Jenseits der Fabrik: Warum Risiken in der Betriebstechnik allgegenwärtig sind

Von Phil Muncaster • 17 August 2023

Wenn eine berichten Nachdem im vergangenen Jahr 56 neue Schwachstellen in den Produkten von zehn Anbietern von Betriebstechnologie (OT) aufgedeckt wurden, begrüßten Experten dies als Weckruf für die Branche. Die Studie verdeutlichte ein weit verbreitetes Problem bei OT-Geräten: den Bedarf an grundlegenderen Best Practices für „Security by Design“. Die Tatsache, dass drei Viertel der als Schwachstellen eingestuften Produkte über gültige Sicherheitszertifizierungen verfügten, sollte bei IT-/OT-Managern für weitere Nervosität sorgen.

Das Fazit ist, dass die im Bericht hervorgehobenen Probleme so tiefgreifend sind, dass es unwahrscheinlich ist, dass sie in absehbarer Zeit branchenweit gelöst werden. Das bedeutet, dass die Sicherheitsprogramme des Unternehmens dafür verantwortlich sind, sicherzustellen, dass das OT-Risiko mit der gleichen Liebe zum Detail gemanagt wird wie die IT.

Das Was und Warum von OT

Während IT-Systeme Informationen und Anwendungen verwalten, umfasst OT die Hardware und Software, die zur Überwachung und Steuerung der physischen Welt verwendet wird. Es kann alles sein, von einem Geldautomaten über ein industrielles Steuerungssystem (ICS), einen Fabrikroboter bis hin zu einer speicherprogrammierbaren Steuerung (SPS). Die Technologie ist am offensichtlichsten in der Fabrikhalle zu finden. Aber es erstreckt sich über eine Vielzahl von Branchen hinaus, die über das verarbeitende Gewerbe hinausgehen, darunter Gesundheitswesen, Öl und Gas, Versorgungsunternehmen und Transportwesen.

In der Vergangenheit waren OT-Systeme nicht mit dem Internet verbunden, und die Geräte waren in der Regel speziell angefertigte Geräte, auf denen spezielle Software lief. Das bedeutete, dass Sicherheit als Nebensache behandelt wurde. Allerdings verfügen die meisten Geräte heutzutage über Konnektivität, sodass Angreifer sie aus der Ferne auf Schwachstellen untersuchen können. Gleichzeitig läuft oft Windows oder andere kommerzielle Software. Das macht es zu einem attraktiven Ziel.

Da OT physische Prozesse kontrolliert, könnten Sicherheitsverletzungen es Angreifern ermöglichen, kritische Vorgänge zu sabotieren oder zu stören. Anfällige Endpunkte können sogar als Sprungbrett in IT-Netzwerke für den Diebstahl sensibler Daten genutzt werden. Eins 2022 Bericht behauptet, dass 83 % der Unternehmen in den letzten 36 Monaten einen OT-Verstoß erlitten haben. Nach Angaben von McKinsey, können die Kosten pro Vorfall bei schweren Angriffen bis zu 140 Millionen US-Dollar betragen. Unternehmen müssen nicht nur finanzielle Risiken berücksichtigen. OT wird auch durch die reguliert NIS-2-Richtlinie und ihr britisches Äquivalent.

Was sind die Risiken?

Der spezielle Charakter von OT bedeutet, dass Systeme bestimmten Cyberrisiken ausgesetzt sind, die für IT-Umgebungen möglicherweise nicht gelten. Sie beinhalten:

Verwendung veralteter, unsicherer Kommunikationsprotokolle
Anbieter, die dem Schwachstellenmanagement nicht genügend Aufmerksamkeit schenken
Hardware-Lebenszyklen von mehr als 10 Jahren bedeuten, dass Administratoren gezwungen sind, veraltete Betriebssysteme/Software auszuführen
Herausforderungen beim Patchen, da Geräte oft nicht offline geschaltet werden können, um Updates zu testen (selbst wenn diese verfügbar sind)
Geräte, die zu alt sind, um moderne Sicherheitslösungen einzusetzen
Sicherheitszertifizierungen, die schwerwiegende Mängel nicht erkennen, vermitteln Administratoren ein falsches Sicherheitsgefühl
Security-by-Design-Probleme, die nicht gemeldet/CVEs zugewiesen werden, was bedeutet, dass sie unter dem Radar bleiben
Isolierte IT/OT-Teams, die zu Lücken in der Sichtbarkeit, beim Schutz und bei der Erkennung führen können
Unsichere Passwörter und Fehlkonfigurationen (obwohl dies auch in IT-Umgebungen häufig vorkommt)

Aus technischer Sicht ist die Forescout-Bericht Die zuvor zitierte Studie hebt mehrere Kategorien von Schwachstellen in vielen OT-Produkten hervor:

Unsichere technische Protokolle
Schwache Kryptografie oder fehlerhafte Authentifizierungsschemata
Unsichere Firmware-Updates
Remote Code Execution (RCE) über native Funktionalität

So mindern Sie das Risiko von OT-Systemen

Im Hinblick auf die IT-Sicherheit ist eine umfassende Verteidigung der beste Weg, das OT-Cyber-Risiko zu mindern. Laut Carlos Buenano, Principal Solutions Architect für Operational Technology (OT) bei Armis, beginnt es mit der Sichtbarkeit der OT-Ressourcen und dem anschließenden sofortigen Patchen.

„Da OT-Umgebungen häufig über anfällige Assets verfügen, müssen Unternehmen ein umfassendes Asset-Inventar ihres Netzwerks erstellen und über zusätzliche Informationen darüber verfügen, um welche Assets es sich handelt und was sie tatsächlich tun“, sagt er gegenüber ISMS.online. „Kontextdaten ermöglichen es Teams, zu definieren, welches Risiko jedes Gerät für die OT-Umgebung darstellt, und ihre geschäftlichen Auswirkungen zu bewerten, sodass sie die Behebung kritischer und/oder bewaffneter Schwachstellen priorisieren können, um die Angriffsfläche schnell zu reduzieren.“

Hier ist eine kurze Checkliste für Organisationen:

Asset-Erkennung/-Management: Sie können nicht schützen, was Sie nicht sehen können. Verstehen Sie also das volle Ausmaß von OT im Unternehmen.

Sofortiges Patchen und kontinuierliches Scannen: OT-Assets sollten kontinuierlich auf Schwachstellen überprüft werden, sobald sie entdeckt werden. Und ein risikobasiertes Patching-Programm stellt sicher, dass CVEs effektiv priorisiert werden. Erwägen Sie den Aufbau einer unkritischen Testumgebung für Patches. Und wenn bestimmte Assets nicht gepatcht werden können, ziehen Sie Alternativen in Betracht, z virtuelles Patchen, Netzwerksegmentierung, SIEM und Integritätsüberwachung.

Identitäts- und Zugriffsverwaltung: Stellen Sie rollenbasierte Zugriffskontrollen bereit, befolgen Sie das Prinzip der geringsten Rechte und unterstützen Sie die Multi-Faktor-Authentifizierung (MFA).

Segmentierung: Trennen Sie Unternehmens- und OT-Netzwerke und segmentieren Sie OT-Netzwerke, um die Verbreitung von Malware einzudämmen.

Bedrohungsprävention: Setzen Sie Kontrollen wie Intrusion Detection (IDS), AV-Software und Tools zur Überprüfung der Dateiintegrität ein, um Malware zu verhindern und zu erkennen.

Verschlüsselung und Backup: Schützen Sie OT-Daten im Ruhezustand und während der Übertragung und verfügen Sie über Backups, um die Auswirkungen von Ransomware abzuschwächen.

Aufbrechen von IT-OT-Silos

Da OT- und IT-Systeme in vielen Unternehmen zusammenwachsen, werden Bedrohungen, die einst auf die IT beschränkt waren, wie z. B. Remote-Kompromittierung, für industrielle Systeme immer häufiger. Um solche Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren, ist daher eine stärkere Interaktion zwischen IT- und OT-Teams erforderlich. OT-Teams können viel aus den Erfahrungen lernen, die die IT im Laufe der Jahre in diesem Bereich gesammelt hat Sicherheitskontrollen, und beide haben ein begründetes Interesse an der Geschäftskontinuität.

„Durch die Zusammenarbeit können IT- und OT-Teams Cybersicherheitsrisiken identifizieren und mindern, die sowohl IT- als auch OT-Umgebungen betreffen, und so das Unternehmen vor Cyberangriffen schützen“, sagt Bharat Mistry, technischer Direktor von Trend Micro UK & Ireland, gegenüber ISMS.online. „Darüber hinaus wird die Zusammenarbeit zwischen den Teams die Effizienz der Sicherheitsbetriebsteams verbessern und letztendlich dazu beitragen, die Kosten zu senken.“

Aus Compliance-Sicht erfordert dies möglicherweise, dass die Organisation über die Grenzen von ISO 27001 hinausgeht und ergänzende Zertifizierungen im OT-Bereich anstrebt.

„Wir sehen Frameworks wie ISO 27001 werden in der Unternehmens-IT und in maßgeschneiderten oder maßgeschneiderten Frameworks wie IEC 62443 für OT verwendet“, erklärt Mistry. „Auf dem Papier gibt es einige Überschneidungen zwischen diesen, aber in Wirklichkeit sind diese Frameworks Ausgangspunkte und werden oft an die Umgebung der Organisation angepasst.“

Letztlich sei es im Interesse aller, zusammenzuarbeiten, sagt Buenano von Armis.

„Aus organisatorischer Sicht muss ein risikobasierter Ansatz für das Schwachstellenmanagement mit der Zusammenarbeit von OT- und IT-Abteilungen einhergehen, um die Abhilfemaßnahmen zu koordinieren“, schließt er. „Abteilungsübergreifende Projekte werden dazu beitragen, das Prozess- und Ressourcenmanagement zu optimieren und mehr Compliance und Datensicherheit zu erreichen.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 3 Februar 2026

Betrugsmeldungen im Zusammenhang mit dem WEF-Bericht sind mittlerweile die größte Cybersicherheitssorge von CEOs, aber nicht die einzige.

WEF-Bericht: Betrug ist mittlerweile die größte Cyber-Sorge von CEOs, aber nicht die einzige

Fünf Jahre sind eine lange Zeit in der Cybersicherheit. Doch genau so lange befragt das Weltwirtschaftsforum (WEF) bereits CEOs für seine globale Cybersicherheitsinitiative.

Phil Muncaster

Internet-Sicherheit 27 Januar 2026

Datenschutz ist wichtig: Was Compliance-Teams im Jahr 2026 erwarten können

Der 28. Januar ist der Welttag des Datenschutzes – ein Anlass, das Recht auf Datenschutz und Datensicherheit zu feiern, das viele von uns heute als selbstverständlich ansehen. Es war…

Phil Muncaster

Internet-Sicherheit 20 Januar 2026

Blogbeitrag zur Schließung der KI-Governance-Lücke gemäß ISO 42001

Schließung der Lücke in der KI-Governance mit ISO 42001

Großbritannien hat ein Problem mit der KI-Governance. Vor einigen Jahren wäre das vielleicht kein Problem gewesen, als Projekte in den meisten Organisationen noch lückenhaft umgesetzt wurden. Aber heute…

Phil Muncaster