In den Unternehmen wachsen die OT- und IT-Netze immer stärker zusammen. Das vergrößert jedoch die Angriffsfläche und rückt Produktionsmaschinen ins Visier von Hackern. Karl Freundsberger, Country Manager des Security-Spezialisten Fortinet in Österreich, spricht im Interview über Awareness in den heimischen Unternehmen und darüber, wie sie sicherer werden können. [...]
Industrieunternehmen in Österreich sind auf dem Weg zur digitalen Transformation. Sie vernetzen Systeme und Maschinen, um mithilfe von Daten die Effizienz zu steigern und tiefere Einblicke in Produktionsprozesse zu gewinnen. Laut einer aktuellen Studie von Fortinet und Forrester Consulting setzen bereits 66 Prozent der Befragten IP-verbundene Netzwerke in der Produktion ein. Dieser Trend erhöht jedoch das Risiko, Ziel von Hackern zu werden. Laut Karl Freundsberger braucht es eine zentral gesteuerte, übergreifende Security-Architektur.
Wie hoch schätzen Sie die Gefahr für heimische Unternehmen ein, Opfer eines Cyberangriffes zu werden?
Studien zeigen, das rund zwei Drittel der Unternehmen jährlich Angriffen ausgesetzt sind. Das betrifft alle Branchen und alle Unternehmensgrößen. Mittlerweile sind auch vermehrt Produktionsunternehmen im Visier der Angreifer. Die Kriminalität ist auch mittlerweile bei den OT-Netzen angekommen, weil zwei Drittel der Unternehmen eine auf IP-Netzen basierende Vernetzung haben. Wir nennen das den Air Gap. Das ist sozusagen der Burgraben, weil das meistens noch getrennte Netze sind. Aber trotzdem kommunizieren die Netze miteinander, haben aber verschieden Verantwortungen und das ist das Gefährliche daran. Die IT greift nur auf der Organisationsseite bedingt in die OT-Netze ein und meistens ist der Produktionsverantwortliche auch für die Security verantwortlich. Das ist insofern gefährlich weil das selten ein IT-Spezialist ist.
Wie hoch ist das Security-Bewusstsein in den Unternehmen?
Die Verantwortlichen beginnen zu verstehen, dass nicht nur die IT sicher sein muss sondern auch die OT. Gerade in diesem Bereich muss die Awareness bei den Unternehmen geschaffen werden, denn sie müssen innovativ sein und müssen die Qualität in der Produktion hoch halten. Diese Innovation muss aber abgesichert werden. Die Anlagen sind vernetzt, damit man mit den Echtzeit-Betriebsdaten Produktentscheidungen, Investitionsentscheidungen treffen kann und auch um die Produktionspläne jederzeit zur Verfügung zu haben.
Weiters geht es um die Wartung, die teilweise an Fremdfirmen ausgelagert ist. Diese wiederum müssen die Wartungszyklen mit den Betriebsdaten abgleichen. Dementsprechend greifen in den Unternehmen auswärtige Stellen auf die Betriebsdaten zu. Dazu kommen noch externe Lieferanten und Partner, die auf die Netze und die Daten zugreifen. Das bedeutet, man muss hier eine große Awareness schaffen. Aber das dringt mittlerweile durch. Es gibt den Wunsch der Firmen, dass der CISO in der Rolle des Security-Experten auch auf die OT-netze zugreifen soll.
Nicht jedes Unternehmen kann sich einen CISO leisten, vor allem KMU nicht.
Wir haben Partner, die sich darauf spezialisiert haben »CISO as a Service« anzubieten. Also Unternehmen, die nicht das Budget für einen Fulltime-CISO haben können sich Expertise in diesem Bereich zukaufen. Diese sind natürlich zertifiziert, um den Erwartungen des Kunden entsprechen zu können.
Die zweite Möglichkeit ist, sich gemeinsam die Netze und Security-Themen bei den Kunden genau anzusehen. Das ist keine Rocket-Science. Fortinet hat dazu ein fünfstufiges Herangehen entwickelt. Die erste Stufe ist relativ simpel, nämlich Sichtbarkeit erzeugen. Die Produktionsnetze sind sehr oft mit älteren Computern ausgestattet, die die Maschinen steuern. Da arbeitet man teilweise noch mit Windows-Rechnern, für die es keinen Support mehr gibt. Im ersten Step, der »Installed base«-Erhebung, geht es also darum den Status quo zu erheben und alles auzuflisten, was sich im Netz befindet, und auch zu prüfen, ob vielleicht schon eine Malware im System ist. Viele Produktionsunternehmen haben hier noch keine Transparenz, weil die Systeme historisch gewachsen, erweitert und modernisiert worden sind.
Welche sind die weiteren Schritte, die Sie empfehlen?
Netzwerkzonen bilden, Zugang kontrollieren, alle Geräte und Anwendungen umfassend sichern und auf eine integrierte und automatisierte Security setzen. Sichtbarkeit, Segmentierung und kontrollierter Zugang sind die Grundvoraussetzungen um OT und IT zu kombinieren. Nur so ist Sicherheit und damit in Folge echter Mehrwert für das gesamte Unternehmen zu gewährleisten. Unsere Lösung in diesem Spannungsfeld von OT und IT heißt Fortinet Security Fabric und ist eine einheitliche, integrierte und automatisierte Security-Architektur. Bedrohungen werden durch die integrierte, KI-gesteuerte Bedrohungsabwehr im Keim erstickt und die Komplexität mit automatisierter Orchestrierung verringert.
Der große Vorteile der Fortinet Security Fabric ist, dass wir den Kunden sagen können, dass sie in der OT mit den gleichen Oberflächen, den gleichen Protokollen arbeiten können wie in der IT. Das bedeutet auch, dass die Bedrohungen, die auf das IT-Netz zugreifen und abgewehrt werden auch im OT-Netz besser erkannt werden. Wir haben weltweit 6 Millionen Boxen installiert, die Angriffe bzw. Bedrohungen analysieren und zurücksenden. Wir bearbeiten sie und spielen sie zurück auf alle Boxen, die in der Folge immer auf dem aktuellen Stand sind. Und das kommt auch den OT-Netzen in den Unternehmen zugute.
Sind die Bedrohungen während der COVID-19-Krise größer bzw. mehr geworden und wie wird sich die Security-Situation verändern?
Digitalisierung wird aufgrund der derzeitigen Situation einen riesigen Push erfahren und Security ist dabei ein zentrales Element. Das für mich noch ein wenig Alarmierende ist, dass viele Kunden über die Bedrohungen Bescheid wissen und trotzdem nur 50 Prozent der Unternehmen bereit sind, in den nächsten 12 Monaten in OT-Security zu investieren. Es muss was passieren. Wenn die Awareness da ist werden auch meistens Budgets freigeschaufelt, weil man begriffen hat, dass es nicht nur um Ausfallsicherheit geht, sondern um Produktionssicherheit. Hier reden wir auch von physischem Schaden. Eine Maschine kann ja zum Beispiel auch während der Wartung in Betrieb genommen werden und das ist mitunter lebensbedrohend. Awareness ensteht leider meist aus einem Anlass. Aber sie ist auch Teil der IT-Branche und wir fördern sie bei den Kunden mit Events und Workshops. Wir wollen die Rolle des CISO bei den Kunden stärken.
Be the first to comment