Kritische Infrastrukturen

Ten­ab­le, das Cyber Expo­sure Unter­neh­men, ver­öf­fent­licht einen neu­en Report: „Cyber­se­cu­ri­ty in Ope­ra­tio­nal Tech­no­lo­gy: 7 Insights You Need To Know“ ist eine unab­hän­gig durch­ge­führ­te Stu­die des Pone­mon Insti­tu­te und zeigt das tat­säch­li­che Aus­maß der Cyber­at­ta­cken, denen Betrei­ber kri­ti­scher Infra­struk­tu­ren gegen­über­ste­hen. Betrof­fe­ne sind Unter­neh­men, die Indus­tri­al Con­trol Sys­tems (ICS) und Ope­ra­tio­nal Tech­no­lo­gy (OT) nut­zen. Zen­tra­le Ergeb­nis­se: 90 Pro­zent der Befrag­ten geben an, dass ihre Umge­bun­gen in den ver­gan­ge­nen zwei Jah­ren min­des­tens ein­mal einem Cyber­an­griff aus­ge­setzt waren, 62 Pro­zent ver­zeich­ne­ten sogar zwei oder mehr Atta­cken.

Wei­te­re Stu­di­en­ergeb­nis­se sind unter ande­rem: Der Man­geln­der Ein­blick in die Angriffs­ober­flä­che: 80 Pro­zent der Teil­neh­mer wis­sen nicht genau, wel­che Sys­te­me Teil ihrer IT Umge­bun­gen sind. Die­se feh­len­de Trans­pa­renz sei das größ­te Hin­der­nis, um geschäfts­schä­di­gen­de Cyber­an­grif­fe zu ver­hin­dern. Der Per­so­nal­man­gel und die manu­el­len Pro­zes­se brem­sen das Schwach­stel­len­ma­nage­ment aus: Die Befrag­ten nen­nen feh­len­des Per­so­nal (61 Pro­zent) und die Abhän­gig­keit von manu­el­len Pro­zes­sen (55 Pro­zent) als größ­te Hür­de, um Schwach­stel­len durch geziel­tes Schwach­stel­len­ma­nage­ment zu bewer­ten und zu behe­ben. Das Enga­ge­ment der Unter­neh­mens­lei­tung ist ent­schei­dend: 70 Pro­zent der Teil­neh­mer sehen eine bes­se­re Kom­mu­ni­ka­ti­on mit den Ent­schei­dungs­trä­gern und dem Vor­stand als ein Haupt­ziel im Jahr 2019.

IT und OT sind in der digi­ta­len Ära längst eins gewor­den. Doch eröff­net die­se Anbin­dung der zuvor iso­lier­ten OT Sys­te­me ver­schie­de­ne Angriffs­mög­lich­kei­ten. Die im Rah­men der Pone­mon Stu­die durch­ge­führ­te Befra­gung von OT- und ICS-Exper­ten bestä­tigt, dass kri­ti­sche Infra­struk­tu­ren tat­säch­lich stän­dig gefähr­det sind.

Die Zustän­di­gen für das Manage­ment kri­ti­scher Sys­te­me in Pro­duk­ti­on oder Trans­port­we­sen, geben fast ein­hel­lig zu Pro­to­koll, dass sie regel­mä­ßig Cyber­an­grif­fe abweh­ren müs­sen“, stellt Eit­an Gold­stein, Seni­or Direc­tor of Stra­te­gic Initia­ti­ves bei Ten­ab­le, fest. „Unter­neh­men brau­chen des­halb Ein­bli­cke in ihre kon­ver­gen­ten IT/OT Umge­bun­gen. Sie müs­sen nicht nur wis­sen, wel­che Schwach­stel­len es gibt, son­dern auch wie die­se zu prio­ri­sie­ren und zu behe­ben sind. Die Sicher­heits­her­aus­for­de­run­gen kon­ver­gen­ter IT/OT-Sys­te­me kön­nen die jewei­li­gen Teams für kri­ti­sche Infra­struk­tu­ren und Cyber­si­cher­heit nur gemein­sam ange­hen.“