Wen der Löwe frisst: Sicherheit hat viele Gesichter

Die Digitalisierung durchdringt alle Bereiche der österreichischen Wirtschaft – von der Industrie über den Handel bis hin zu kleinen und mittleren Unternehmen. Mit dieser zunehmenden Vernetzung wachsen jedoch auch die Risiken: Cyberangriffe stellen heute eine der größten Bedrohungen für die wirtschaftliche Stabilität und Wettbewerbsfähigkeit dar.

Vor allem mit Phishing-Angriffen sind Cyberkriminelle sehr erfolgreich und fokussieren häufig Personen in Führungspositionen. So müssen einer Studie in Deutschland zufolge Geschäftsführende durchschnittlich 57 gezielte Phishing-Angriffe pro Jahr abwehren. Bei IT-Verantwortlichen sind es immerhin noch 40 gezielte Phishing-Attacken. Nach dem Zugang zu den Unternehmensdaten, in den meisten Fällen durch Phishing-Attacken, folgen in vielen Fällen Ransomware-Angriffe. Die Verschlüsselungstrojaner machen wichtige Daten unlesbar und die Cyberkriminellen fordern ein Lösegeld, um die Daten wieder zu entschlüsseln.

Das Lagebild zeigt, dass von fast allen Akteuren Phishing verwendet wird und aktuell in den meisten Fällen mit »Double Extortion« gerechnet werden muss. Dabei handelt es sich um eine doppelte Erpressung in Bezug auf zunächst die Verschlüsselung und dann die Veröffentlichung der gestohlenen Daten.

Ein besonderer Fall
Während in den weitgehend standardisierten Büroumgebungen der Mensch und der klassische Kommunikationskanal E-Mail die größte Angriffsfläche bieten, ist die Bedrohungslage in der Industrie differenzierter. Jede Anlage, jede Maschine ist anders – der Schaden bei Ausfällen ist meist aber wesentlich höher.

Das Technologieunternehmen Siemens hat im Oktober eine Zero-Trust-Sicherheitsplattform vorgestellt, erstmals speziell für industrielle Netzwerke in der Fertigung (OT) konzipiert. Die Software-Lösung »SINEC Secure Connect« virtualisiert Netzwerkstrukturen durch sogenannte Overlay-Netzwerke. Sie ermöglicht Verbindungen zwischen Maschinen, von Maschinen zur Cloud oder zu Rechenzentren sowie sicheren Remote-Zugriff auf industrielle Systeme – alles ohne herkömmliche VPNs. Geräte auf Produktionsebene bleiben damit vor unbefugtem externem Zugriff geschützt und behalten gleichzeitig ihre operativ notwendige Konnektivität. Dies ermöglicht Industrieunternehmen eine flexible und zukunftssichere Vernetzung der OT bei gleichzeitiger Stärkung der Cybersecurity. Die Lösung wird auf dem Siemens-eigenen Marktplatz Xcelerator verfügbar sein.

Zur richtigen Zeit
Die Markteinführung erfolgt zu einem Zeitpunkt, an dem der globale OT-Sicherheitsmarkt laut Branchenberichten bis 2030 voraussichtlich ein Volumen von mehr als 50 Milliarden Dollar erreichen wird. Die Treiber sind die zunehmende Digitalisierung der Fertigung und Cyberbedrohungen für kritische Infrastrukturen und Produktionsumgebungen. Und Industrieunternehmen stehen zudem unter dem Druck, dass aktuelle Lösungen administrativ komplex sind.

»Herkömmliche Netzwerksicherheitsansätze haben Schwierigkeiten mit der Konvergenz von IT- und OT-Systemen. Es entstehen neue Schwachstellen, wenn industrielle Systeme mit Cloud-Services, Remote-Zugriffspunkten und externen Partnernetzwerken verbunden werden«, weiß Michael Metzler, Vice President Horizontal Management Cybersecurity für Digital Industries bei Siemens.

Im Gespräch: Wen der Löwe frisst

Adrian Pinter verantwortet den Bereich Cybersicherheit in der Region EMEA bei Siemens.

Vor welchen Herausforderungen stehen Anlagen- und Infrastrukturbetreiber in der Industrie hinsichtlich Cybersicherheit?

In der Industrie und beispielsweise auch in der Energiewirtschaft denkt man in anderen Zeiträumen. Wenn wir dort über Cybersecurity sprechen, dann geht es um robuste Anlagen, die bis zu 30 Jahre alt sein können. Wenn etwas vorfällt, kann diese Operational Technology (OT) nicht einfach ausgetauscht werden. Auch Stillstandzeiten sind in der Industrie kaum möglich: In der Regel muss die Infrastruktur vor Ort rund um die Uhr funktionieren.

Während nun Mitarbeitende in den Büros zum Beispiel hinsichtlich Phishing-Attacken am Computerarbeitsplatz geschult werden können, ist die Arbeitsplatzsituation in der Fertigung völlig anders. In der Pharmaindustrie, in der Medizintechnik oder auch in der Automobilbranche, Luft- und Raumfahrt haben wir keine einheitliche IT, sondern unterschiedlichste Maschinen, die abgesichert werden müssen. Sicherheit dort wird teilweise in Bruchteilen von Sekunden gemessen – etwa für Notabschaltungen von Maschinen. Doch auch in diesen Bereichen gibt es Normen und Regularien wie NIS2, Cyber Resilience Act (CRA) oder die kommende EU-Maschinenverordnung, an denen sich Unternehmen bei Sicherheitsmaßnahmen orientieren können.

Welche Bedrohungen schlagen in der Industrie besonders durch?

Die Methoden verändern sich ständig, aber Hauptangriffsvektor bleibt der Mensch. Deshalb sind Schulungen und Awareness-Maßnahmen immer wichtig, auch für Nutzer*innen, die an einem Industrie-PC arbeiten. Spätestens seit dem Computerwurm Stuxnet wissen wir, dass auch die OT in der Industrie gezielt angegriffen wird. In jedem Produkt gibt es Schwachstellen – ich nehme da keinen Hersteller aus. Siemens geht mit dem Thema Cybersecurity sehr offen um – auch als Mitglied der „Charter of Trust“, die herstellerübergreifend Vertrauen in die Cybersicherheit aufbaut und die Digitalisierung vorantreibt.

Als größte Bedrohung sehe ich vor allem, wenn mein Unternehmen am wenigsten geschützt wäre. Cybercrime funktioniert in der Regel wie die Natur: Der Schwächste, der Langsamste wird vom Löwen gefressen.

Was treibt generell Investitionsbereitschaft in Sicherheitsmaßnahmen? Welche Fehler sollten vermieden werden?

Wichtig bei allen Maßnahmen ist die Einschätzung des Risikos einer Schwachstelle. Wo ist die Komponente verbaut? Gibt es einen Zugriff von außen darauf? Was wäre ein möglicher Schaden für das Unternehmen? Die Risikobewertung ist dann das Produkt aus den Faktoren Eintrittswahrscheinlichkeit und Auswirkung.

Doch auch die beste Sicherheitstechnik hilft nur wenig, wenn diese nicht richtig bedient wird. Ich empfehle dazu auch die Anpassung von Sicherheitsmaßnahmen in der Praxis, damit Menschen diese nicht umgehen, sondern tatsächlich nutzen. So wird man in einer Bäckerei auf eine Zwei-Faktor-Authentifizierung via Codeeingabe bei Maschinen für Teigwaren verzichten, wenn die Bedienung ständig an verschmutzten Displays scheitern würde und stattdessen eine andere Authentifizierungs-Möglichkeit zum Beispiel mittels RFID-Karte wählen. Denn in der Praxis finden Menschen stets einen Weg um Dinge, die als nicht sinnvoll gesehen werden.