Die Zahl der Cyberangriffe auf Schweizer Unternehmen steigt an. Doch gerade Industriebetriebe müssen sich nicht nur um ihre IT-Sicherheit kümmern, sondern auch um die OT-Sicherheit (Operational Technologies). Wie man den eigenen Maschinenpark vor Attacken schützt, fragte «Fokus» bei einem Experten der ControlTech Engineering AG nach.
Michael Gempp
IT System & Security Architect CTE AG
Herr Gempp, OT-Security gewinnt in der Smart Factory zunehmend an Bedeutung. Woran liegt das?
Wenn wir von OT (Operational Technologies) sprechen, dann meinen wir damit sämtliche Technologien, die dem Betriebszweck der Produktionsanlagen dienen. In der Regel geht es dabei also um ein Netzwerk aus Maschinen – im Gegensatz zur IT, welche primär Menschen miteinander verbindet. Und da das Fundament von Industrie 4.0 und Smart Factory aus hoch kommunikativen, voll vernetzten Anlagen besteht, spielt die OT in diesem Kontext eine essenzielle Rolle.
Welche konkreten, OT-bezogenen Sicherheitsrisiken gefährden Industrieunternehmen?
In vielen Industriebetrieben sind noch Legacy-Systeme im Einsatz, die über lange Lebenszyklen von teils mehr als 25 Jahren ausgelegt sind. Aufgrund ihres kontinuierlichen Betriebs lassen sich diese Maschinen oft nur eingeschränkt aktualisieren – was sie potenziell angreifbar macht. Und wir stellen in der Tat fest, dass KMU-Kunden heute vermehrt gezielt angegriffen werden, da sie, anders als Grossbetriebe, weder über die personellen noch finanziellen Mittel verfügen, um sich vollumfänglich zu schützen. In konkreten Zahlen ausgedrückt: Laut der «Cyberstudie 2024» wurden in den letzten drei Jahren vier Prozent der befragten Schweizer KMU Opfer einer schwerwiegenden Cyberattacke. Auf die Gesamtheit der hiesigen Unternehmen hochgerechnet, entspricht das 24 800 Firmen. Bei drei Vierteln der Betroffenen entstand ein erheblicher finanzieller Schaden.
Gibt es bestimmte Branchen, die besonders von Attacken auf OT-Systeme betroffen sind?
Die gibt es tatsächlich: Vor allem stark regulierte Branchen sind anfällig für Attacken. Dies, weil die Angreifer genau wissen, dass betroffene Unternehmen aufgrund der strengen Regulatorik nicht ohne Weiteres Systemänderungen vornehmen dürfen, um Sicherheitslücken zu schliessen oder Patches einzuspielen. Wir von CTE sind unter anderem in der Pharma- sowie der Food-Branche stark vertreten und hatten auch schon mit Kunden zu tun, die von Angriffen betroffen waren. In einem konkreten Fall war zwar lediglich der Office-Betrieb «befallen» und eine Ausbreitung in die Produktion konnte verhindert werden. Dennoch ist auch für diesen Betrieb ein erheblicher finanzieller Schaden entstanden. Darum setzen wir für unsere Kundschaft auf Notfallpläne und Routinen, die sich im Ernstfall bewährt haben. Proaktiv empfehlen wir zudem eine Kombination aus mehreren Sicherheitsmassnahmen, um Schlimmeres zu verhindern.
Ein Cybervorfall verursacht in jedem Fall deutlich mehr Aufwand und Kosten als vorbeugende Massnahmen. – Michael Gempp, IT System & Security Architect CTE AG
Welche neuen regulatorischen Anforderungen und Standards, wie etwa NIS2 oder IKT, kommen auf Unternehmen zu? Wie gross ist Ihrer Einschätzung nach der Handlungsdruck für Firmen?
Grundsätzlich bewerten wir Regularien und Standards in der Schweiz als positiv, da sie Unternehmen dabei helfen, Risiken zu minimieren und die Compliance zu gewährleisten. Bei NIS2 handelt es sich um eine Richtlinie der EU, die auch für Schweizer Firmen gilt, wenn sie Handel mit der EU betreiben. Der IKT-Minimalstandard wiederum ist ein vom Bund definierter, minimaler Branchenstandard für die Cybersecurity-Massnahmen von Unternehmen. Natürlich bringen neue Regularien und Standards Herausforderungen mit sich und sorgen für zusätzlichen bürokratischen Aufwand. Gleichzeitig sind sie eine wichtige Unterstützung, um die Cybersicherheitsstrategie zu überprüfen und gezielt zu verbessern. Und nicht zuletzt gilt: Ein Cybervorfall verursacht in jedem Fall deutlich mehr Aufwand und Kosten als vorbeugende Massnahmen. Viele KMU wissen aber gar nicht, wo sie stehen. Hier schafft CTE Transparenz und bietet Hilfestellung für die Erfüllung der Vorgaben.
Wie unterstützt die CTE AG Kundenunternehmen generell dabei, sich gegen OT-Cyberangriffe zu wappnen?
Eine ganzheitliche Strategie zum Schutz der gesamten OT-Infrastruktur ist unerlässlich. Darum setzen wir auf eine systematische Bewertung der Sicherheitsrisiken. Dies immer mit dem Ziel vor Augen, einen stabilen Betrieb ohne Ausfälle zu gewährleisten. Zuerst starten wir immer mit einer Analyse der Ausgangslage und bieten mit unserem kostenlosen «KMU Security Check» eine erste Einschätzung an. Dadurch erfährt eine Firma, wie sicher ihre Produktion vor Cyberangriffen ist. Unsere Experten prüfen dabei die OT-Sicherheit auf Herz und Nieren; schnell, unverbindlich und kostenlos. Basierend auf den Resultaten geben wir Leistungsempfehlungen ab und – sollte es zur Zusammenarbeit kommen – setzen die entsprechenden Massnahmen um.
Schreibe einen Kommentar