboten, Sicherheitsstrategien zu überdenken und zu stärken, um die Integrität und Zuverlässigkeit kritischer Infrastrukturen zu gewährleisten.

Empfindliche Bußgelder drohen

Wenn NIS2 und KRITIS-DachG auch in Deutschland in Kraft treten, werden auch zahlreiche neue Organisationen unter die Regulierung fallen, die bislang noch nicht zu den Betreibern kritischer Infrastrukturen gezählt wurden, und auch Produktionsanlagen mit ausgeprägter OT-Umgebung werden davon erstmals betroffen sein. Auch an sie werden die Anforderungen an ihre Cybersicherheit dadurch deutlich anspruchsvoller. „Bei Verstößen gegen Pflichten wie mangelnder Umsetzung von Sicherheitsmaßnahmen oder versäumten Melde- und Registrierungsfristen drohen empfindliche Bußgelder und vor allem persönliche Haftungsrisiken für die Geschäftsleitungen“, sagt Ulrich Plate von GENn und Leiter der eco-Kompetenzgruppe KRITIS, die neun Maßnahmen aufzeigt, mit denen Unternehmen in ihrer OT die strengeren Vorgaben erfüllen.

Identifizieren Sie Schwachstellen und Bedrohungen in Ihren OT-Systemen

Führen Sie regelmäßige Risikoanalysen durch, um aktuelle und potenzielle Sicherheitslücken zu erkennen und zu bewerten.

Netzwerksegmentierung

Trennen Sie IT- und OT-Netzwerke voneinander, um die Angriffsfläche zu minimieren. Segmentieren Sie OT-Netzwerke weiter, um den Schaden im Falle eines Angriffs zu begrenzen.

Härtung von OT-Systemen

Deaktivieren Sie unnötige Dienste und Ports auf OT-Geräten. Stellen Sie sicher, dass nur autorisierte Anwendungen und Benutzer auf diese Systeme zugreifen können.

Sicherheitsupdates und Patch-Management

Halten Sie alle OT-Systeme und -Geräte auf dem neuesten Stand, indem Sie regelmäßig Sicherheitsupdates und Patches anwenden. Entwickeln Sie Verfahren, um kritische Updates zeitnah zu installieren.

Zugangskontrolle und Authentifizierung

Implementieren Sie starke Zugangskontrollmechanismen. Verwenden Sie mehrstufige Authentifizierung (MFA) und sorgen Sie dafür, dass nur autorisierte Benutzer Zugang zu OT-Systemen haben.

Schulung und Sensibilisierung der Mitarbeiter

Schulen Sie Ihre Mitarbeiter regelmäßig in Bezug auf Cybersecurity-Best Practices. Stellen Sie sicher, dass alle Mitarbeiter, die mit OT-Systemen arbeiten, über die aktuellen Bedrohungen und Schutzmaßnahmen informiert sind.

Überwachung und Incident Response

Implementieren Sie kontinuierliche Überwachungs- und Erkennungsmechanismen für OT-Netzwerke. Entwickeln und testen Sie Incident-Response-Pläne, um schnell auf Sicherheitsvorfälle reagieren zu können

Sicherheitsrichtlinien und -verfahren

Erstellen und implementieren Sie klare Sicherheitsrichtlinien und -verfahren für den Betrieb und die Wartung von OT-Systemen. Stellen Sie sicher, dass alle Mitarbeiter diese Richtlinien verstehen und befolgen.

Zusammenarbeit und Informationsaustausch

Fördern Sie die Zusammenarbeit und den Informationsaustausch mit anderen Unternehmen und Behörden. Nutzen Sie Informationsplattformen, um über aktuelle Bedrohungen und Sicherheitsvorfälle informiert zu bleiben.