Cyber-Sicherheit ist Chefsache
IIoT: Mehr Sicherheit für Operational Technology und entlang der Supply Chain
Es kann jeden treffen – jederzeit. Rund um die Uhr attackieren Cyber-Kriminelle mit Viren, Trojanern oder anderer Malware IT/OT-Systeme. Bekannt sind derzeit etwa 800 Mio. Schadprogramme, gut 390.000 Varianten kommen täglich hinzu. Nur in der öffentlichen Wahrnehmung griffen Hacker lange bevorzugt dort an, wo Kundendaten als Beute locken – etwa, um Online-Konten bei Banken oder Internetshops zu kapern und so schnelles Geld zu machen. Tatsächlich sind aber auch Unternehmen der Chemie-, Pharma- und Metallindustrie sowie Energieversorger bei Cyber-Kriminellen beliebt.
Liste der Angriffsziele liest sich wie ein Branchen-Who-is-Who Die Liste der Ziele von Attacken mit „Winnti“, „NotPetya“ oder „LockerGoga“ liest sich wie ein Who-is-Who der Branche. Laut IT-Verband Bitkom wurden in den letzten zwei Jahren drei von vier deutschen Chemie- und Pharmaunternehmen via Internet angegriffen. Auch Accenture-Studien zum Thema Cyber-Sicherheit zeigen, dass sich die Bedrohungslage durch Cyber-Angriffe weltweit verschärft und Unternehmen mehr Geld denn je ausgeben, um sich mit den Kosten und Folgen immer komplexerer Angriffe auseinanderzusetzen. In Deutschland lagen die durchschnittlichen Kosten für Cyber-Kriminalität im Jahr 2018 bei 13 Mio USD. Weltweit könnten die mit Angriffen verbundenen Kosten und Umsatzeinbußen in den nächsten fünf Jahren über alle Branchen hinweg auf bis zu 5,2 Bio. USD steigen. Denn sowohl die Zahl der erfolgreichen Angriffe als auch der im Schnitt verursachte Schaden stieg in den vergangenen fünf Jahren um rund 70 %.
Die Wege der Hacker sind vielfältig: Erpressung, Spionage, Sabotage Tatsächlich scheinen die Grundstoff- und Chemiebranche besonders verlockend für Hacker zu sein: Die Trans-Alaska-Pipeline etwa muss täglich im Schnitt rund 22 Mio. Cyber-Attacken abwehren und bezeichnet das als eines der drei größten Risiken für das Unternehmen. Wer tief genug ins Computersystem eindringt, kann erpressen: Angreifer verschlüsselten z. B. per „LockerGoga“ Daten und forderten Lösegeld für den Freigabecode. Er kann Geschäftsgeheimnisse stehlen: Mithilfe von „Winnti“ haben Hacker versucht, wertvolle Daten von deutschen Konzernen zu erbeuten. Außerdem kann er schlicht sabotieren, mit möglicherweise verheerenden Folgen: Hacker sollen versucht haben, die Sicherheitsmechanismen eines Gaswerks in Saudi-Arabien so zu manipulieren, dass diese bei Fehlfunktionen eine Explosion nicht verhindern. So eine Form der digitalen Sabotage könnte viele Menschenleben kosten.
„In Deutschland lagen die durchschnittlichen Kosten für
Cyber-Kriminalität im Jahr 2018 bei 13 Mio. USD."
Operational Technology muss besser geschützt werden
Gerade dieses Beispiel zeigt, warum die Chemieindustrie ihre Bemühungen um IT/OT-Sicherheit weiter intensivieren muss. Viele Konzerne setzen auf die Vorteile von Digitalisierung sowie Industriellem Internet der Dinge (IIoT) und vernetzen dafür auch früher weitgehend mit IT-Insellösungen betriebene Anlagen – etwa um mit den Betriebsdaten per Digital Twin eine effizientere Steuerung zu simulieren oder die Supply Chain zu verbessern. Dann muss die OT solcher Anlagen genauso gut geschützt sein wie die via Internet und Cloud laufende Konzern-IT – bis zur letzten Ventilsteuerung in der hintersten Ecke des Geländes, falls diese digital angebunden und nicht für reinen Handbetrieb ausgelegt ist. Jede Schnittstelle bietet einen Angriffspunkt: Unlängst hätte ein Verschlüsselungstrojaner fast die Anlagensteuerung eines Chemieunternehmens lahmgelegt, weil ein Ingenieur versehentlich eine smarte Kaffeemaschine per WiFi mit dem Internet wie auch mit dem OT-System verbunden hatte. Auf dem Umweg über die Kaffeemaschine war die Schadsoftware in die Anlagensteuerung eingedrungen.Schadprogramme verbreiten sich entlang der Supply Chain Oft passiert so etwas auch über Geschäftspartner. Jede zweite Cyber-Attacke erfolgt in Form des sog. Inselhüpfens, gerade in der Industrie. Digitale Schädlinge springen dabei entlang der Supply Chain von einem Unternehmen zum nächsten. Alle Partner müssen bei Gegenmaßnahmen also an einem Strang ziehen. In den Führungsetagen der Chemiekonzerne wird dieses Thema durchaus ernstgenommen. 80 % der von Accenture befragten Top-Manager sind überzeugt, dass die Cyber-Sicherheit durch gemeinsame Anstrengungen verbessert werden sollte. Wachsende Komplexität in der Zusammenarbeit mache es unmöglich, sich innerhalb eines Partnernetzwerks punktuell von Betrieben abzuschotten, bei denen Zweifel an der IT-Sicherheit bestehen. Es fehlen aber noch passende Lösungen – und kritische Selbsteinschätzung: 77 % der Befragten meinen mit Blick auf ihre IT-Sicherheit, dass professionelle Partner unentbehrlich sind. Gleichzeitig ist kaum jeder Dritte überzeugt, dass seine Partner sich so gut um IT-Sicherheit kümmern wie die eigene Organisation. Es gibt also noch eine ganze Menge für mehr Vertrauen und Vertrauenswürdigkeit zu tun.
Chemiebranche braucht bei IT/OT-Sicherheit eine steile Lernkurve Dabei hätten gerade Chemieunternehmen beste Voraussetzungen für IT/OT-Security auf Topniveau: Die Branche ist geprägt von einer Philosophie der Sicherheit. Über Jahrzehnte hinweg wurden Produkte und Prozesse immer sicherer, weil kleinste Fehler beim Betrieb einer Chemieanlage große Folgen haben können. Tatsächlich laufen die Werke heute unter physischen Gesichtspunkten so sicher wie nie zuvor. Nun gilt es, diese Erfahrung und Tradition in die digitale Welt zu bringen – mit einer markant steileren Lernkurve. Was sich bei Anlagen über Jahre hinweg optimieren ließ, gilt es beim IT-Einsatz angesichts der enormen Zahl von Cyber-Angriffen eher in Wochen als Monaten zu verbessern. Dafür sollte die Kooperation mit anderen Unternehmen sowie staatlichen Stellen verstärkt, die Zusammenarbeit mit Partnern im eigenen Ökosystem geprüft, die Investition in moderne Lösungen intensiviert sowie die IT-Kompetenz der Mitarbeiter erhöht werden.
„Der Übergang zu digitalen Geschäftsmodellen muss begleitet werden
on wirkungsvollen Maßnahmen für Cyber-Sicherheit."
Cyber-Sicherheit zählt zu den strategischen Aufgaben des CEO
Das erfordert Entscheidungen auf Vorstandsebene. In einigen Konzernen laufen die Fäden in Sachen IT-Sicherheit bereits beim Chief Information Security Officer (CISO) zusammen. Aber vorangehen muss der CEO. Denn vor umfassenden Investitionen in technische und organisatorische Lösungen sowie der Mitarbeiterschulung braucht es grundlegende Antworten auf die Frage, wie das Unternehmen für sich sowie als Teil eines Ökosystems mit Partnern arbeiten soll. Der Übergang zum digital ausgerichteten Geschäftsmodell muss begleitet werden von wirkungsvollen Maßnahmen für Cyber-Sicherheit, die dieses neue Geschäftsmodell ermöglichen. Das sind Chefentscheidungen – und deshalb sollten Maßnahmen zur IT-Sicherheit konzernweit einheitlich überwacht sowie optimiert werden. Ist die Richtung klar, können IT-Experten und Fachabteilungen die einzelnen Themen wie das Erkennen von Angriffen sowie das Response Management betrachten – und bspw. ein Sicherheitsprotokoll von ganz oben absegnen lassen, das die Abschaltung aller PCs binnen einer Stunde vorschreibt, um eine Virusinfektion einzudämmen. Ist ein Angriff erstmal erkannt, gilt: je rascher die Reaktion, desto besser. Hier hilft ein zuvor beschlossener detaillierter Reaktionsplan. Im Schnitt dauert es heute noch immer 206 Tage, bis verdächtige Aktivitäten überhaupt entdeckt werden.Durchdachte IT/OT-Security wird künftig zum Verkaufsargument Für mehr Cyber-Sicherheit müssen Unternehmen sich mit Partnern entlang der Supply Chain koordinieren: Mithilfe der Blockchain-Technologie könnte man Bestellungen z. B. transparenter und weniger angreifbar abwickeln. Die firmeninterne Entwicklung von Abwehrstrategien kann erfahrungsgemäß kaum das Tempo gehen, mit dem Cyber-Kriminelle immer wieder neue Angriffsvarianten austüfteln. Externe Spezialisten für Schutzmaßnahmen unterziehen nicht nur Business-Architektur sowie technische Ausrüstung einer genauen Überprüfung und unterstützt mit Konzepten für bessere Mitarbeiterschulung oder zielführendere Prozesse inklusive Sicherheitshandbücher. Sie können regelmäßig Angriffe auf Konzern-IT sowie OT-Systeme simulieren und so testen, ob bzw. wie gut Cyber- Attacken bemerkt und abgewehrt werden. Diese Erkenntnisse sollten in die kontinuierliche Verbesserung der Cyber-Sicherheit einfließen. Das wäre auch der erste Schritt von einer rein defensiven IT-Sicherheit hin zu einem offensiven System, in dem die erstklassige Sicherheitsarchitektur als Verkaufsargument beim Aufbau neuer Geschäftsbeziehungen dient. Außerdem müssen gut aufgestellte Unternehmen kaum fürchten, früher oder später vom Staat zu mehr IT-Sicherheit verpflichtet und eventuell in ein vorgegebenes System gezwängt zu werden. So schützen sich Chemieunternehmen gegen Cyber-Attacken Governance: Chemiekonzerne sollten auf globaler Ebene mit anderen Unternehmen sowie Regierungen und Aufsichtsbehörden kooperieren. Die Zusammenarbeit ihrer Führungskräfte und Experten mit externen Spezialisten erleichtert es, potenzielle Angriffe zu erkennen und wirkungsvolle Gegenmaßnahmen zu entwickeln. Geschäftsarchitektur: Jedes Unternehmen muss sich intensiv mit den Grundprinzipien der Cyber-Sicherheit beschäftigen und sein Geschäftsmodell konsequent schützen – in der eigenen Organisation ebenso wie bei seinen Partnern entlang komplexer Lieferketten. So entsteht digitales Vertrauen innerhalb des gesamten Ökosystems. Technologie: Investitionen in IT/OT-Sicherheit müssen Priorität bekommen – auch ohne sofort messbare Rendite. Es gilt, neue Technologien anzuwenden, moderne Software zu installieren, IIoT-Security zu beherrschen, Update-Funktionen auf mobilen und IIoT-Geräten zu aktivieren sowie sich auf die Quantum-Herausforderung vorzubereiten. Schulungen: Selbst wenn die Technik perfekt scheint, bleibt der Risikofaktor Mensch. Die Mitarbeiter brauchen nicht nur eine moderne IT-Ausstattung, sondern müssen ihre Geräte auch richtig bedienen können. Zudem sollte ihnen ein Grundverständnis für verschiedene Arten von Cyber-Attacken sowie generell eine hohe Sensibilität für das Thema vermittelt werden.