Mit der Einführung des NIS2-Umsetzungsgesetzes und des KRITIS-Dachgesetzes steht die Cybersicherheitslandschaft vor bedeutenden Veränderungen. Diese neuen Regularien erweitern den Kreis der betroffenen Unternehmen auf über 30.000. Insbesondere Betreiber von Industrieanlagen und Rechenzentren müssen ihre Sicherheitsmaßnahmen überdenken und anpassen. Doch wie können Unternehmen in der Operational Technology (OT) den strengeren Vorgaben gerecht werden? Die Kompetenzgruppe KRITIS im Eco Verband gibt neun konkrete Tipps.

Herausforderungen in der OT-Sicherheit

Operational Technology (OT) bezieht sich auf Systeme zur Steuerung und Überwachung industrieller Prozesse. Diese Systeme sind oft Jahrzehnte im Einsatz und wurden ursprünglich ohne moderne Cybersecurity-Methoden entwickelt. Aufgrund ihrer langen Lebensdauer und der Herausforderungen bei der Implementierung neuer Sicherheitsstandards sind OT-Systeme beliebte Ziele für Cyber-Angriffe. Angesichts der neuen Anforderungen durch das KRITIS-Dachgesetz und das NIS2-Umsetzungsgesetz müssen Unternehmen ihre Sicherheitsstrategien dringend überarbeiten.

Auswirkungen des NIS2-Umsetzungsgesetzes

Mit der Einführung des NIS2-Umsetzungsgesetzes in Deutschland werden zahlreiche neue Organisationen unter die Regulierung fallen. Darunter auch Produktionsanlagen mit ausgeprägter OT-Umgebung, die bisher nicht als kritische Infrastrukturen galten. Die Anforderungen an die Cybersicherheit werden dadurch deutlich anspruchsvoller. Bei Verstößen gegen Pflichten wie mangelnder Umsetzung von Sicherheitsmaßnahmen oder versäumten Melde- und Registrierungsfristen drohen empfindliche Bußgelder und vor allem persönliche Haftungsrisiken für die Geschäftsleitungen“.

Neun Tipps für mehr Sicherheit in der OT

Um den neuen Anforderungen gerecht zu werden, empfiehlt die Kompetenzgruppe KRITIS folgende Maßnahmen:

1. Identifikation von Schwachstellen und Bedrohungen in OT-Systemen: Regelmäßige Risikoanalysen sind essenziell, um aktuelle und potenzielle Sicherheitslücken zu erkennen und zu bewerten. Ein Beispiel hierfür ist die Durchführung von Penetrationstests, um die Verwundbarkeit der Systeme zu überprüfen.
2. Netzwerksegmentierung: IT- und OT-Netzwerke sollten voneinander getrennt werden, um die Angriffsfläche zu minimieren. Innerhalb der OT-Netzwerke ist eine weitere Segmentierung notwendig, um im Falle eines Angriffs den Schaden zu begrenzen. Hierbei können Virtual Local Area Networks (VLANs) eingesetzt werden, um unterschiedliche Netzwerkbereiche zu isolieren.
3. Härtung von OT-Systemen: Unnötige Dienste und Ports auf OT-Geräten sollten deaktiviert werden. Nur autorisierte Anwendungen und Benutzer dürfen auf diese Systeme zugreifen können. Dies kann durch den Einsatz von Whitelisting-Technologien erreicht werden.
4. Sicherheits-Updates und Patch-Management: OT-Systeme müssen regelmäßig auf den neuesten Stand gebracht werden. Unternehmen sollten Verfahren entwickeln, um kritische Updates zeitnah zu installieren, beispielsweise durch geplante Wartungsfenster oder den Einsatz redundanter Systeme zur Minimierung von Ausfallzeiten.
5. Zugangskontrolle und Authentifizierung: Starke Zugangskontrollmechanismen sind unerlässlich. Multi-Faktor-Authentifizierung (MFA) sollte verwendet werden, und nur autorisierte Benutzer dürfen Zugang zu OT-Systemen haben. Hierbei können Biometrische Authentifizierungsmethoden wie Fingerabdruck- oder Iriserkennung zusätzliche Sicherheit bieten.
6. Schulung und Sensibilisierung der Mitarbeiter: Regelmäßige Schulungen zu Cybersecurity-Best Practices sind Pflicht. Alle Mitarbeiter, die mit OT-Systemen arbeiten, müssen über aktuelle Bedrohungen und Schutzmaßnahmen informiert sein. Rollenspezifische Schulungen können sicherstellen, dass jeder Mitarbeiter entsprechend seiner Funktion optimal vorbereitet ist.
7. Überwachung und Incident Response: Kontinuierliche Überwachungs- und Erkennungsmechanismen für OT-Netzwerke sind zu implementieren. Um schnell auf Sicherheitsvorfälle reagieren zu können, sind Incident-Response-Pläne zu entwickeln und regelmäßig zu testen. Tools zur Echtzeitüberwachung wie Security Information and Event Management (SIEM) können hierbei unterstützen.
8. Sicherheitsrichtlinien und -verfahren: Es müssen klare Sicherheitsrichtlinien und -verfahren für den Betrieb und die Wartung von OT-Systemen existieren. Alle Mitarbeiter müssen diese Richtlinien verstehen und befolgen. Regelmäßige Audits und Reviews können helfen, die Einhaltung sicherzustellen.
9. Zusammenarbeit und Informationsaustausch: Unternehmen sollten die Zusammenarbeit und den Informationsaustausch mit anderen Unternehmen und Behörden fördern. Plattformen wie das Computer Emergency Response Team (CERT) können wertvolle Informationen über aktuelle Bedrohungen und Sicherheitsvorfälle bereitstellen.
   

Fazit NIS2 und OT

Die Einführung des NIS2-Umsetzungsgesetzes und des KRITIS-Dachgesetzes stellt Unternehmen vor neue Herausforderungen in der Cybersicherheit ihrer OT-Systeme. Durch die Umsetzung der neun Tipps der Kompetenzgruppe KRITIS können Unternehmen ihre Sicherheitsstrategien verbessern und sich gegen die zunehmenden Bedrohungen wappnen. Angesichts der steigenden Zahl regulierter Unternehmen und der strengen Anforderungen an die Cybersicherheit ist es entscheidend, proaktiv zu handeln und die Resilienz der kritischen Infrastrukturen zu stärken.