Ohne Cybersecurity wird Digitalisierung teuer
Wie Chemieunternehmen ihre OT-Umgebungen effektiv schützen und ihre Cybersecurity-Strategie zukunftssicher gestalten.
Die Digitalisierung schreitet in immer mehr Industrien voran. Auch für die Chemiebranche, die unter dem Kostendruck der hohen Energiepreise steht, können digitalisierte Prozesse für eine gesteigerte Rentabilität sorgen. Die mit der Digitalisierung einhergehende stärkere Fokussierung auf Daten unterliegt allerdings einem ebenfalls steigenden Risiko, ins Visier von Cyberattacken zu geraten. Daher gehört eine umfassende Cybersecurity-Strategie untrennbar zur Digitalisierung.
Das Wachstumspotenzial, das in der Digitalisierung steckt, ist in der Industrie branchenübergreifend unumstritten. Dieses monetäre Wachstum bedingt aber auch ein Wachstum der zum Einsatz kommenden Geräte – wobei es sich um Systeme oder auch um Sensoren handeln kann. Das sog. Internet der Dinge (IoT) besteht aus einer hohen Zahl an vernetzten, miteinander kommunizierenden Geräten und Sensoren, von denen jeder für sich einen Angriffspunkt für Cyberattacken darstellt. Angreifbar sind auch die Netze, mit denen diese Geräte und Sensoren verbunden sind – egal ob es sich dabei um öffentliche (Mobilfunknetze) oder private (Campusnetze) handelt.
Während Chemieunternehmen nach höherer Rentabilität suchen, entwickelt sich Cyberkriminalität quasi parallel zu einem lukrativen Geschäftsmodell.
Während Chemieunternehmen nach höherer Rentabilität suchen, entwickelt sich Cyberkriminalität quasi parallel immer mehr zu einem lukrativen Geschäftsmodell. Eine rein reaktive IT-Security zum Schutz von IT und OT greift zu kurz. Gefordert ist ein strategischer Paradigmenwechsel hin zu proaktiven, bedrohungsinformierten Verteidigungsmaßnahmen – insbesondere im OT-Bereich.
Bislang waren es vor allem IT-Systeme, die im Visier von Cyberangriffen standen. Bekannt geworden sind sog. Ransomware-Attacken professioneller Hackergruppen, bei denen Angreifer Unternehmensdaten verschlüsselten und diese Verschlüsselung nur gegen Zahlung eines „Lösegelds“ wieder aufhoben. Die damit verbundenen Kosten durch den verursachten Produktionsausfall können schnell in die Millionen Euro gehen.
Gezielte Störungen der Betriebstechnologie dagegen, wurden in der Vergangenheit zumeist staatlichen Akteuren zugeschrieben, die nicht an Geldzahlungen interessiert sind. Diese Trennung löst sich jedoch zunehmend auf. Was früher primär die Unternehmens-IT betraf, betrifft heute – durch die fortschreitende Digitalisierung etwa der Produktionssteuerung – auch OT-Umgebungen. Im Visier stehen dabei Branchen mit hoher Systemkritikalität, denn die Auswirkungen auf Produktion, Energieversorgung oder Logistik machen OT-Umgebungen auch für finanziell motivierte Cyberkriminelle zu attraktiven Zielen.
Die Zahl der Datenlieferanten in Chemieunternehmen steigt
Auch in einer digitalisierten Chemieindustrie, spielt die sog. IT/OT-Konvergenz, also das Verschmelzen von Informationstechnologie (IT) und Betriebstechnologie (Operational Technology, OT) eine wichtige Rolle. Im Kern geht es darum, Produktionsanlagen (Sensoren, Maschinen) in digitale Unternehmensnetzwerke (ERP, Cloud) zu integrieren. In den anfallenden Daten stecken alle Vorteile der Digitalisierung. Sorgen etwa Sensoren dafür, besser einschätzen zu können, ob und wenn ja, sogar wann eine Maschine wegen Wartungsarbeiten nicht zur Verfügung steht (Stichwort: Predictive Maintanance), lassen sich Produktionsprozesse besser und vor allem kostengünstiger planen. Dazu benötigt werden robuste Sicherheitskonzepte für IT und OT.
Vor allem ältere OT-Systeme geraten ins Visier der Hacker
Laut aktuellen Bedrohungsdaten vom Fortinet OT Summit 2025 ist die Zahl der Cyberangriffe auf OT-Systeme im Energie- und Versorgungssektor im Jahr 2024 um 300 % gestiegen. Unterstützt durch detaillierte Aufklärungsdaten verfeinern die Angreifer ihre Methoden und gestalten ihre Angriffsvektoren zunehmend präzise und wirksam. Angreifer nutzen gezielt Schwachstellen in veralteten OT-Infrastrukturen aus – häufig vermittelt durch sog. Initial Access Broker, die sich Zugang zu Netzwerken verschaffen und diesen an Ransomware-Gruppen oder andere Akteure weiterverkaufen. Herkömmliche Cybersecurity-Strategien, die sich ausschließlich auf Indicators of Compromise (IoCs) stützen, reichen hier nicht mehr aus.
Cyberkriminelle agieren heute professioneller und oft ähnlich organisiert wie legale Unternehmen. Dies wird durch sog. „Crime-as-a-Service“-Modelle (CaaS) ermöglicht, die ein florierendes Ökosystem für Cyberkriminalität geschaffen haben. Innerhalb dieser Strukturen existieren spezialisierte „Dienstleister” für Bereiche wie Geldwäsche, Malware-Entwicklung oder gezielte Phishing-Kampagnen. Dadurch sinken die Einstiegshürden erheblich: Selbst technisch wenig versierte Akteure können hochspezialisierte und disruptive Angriffe mit vergleichsweise geringem Aufwand durchführen.
Besonders besorgniserregend ist der Trend zu „Reconnaissance-as-a-Service“: Dabei kartieren Angreifer potenzielle Zielnetzwerke im Voraus, bereiten die gewonnenen Informationen professionell auf und verkaufen sie. Durch den verstärkten Einsatz von künstlicher Intelligenz (KI) werden diese Cyberausspähungen zunehmend automatisiert und präzisiert, was eine Skalierung von Angriffskampagnen in bislang ungekanntem Ausmaß ermöglicht.
Chemieunternehmen müssen insbesondere im OT-Bereich proaktive, bedrohungsinformierte Verteidigungsmaßnahmen implementieren.
Angreifer und Verteidiger nutzen künstliche Intelligenz
Künstliche Intelligenz entwickelt sich zu einem der mächtigsten Werkzeuge für Cyberkriminelle und eröffnet völlig neue Angriffsmöglichkeiten. Während frühere Cyberattacken meist auf vorprogrammierte oder automatisierte Abläufe wie Netzwerkscans, Enumeration oder einfache Exploits setzten, bedienen sich heutige Angreifer KI-gesteuerter, mehrstufiger Angriffsketten, die sich dynamisch und in Echtzeit an ihre Umgebung anpassen.
Generative KI kommt insbesondere bei der Aufklärung und beim Social Engineering zum Einsatz, bspw. bei der automatisierten Auswertung von Netzwerkinformationen oder der Erstellung überzeugender, täuschend echter Phishing-Inhalte. Besonders alarmierend ist die Fähigkeit, hochgradig personalisierte Phishing-Kampagnen in lokalen Sprachen zu generieren, was die Erfolgswahrscheinlichkeit deutlich erhöht. Darüber hinaus nutzen Cyberkriminelle KI für fortschrittliche Tarntechniken: Sie verschleiern schädliche Aktivitäten gezielt mit legitimen Systemprozessen, um herkömmliche Erkennungsmechanismen zu umgehen.
In der nächsten Entwicklungsstufe ist mit KI-gesteuerten Angriffen zu rechnen, bei denen operative Entscheidungen automatisiert und in Echtzeit getroffen werden. Klassische Verteidigungsstrategien stoßen hier zunehmend an ihre Grenzen. Der Übergang von automatisierten zu intelligenten Angriffsketten zwingt Unternehmen dazu, ihre Security-Architektur auf ein vergleichbar hohes technologisches Niveau zu heben – mit adaptiven, lernfähigen Abwehrmechanismen als strategische Notwendigkeit.
Hohe Dynamik durch Threat-Informed Defense
Eine Threat-Informed-Defense-Strategie bedeutet mehr, als nur Bedrohungsdaten zu sammeln: Sie müssen kontinuierlich analysiert und in konkrete Cybersecurity-Maßnahmen übersetzt werden.
Das von MITRE etablierte dynamische Modell für Threat-Informed Defense beschreibt einen kontinuierlichen Kreislauf aus Aufklärung, Test, Analyse und Anpassung. Dabei informiert jede Phase die nächste: Die Bedrohungsinformationen steuern die Tests, die Tests validieren die Verteidigungsmaßnahmen und die Ergebnisse dieser Tests fließen zurück in die Verbesserung der Bedrohungsanalyse.
Aufbauend auf diesem Modell bilden vier zentrale Elemente das operative Rückgrat einer effektiven Threat-Informed-Defense-Strategie:
- 1. Cyber Threat Intelligence:
Kontextualisierte Bedrohungsdaten helfen, Taktiken, Techniken und Verfahren (TTPs) frühzeitig zu erkennen – und gezielt auf Risiken in der eigenen OT-Landschaft zu reagieren. - 2. Testing & Evaluation:
Red-, Blue- und Purple-Teaming simulieren realistische Angriffe, testen die Abwehrmechanismen und zeigen auf, wo Anpassungsbedarf besteht. - 3. Detection Engineering:
Anpassung und Optimierung von Detection-Rules – auch für schwer erkennbare Techniken und OT-spezifische Angriffsvektoren. - 4. Automatisierte Abwehr:
Durch KI-gestützte Tools wie SOAR und EDR/XDR lassen sich Reaktionsprozesse beschleunigen und übergreifende Verteidigungsmaßnahmen orchestrieren.
Ein integrierter Plattformansatz unterstützt die Umsetzung einer solchen Strategie auf technischer Ebene. Die Fortinet OT Security Plattform vereint alle essenziellen Komponenten einer Threat-Informed Defense in einer modularen, durchgängigen Security-Architektur für industrielle Umgebungen. Sie erfasst Bedrohungsinformationen systematisch, analysiert sie mithilfe von KI und überführt sie in Echtzeit in automatisierte Schutzmaßnahmen. Durch die Konsolidierung unterschiedlicher Funktionen reduziert die Plattform die Komplexität, schafft umfassende Transparenz und bietet eine proaktive Verteidigung gegen aktuelle und zukünftige Bedrohungen.
So können Chemieunternehmen ihre OT-Umgebungen effektiv schützen, flexibel auf neue Risiken reagieren und ihre Cybersecurity-Strategie zukunftssicher gestalten.
