15.10.2024Interview

NIS-2 und die Auswirkungen für die Industrie

Diplominformatiker Paul Arndt spricht über die Auswirkungen von NIS-2 für Industrieunternehmen.

Welche Auswirkungen hat NIS-2 für Industrieunternehmen? Dazu spricht Diplominformatiker Paul Arndt und erklärt, welche Präventionsmaßnahmen zu empfehlen sind.

DMB: Mit welchen aktuellen Problemen sind Unternehmen bei der IT-Sicherheit konfrontiert?

Arndt: Viele Unternehmen, vor allem im Mittelstand, stehen vor der Herausforderung, dass ihre IT-Systeme zunehmend komplexer und damit anfälliger für Cyberangriffe werden. Neben technischen Herausforderungen sehen wir das größte Problem in einem mangelnden Bewusstsein für Cybersicherheitsrisiken, insbesondere in Bezug auf Systeme, die über den Fokus der klassischen IT hinaus reichen, typischerweise die sogenannte OT (Operatinal Technology), z.B. Anlagensteuerungen zum Betrieb von Produktionsanlagen. Cybersicherheit ist in vielen Organisationen ein Thema das organisatorisch in der IT verankert ist und auch im Wesentlichen als ein IT-Problem betrachtet wird. Diese Einschätzung ist heute allerdings nicht mehr zu halten. Cybersicherheitsvorfälle können in unserer modernen digitalisierten Welt quasi überall auftreten wo Technik oder Menschen im Einsatz sind und dort, wo sie unerwartet auftreten, sind sie oft besonders verheerend, da es an Vorbereitungen zur Eingrenzung und Wiederherstellung mangelt.

 

Welche Erfahrung konnten Sie im Industriebereich machen? Wo sollten Industrieunternehmen als Erstes bei ihrer IT-Sicherheit ansetzen?

Im Industriebereich zeigt sich, dass Cybersicherheit oft als nachgelagerter Prozess betrachtet wird. Die Sicherheitsvorkehrungen hinken der Entwicklung der Technologie hinterher. Sicherheit im Produktionsumfeld war lange gleichbedeutend mit physischer Sicherheit, Zäune, Kameras und ein Werksschutz sind in diesem Kontext die typischen und wirksamen Maßnahmen. Mit zunehmender Digitalisierung im Produktionsumfeld werden auch hier viele Probleme akut, die sich mit diesen Maßnahmen nicht adressieren lassen. Zudem fehlen in diesem Bereich oft klare Verantwortlichkeiten und interne Expertise für das Thema Cybersicherheit. Phishing, Ransomware-Angriffe und Insider-Bedrohungen sind auch hier ein großes Risiko.

Der erste Schritt sollte immer eine systematische Ermittlung der Risiken sein. Ein solches Risiko-Assessment ist nicht übermäßig aufwendig, schafft aber Gewissheit, wo die Schwerpunkte der Aktivitäten liegen sollten. Als zweiter Schritt sollten alle Handlungen in diesem Umfeld systematisiert werden und durch entsprechende Prozesse dokumentiert werden. Systematik ist der beste Freund der Cybersicherheit, Angreifer brauchen Schwachstellen, ein systematisches und wohlüberlegtes Vorgehen vermeidet deren Entstehung. Wichtige technische Maßnahmen, die angegangen werden sollten, sind typischerweise die Segmentierung der Netzwerke und die Einführung von Multi-Faktor-Authentifizierung.

 

Welche Auswirkungen hat dabei NIS-2?

Die NIS-2-Richtlinie (Netzwerk- und Informationssicherheit) stellt eine erhebliche Verschärfung der bisherigen Anforderungen an die Cybersicherheit in der Industrie dar. Sie verlangt von Unternehmen, stärkere Maßnahmen zu ergreifen, um ihre Netzwerke und Systeme gegen Cyberangriffe abzusichern. Betroffen sind nicht nur große Unternehmen, sondern auch zahlreiche mittelständische Betriebe, die als kritische Infrastruktur gelten. NIS-2 fordert nicht nur technische Sicherheitsvorkehrungen, sondern auch organisatorische Maßnahmen wie die regelmäßige Schulung der Mitarbeiter, Risikobewertungen und die Einrichtung von Notfallplänen. Unternehmen müssen zudem schneller und detaillierter über Sicherheitsvorfälle berichten, was den Druck auf die IT-Abteilungen weiter erhöht.

 

Welche Stärken und Schwächen bei der Regulatorik schätzen Sie für die praktische Umsetzung in der Industrie ein?

Eine der Stärken der NIS-2 ist, dass die Richtlinie Unternehmen zwingt, sich intensiv mit ihrer IT-Sicherheit auseinanderzusetzen und Sicherheitsstandards zu erhöhen. Zwar ist Cybersicherheit, die durch Compliance-Vorgaben erzwungen wird, weniger wünschenswert als Maßnahmen, die aus dem Bewusstsein der Notwendigkeit resultieren, doch kann Zwang in Bezug auf Risiken manchmal ein unvermeidbares Übel sein. Als Beispiel lässt sich hier die KFZ-Haftpflichtversicherung nennen, auch wenn potenziell ruinöse Schäden auftraten, können, würde sicher nicht jeder Fahrzeughalter sein Fahrzeug freiwillig versichern. Der Fokus auf Risikomanagement und Notfallpläne ist positiv zu bewerten. Eine Schwäche könnte jedoch die Umsetzungsgeschwindigkeit sein. Viele Unternehmen haben Schwierigkeiten, die komplexen Anforderungen in ihre bestehenden Strukturen zu integrieren. Vor allem mittelständische Betriebe könnten durch die neuen Vorgaben personell und finanziell überfordert sein, da sie oft nicht die Ressourcen haben, um spezialisierte IT-Sicherheitsexperten zu beschäftigen oder große Investitionen in neue Systeme zu tätigen.

 

Welche Maßnahmen sollten Industrieunternehmen über regulatorische Anforderungen hinaus umsetzen?

Neben den regulatorischen Anforderungen wie der NIS-2 sollten Unternehmen präventiv agieren und nicht nur auf Mindeststandards setzen. Regelmäßige Penetrationstests und die kontinuierliche Überwachung der Systeme sind essenziell, um potenzielle Schwachstellen frühzeitig zu erkennen. Außerdem sollten Unternehmen in die Weiterbildung ihrer Mitarbeiter investieren, denn menschliches Fehlverhalten ist oft der Auslöser von Sicherheitsvorfällen. Ein weiterer wichtiger Punkt ist der Aufbau einer Zero-Trust-Architektur. Das bedeutet, dass kein System oder Benutzer automatisch als vertrauenswürdig eingestuft wird. Stattdessen müssen sich alle Komponenten und Nutzer ständig authentifizieren und autorisieren, bevor sie auf Ressourcen zugreifen dürfen.

 

Wie unterstützt Orban Consulting bei diesen Herausforderungen?

Orban Consulting unterstützt Unternehmen dabei, ihre Cybersicherheitsmaßnahmen effizient und nachhaltig zu verbessern. Wir bieten maßgeschneiderte Sicherheitslösungen, die auf den spezifischen Bedarf des jeweiligen Unternehmens zugeschnitten sind. Dabei setzen wir auf einen ganzheitlichen Ansatz, der sowohl technische als auch organisatorische Aspekte berücksichtigt. Zu unseren Leistungen gehören die Durchführung von Sicherheitsanalysen, die Entwicklung von Sicherheitsstrategien sowie die Implementierung von Lösungen wie Netzwerksegmentierung und Zero-Trust-Architekturen. Darüber hinaus bieten wir Schulungen für Mitarbeiter an und begleiten Unternehmen bei der Einhaltung von Vorschriften wie der NIS-2.

 

Vielen Dank für das Gespräch, Herr Arndt!

 

Mehr zu diesen Themen