NIS2 Directive in Österreich : OT Security – „Firmenschefs müssen Methoden finden, das Risiko zu quantifizieren“
News IT: Zum Schutz vor Cyberangriffen, etwa auf kritische Infrastruktur, haben sich die Länder der Europäischen Union im Vorjahr auf die Netz- und Infrastruktursicherheitsrichtlinie 2, kurz NIS2, geeinigt. Diese verpflichtet Betreiber kritischer Infrastrukturen, aber auch viele Unternehmen in deren Wertschöpfungskette, zur Umsetzung von Mindeststandards für Cybersicherheit und Meldepflichten bei Sicherheitsvorfällen. Bela Virag im Interview mit Rudolf Loidl.
- © WekaOT-Security als Herausforderung
Industrie 4.0 hat durchaus auch Schattenseiten, vor allem, wenn es um die digitale Sicherheit geht: Durch die immer stärker werdende Integration von IT-Netzwerken mit jener Software, die Maschinen steuert, sind OT-Systeme, also die Betriebssysteme in Maschinensteuerungen, von Robotern oder Produktionsanlagen, heute denselben Cyberbedrohungen ausgesetzt wie die IT. Doch die IT-Security-Methoden greifen in den Werkshallen der Industrie nicht ganz.
Lesen Sie dazu auch: IT-Experte Scherr: "Cybersecurity muss ein CEO-Thema werden"
Das beginnt bei den verantwortlichen Kräften, die Werksleiter und keine IT-Spezialisten sind. Und es endet bei schwer kalkulierbaren Risken. Wer im Zuge eines Securitychecks einen Fehler am Steuerungscomputer einer Produktionsstraße verursacht, riskiert Produktionsstillstände, Chaos in der Wertschöpfungskette oder sogar die Beschädigung des teuren Maschinenparks. Doch wie können Verantwortliche ihre OT-Umgebung absichern?
Nie mehr die wichtigsten News aus Österreichs Industrie verpassen? Abonnieren Sie unser Daily Briefing: Was in der Industrie wichtig wird. Täglich um 7 Uhr in Ihrer Inbox. Hier geht’s zur Anmeldung!
Bela Virag, Managing Partner bei A.D. Little, im Interview
Industriemagazin (IM): Was müssen betroffene Unternehmen tun, um ihre OT-Umgebung absichern zu können?
Bela Virag (BV): Nun, ich denke, Herr Loidl, das sind ja zwei Fragestellungen. Das ist einmal die Technik, sowohl die Werkstechnik als auch die klassische IT und die Produktionssteuerung und die Produktionssteuerungsanlagen. Aber andererseits auch die Organisatorik und die prozessuale Abbildung dazu. Und ich glaube, im ersten Schritt ist es wichtig, Ansätze zu finden, wie man beide Bereiche auditieren kann und sicher sein kann, mögliche Sicherheitsrisiken zu identifizieren, zu quantifizieren und dann entsprechend zu mitigieren, sodass man einen gesicherten Produktionsprozess einhalten kann und dem Kunden auch bieten kann.
IM: Was ist jetzt der Unterschied zwischen IT-Security und OT-Security? Das sind technisch ganz andere Herausforderungen.
BV: Wir glauben heute, weil wir alle vom Internet so verwöhnt sind, dass das Einzige, was es auf der Welt gibt, ist ein Internet mit einem Protokoll, das da IP heißt. Das ist nicht so. Produktionsanlagen sprechen teilweise proprietäre Protokolle. Die sind ganz anders als IP, sind auch zweckgebunden, sind sehr stark standardisiert und auch strukturiert in der Art, welche Daten wann übermittelt werden und an wen, zumindest die klassischen. Und je moderner die Anlagen, umso näher kommt es an die heutige IT heran. Aber die Herausforderung ist, wenn ich heute eine klassische IT-Security-Überprüfung mache, dann scannt man technisch das Unternehmensnetzwerk und sieht also alle Server, alle Clients, kann prüfen, wo komme ich rein, wo komme ich nicht rein, welche Protokolle laufen da und sieht eigentlich sehr schnell, wo Sicherheitslücken sind und wo vielleicht Aktualisierungen oder mehr Maßnahmen notwendig sind. Wenn man den gleichen Ansatz in einer Produktionsumgebung fährt, ist es so, dass man eigentlich diesen stark standardisierten Datenstrom, und ich bin hier ein bisschen technisch, mit Befehlen unterfüttert, die die Maschine nicht versteht. Wie die Maschine dann darauf reagiert, wissen wir nicht. Und das kann sein, dass das tatsächlich zu Produktionsunterbrechungen führt bis hin zu Schäden an dem Gerät selbst, weil die Gerätschaften dann in Ausnahme zuständig sind. Und vielleicht Folgeeinrichtungen entsprechend gestört sind.
IM: Was sind jetzt abseits von den technischen Herausforderungen für die Organisation die Herausforderungen beim Thema Umsetzung von OT-Security?
BV: Ich mache mal ein ganz einfaches Beispiel. Wir nehmen mal ein Werk, sagen wir, das Werk produziert beispielsweise Stahlprodukte. Und da gibt es ja Güter, die angeliefert werden, Güter, die abgeholt werden. Alles, was angeliefert wird, wird gewogen. Eine Waage ist oftmals ein Computer. Prozessual ist es also so, dass jetzt ein LKW-Fahrer dorthin fährt, aussteigt, sein LKW gewogen wird, vielleicht einen Kaffee trinkt, vielleicht mit den Mitarbeitern plaudert. In Wahrheit sind die Anlagen, die dort vorhanden sind, vielleicht nicht gesichert vor physikalischem Zugriff. Die Waage ist ein Computer, der Computer hat einen USB-Port, da kann ich einen USB-Stick hineinstecken, erledigt. Das sind so prozessuale Herausforderungen. Und das Beispiel, das ich bringe ist ein reales Beispiel. Sie erinnern sich vielleicht an den Angriff vor vielen, vielen Jahren von den Amerikanern auf die iranischen Atomanlagen. Das ist genau so passiert. Da hat der Angreifer USB-Sticks bei den Bushaltestellen verteilt, wo die Mitarbeiter aussteigen und in das Werk gehen. Und irgendein Mitarbeiter hat das genommen und hat es halt reingesteckt. Das ist eine Prozessualanalyse. Da bin ich also physikalisch abgesichert, prozessual abgesichert und habe dann entsprechende Prozesse um im Notfall einzugreifen.
Und vielleicht noch ein Beispiel: Heute sind Werke ja oftmals organisiert rund um einen Werksleiter. Das Werk ist sein Königreich, habe ich oft gehört. Was immer das bedeuten mag in den jeweiligen Unternehmenskulturen. Aber wenn eine zentrale Sicherheitseinheit erkennt, dass eine Bedrohung vorliegt, dann kann die zentrale Sicherheit heute dem Werksleiter nicht sagen, dass er die Produktion einstellen muss. Sofort. Der Werksleiter kann sagen, ja, aber die zehn Minuten brauche ich noch, weil in den zehn Minuten fahre ich noch den Auftrag fertig, weil dann ist der Auftrag fertig. Die zehn Minuten können kritisch sein. Also organisatorisch, prozessual muss ich einmal die Sicherheit gewährleisten und Prozesse überarbeiten, Mitarbeiter ausbilden, aber andererseits auch die Governance anpassen, sodass entsprechende, nicht im Werk ansässige Experten trotzdem Einfluss nehmen können. Riesen Kulturveränderung.
IM: Was raten Sie da, Firmenchefs?
BV: Ich glaube, Firmenchefs stehen tatsächlich vor einer schwierigen Herausforderung. Erstens sind das viele Fragestellungen, mit denen sich die Unternehmensleitungen oft heute nicht befassen. Sie haben also auf der einen Seite Investitionsmöglichkeiten, die Ihnen sehr klar sind. Ich modernisiere ein Gerät oder einen Maschinenpark oder ich baue eine neue Werkshalle oder einen neuen Standort oder ich schließe was. Das sind alles Entscheidungen, die kennt man und die hat man gemacht und kann begründen und kann berechnen und so weiter. Sicherheitsmaßnahmen sind schwierig zu berechnen. Sie sind auch nicht planbar, weil sie liegen nicht auf einer Zeitachse, die das Unternehmen im Griff hat. Sie liegen auf der Zeitachse, die möglicherweise ein Angreifer intentionell geplant hat oder die vielleicht zufällig von einem Roboter erfolgen im Hintergrund. Unternehmenschefs müssen also Methoden finden, das Risiko zu quantifizieren und abzuschätzen in der direkten Wirkung. Also was passiert in dem einzelnen Werk, aber auch in der Wertschöpfungskette zwischen den Werken, also mit Folgeschäden, die entstehen, um letztlich Investitionsentscheidungen für Sicherheit korrekt zu treffen. Die Frage, bin ich überinvestiert oder unterinvestiert, ist nicht leicht zu beantworten, wenn man es nicht quantifiziert greifen kann.
IM: Das heißt, wenn Sie in solchen Fällen zur Hilfe gerufen werden, dann ist es oft die Entscheidung, investiere ich jetzt in neue Maschinen oder in neue OT?
BV: Das ist eine wichtige Entscheidung. Ich glaube, ich erzähle mal eine Geschichte, ich glaube, das macht es am deutlichsten.
Wir haben einen CEO von einem Unternehmen, österreichischer Mittelstand, größerer Mittelstand, 150 Millionen Umsatz, 300 Leute, Größenordnung, ab und zu vorstellen kann. IT-Abteilung, vier Mitarbeiter. Größtes IT-Problem ist, Montagmorgen funktioniert der Drucker nicht. Sicherheit bedeutet, wir hängen ein Vorhängeschloss auf den Serverraum. Dieser CEO hat erkannt, Security ist wichtig, hat einen Audit fahren lassen, einen sogenannten Penetration Test, einen Pen-Test. Pen-Test war nicht erfolgreich. IT-Abteilung hat gejubelt, wir sind sicher. Eine Woche darauf war der Erpressungsversuch da. Eine wahre Geschichte in Österreich. Die Frage ist also, kann ich, und dort kommt eigentlich die Empfehlung her, wie kann ich als Unternehmer, die Risiken tatsächlich erkennen? Und wie ich sehe, also als ADL, dass Unternehmer es dann wirklich ernst nehmen, wenn entweder ein Schaden eingetreten ist, oder wenn ein solches Audit, sei es auf die IT, sei es auf die OT, negativ verläuft. Wenn man erkennt, es dauert 30 Minuten, um eine SAP-Einrichtung abzuschalten, dann hat der CFO plötzlich große Ohren, weil er erkennt, das ist mein SAP. Und ohne SAP, Problem. Ich mache keine Werbung für SAP, was immer die Unternehmenssoftwaren sind, die da betroffen sind. Das ist auf der IT-Seite. Auf der OT-Seite ist es ganz ähnlich. Wenn der Werksleiter erkennt, mein Werk steht im Risiko, und das ist sein Werk, dann wird in der Regel gehandelt. Es ist also wichtig, im ersten Schritt ein solches Verständnis über das Risiko zu etablieren, und auch deutlich zu machen, und auch glaubhaft zu machen, dass es nicht mehr weggewischt werden kann.
IM: Vielen herzlichen Dank für das Gespräch. Ich habe jetzt eines mitgenommen, und zwar, dass ich keine USB-Sticks an Busstationen mitnehmen soll.
BV: Genau.
