NIS2: Bausteine für sichere OT
Zahl der durch NIS2 und KRITIS-Dach regulierten Organisationen erweitert sich auf über 30.000.
Industrielle Steuerungs- und Automatisierungssysteme werden mit langfristiger Perspektive entwickelt: 30 Jahre lang Produktionsanlagen mit derselben Software zu steuern und zu überwachen ist keine Seltenheit. Viele Operational Technology-Systeme (OT) wurden deshalb schon in Betrieb genommen, ohne moderne Cybersecurity-Methoden berücksichtigen zu können. Und weil sie nicht ohne erheblichen Aufwand auf den notwendigen Stand der Sicherheitstechnik gebracht werden können, sind sie beliebte Ziele krimineller Cyberattacken. Auch vor dem Hintergrund der sich ändernden Regulierung durch KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz ist es dringend geboten, Sicherheitsstrategien zu überdenken und zu stärken, um die Integrität und Zuverlässigkeit kritischer Infrastrukturen zu gewährleisten.
Empfindliche Bußgelder drohen
Wenn NIS2 und KRITIS-DachG auch in Deutschland in Kraft treten, werden auch zahlreiche neue Organisationen unter die Regulierung fallen, die bislang noch nicht zu den Betreibern kritischer Infrastrukturen gezählt wurden, und auch Produktionsanlagen mit ausgeprägter OT-Umgebung werden davon erstmals betroffen sein. Auch an sie werden die Anforderungen an ihre Cybersicherheit dadurch deutlich anspruchsvoller. „Bei Verstößen gegen Pflichten wie mangelnder Umsetzung von Sicherheitsmaßnahmen oder versäumten Melde- und Registrierungsfristen drohen empfindliche Bußgelder und vor allem persönliche Haftungsrisiken für die Geschäftsleitungen“, sagt Ulrich Plate von GENn und Leiter der eco-Kompetenzgruppe KRITIS, die neun Maßnahmen aufzeigt, mit denen Unternehmen in ihrer OT die strengeren Vorgaben erfüllen.
Identifizieren Sie Schwachstellen und Bedrohungen in Ihren OT-Systemen
Führen Sie regelmäßige Risikoanalysen durch, um aktuelle und potenzielle Sicherheitslücken zu erkennen und zu bewerten.
Netzwerksegmentierung
Trennen Sie IT- und OT-Netzwerke voneinander, um die Angriffsfläche zu minimieren. Segmentieren Sie OT-Netzwerke weiter, um den Schaden im Falle eines Angriffs zu begrenzen.
Härtung von OT-Systemen
Deaktivieren Sie unnötige Dienste und Ports auf OT-Geräten. Stellen Sie sicher, dass nur autorisierte Anwendungen und Benutzer auf diese Systeme zugreifen können.
Sicherheitsupdates und Patch-Management
Halten Sie alle OT-Systeme und -Geräte auf dem neuesten Stand, indem Sie regelmäßig Sicherheitsupdates und Patches anwenden. Entwickeln Sie Verfahren, um kritische Updates zeitnah zu installieren.
Zugangskontrolle und Authentifizierung
Implementieren Sie starke Zugangskontrollmechanismen. Verwenden Sie mehrstufige Authentifizierung (MFA) und sorgen Sie dafür, dass nur autorisierte Benutzer Zugang zu OT-Systemen haben.
Schulung und Sensibilisierung der Mitarbeiter
Schulen Sie Ihre Mitarbeiter regelmäßig in Bezug auf Cybersecurity-Best Practices. Stellen Sie sicher, dass alle Mitarbeiter, die mit OT-Systemen arbeiten, über die aktuellen Bedrohungen und Schutzmaßnahmen informiert sind.
Überwachung und Incident Response
Implementieren Sie kontinuierliche Überwachungs- und Erkennungsmechanismen für OT-Netzwerke. Entwickeln und testen Sie Incident-Response-Pläne, um schnell auf Sicherheitsvorfälle reagieren zu können
Sicherheitsrichtlinien und -verfahren
Erstellen und implementieren Sie klare Sicherheitsrichtlinien und -verfahren für den Betrieb und die Wartung von OT-Systemen. Stellen Sie sicher, dass alle Mitarbeiter diese Richtlinien verstehen und befolgen.
Zusammenarbeit und Informationsaustausch
Fördern Sie die Zusammenarbeit und den Informationsaustausch mit anderen Unternehmen und Behörden. Nutzen Sie Informationsplattformen, um über aktuelle Bedrohungen und Sicherheitsvorfälle informiert zu bleiben.