Ist Ihre OT-Software ein Risiko? So finden Sie es heraus

Umfasst Ihre OT-Cybersicherheitsstrategie regelmäßige Software- und Hardware-Updates? Wenn nicht, riskieren Sie eine Geldstrafe von EUR 10.000.000,00 oder 2 % des weltweiten Jahresumsatzes¹.

Warum? Ganz einfach. Bis Oktober 2024 müssen alle EU-Mitgliedstaaten die überarbeitete Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) in nationales Recht umsetzen. Und die neue Richtlinie sieht für Organisationen, die gegen ihre Vorschriften verstoßen, Geldstrafen von entweder EUR 10.000.000,00 oder 2 % des weltweiten Jahresumsatzes vor. Eine dieser Vorschriften besagt eindeutig, dass Organisationen, die unter die Richtlinie fallen, über Cybersicherheitsrichtlinien verfügen müssen, die Folgendes umfassen: 

„…Richtlinien zur Cyber-Hygiene, die eine gemeinsame Basis von Praktiken umfassen, einschließlich Software- und Hardware-Updates…“

Mehr Organisationen als je zuvor werden von der aktualisierten Richtlinie erfasst. Dazu gehören völlig neue Sektoren wie Telekommunikation, Chemie, Abwasser und Lebensmittel – alle gelten als entweder „wesentlich“ oder „wichtig“ für die Sicherheit und das wirtschaftliche Leben der EU. Artikel 7 der NIS-2-Richtlinie unterstreicht weiter, dass mehr Organisationen als je zuvor von der neuen Richtlinie betroffen sein werden: 

„Die nationale Cybersicherheitsstrategie soll die Stärkung der Cyber-Ausfallsicherheit und der Cyber-Hygiene-Grundlage von kleinen und mittleren Unternehmen umfassen, insbesondere von solchen, die vom Anwendungsbereich dieser Richtlinie ausgeschlossen sind …“

Fazit? Fast jede Organisation, die in der EU Betriebstechnologie einsetzt, muss sich jetzt Gedanken darüber machen, wie sie NIS-2-Richtlinie-konform wird, um die Folgen eines Verstoßes zu vermeiden.  

Warum stellen Software-Updates unter der NIS-2-Richtlinie ein Risiko dar? 

OT-Organisationen, ob Hersteller oder Infrastrukturprovider, haben oft Hunderte oder sogar Tausende von Geräten vor Ort. Ein aktueller Bericht von McKinsey schätzt, dass einige Energieanlagen bis zu 30000 vernetzte Geräte haben².

Viele dieser Geräte können auch intelligente, vernetzte Komponenten enthalten, darunter variable Frequenzumrichter, Industrieschalter, speicherprogrammierbare Steuerungen, Industrie-PCs usw. Alle diese Komponenten können auch über eigene Software und Hardware verfügen.

Auch kleinere Installationen, einschließlich solcher mit relativ kleinen Produktionsumgebungen, können Hunderte von OT-Geräten umfassen, die nicht kartiert und nicht verwaltet werden. Und wenn auch nur eines dieser Geräte veraltete Software verwendet und dies zu einer Datenpanne, einem Betriebsstillstand oder einem anderen schwerwiegenden Problem führt, ist das ein potenzieller Verstoß gegen die NIS-2-Richtlinie und kann eine anschließende Geldstrafe nach sich ziehen.

Wie Sie Risiko mindern und auf der sicheren Seite der NIS-2-Richtlinie bleiben

Der einfachste Weg, das Risiko durch veraltete Software zu mindern, ist die Zusammenarbeit mit einem IT-Cybersicherheitsspezialisten. Am besten gelingt dies mit einem Abonnement, das Wartung und Updates abdeckt.

Mit dem richtigen Wartungsabonnement erhalten Sie:

• Sofortigen Zugriff und Push-Installation der neuesten Software- und Firmware-Updates, was hilft, die dynamische Bedrohungslandschaft der OT-Cybersicherheit im Blick zu behalten. Sofortiger Zugriff auf die neuesten Software- und Firmware-Updates ist entscheidend, da so sichergestellt wird, dass Sicherheitspatches und Verbesserungen unmittelbar nach ihrer Verfügbarkeit angewendet werden. Diese Unmittelbarkeit kann das Zeitfenster für Cyberangreifer, bekannte Schwachstellen auszunutzen, erheblich verkürzen. Die Push-Installation optimiert diesen Prozess zusätzlich, indem sie die Update-Bereitstellung automatisiert und bestätigt, dass alle Geräte in der OT-Umgebung ihre höchste OT-Cybersicherheitslage beibehalten, ohne dass ein manueller Eingriff erforderlich ist. 
• Unterstützung durch branchenführende Sicherheitsexperten und Berater: Die Komplexität und Spezifität von OT-Systemen erfordert ein hohes Maß an Fachwissen, um deren einzigartige Sicherheitsherausforderungen zu bewältigen. Der Zugang zu branchenführenden OT-Sicherheitsingenieuren und -beratern bietet Organisationen einen reichen Fundus an Wissen und Erfahrung. Diese Experten können maßgeschneiderte Beratung bieten, von der strategischen Planung bis zur Reaktion auf Vorfälle, und so sicherstellen, dass Sicherheitsmaßnahmen nicht nur mit der NIS-2-Richtlinie konform sind, sondern auch mit Best Practices und den neuesten Forschungsergebnissen im Bereich der OT-Sicherheit übereinstimmen. Ihre Unterstützung kann entscheidend sein, um potenzielle Schwachstellen zu identifizieren, Strategien zur Risikominderung zu empfehlen und die allgemeine Cyber-Ausfallsicherheit von OT-Umgebungen gegenüber Cyberbedrohungen zu erhöhen.
• Tools, die das Auffinden und Absichern aller Geräte einfach und schnell machen: Diese Tools ermöglichen es Organisationen, ein aktuelles Inventar ihrer OT-Assets zu führen, deren Status in Echtzeit zu überwachen und schnell Unregelmäßigkeiten zu erkennen, die auf eine Sicherheitsverletzung hindeuten könnten. Durch die Vereinfachung des Prozesses zur Absicherung von OT-Geräten steigern diese Tools nicht nur die betriebliche Effizienz, sondern stellen auch sicher, dass alle Komponenten und Geräte, unabhängig von ihrer Rolle oder ihrem Standort im Netzwerk, angemessen geschützt sind. 

Um Sie auf die NIS-2-Richtlinie vorzubereiten, hilft Ihnen der richtige OT/IT-Berater dabei, Ihr Netzwerk zu prüfen, um Risiken bei Hardware, Firmware oder Software zu identifizieren. Anschließend arbeitet er mit Ihnen zusammen, um diese Lücken zu schließen, Ihre Sicherheits- und Compliance-Maßnahmen zu dokumentieren und Sie für die NIS-2-Richtlinie fit zu machen. 

Rockwell Automation ist einer der führenden Anbieter von OT-Sicherheits-, Compliance- und Risikomanagement-Services. Unsere Spezialisten, Berater und Ingenieure verfügen über die Tools, Erfahrung und Technologie, um Sie auf die NIS-2-Richtlinie vorzubereiten. Das umfasst alles – von der Entwicklung konformer Richtlinien und Verfahren über die schnelle Erkennung und Aktualisierung veralteter Software und Firmware im gesamten Netzwerk bis hin zur Härtung und Dokumentation Ihrer OT-Cybersicherheitslage für die NIS-2-Compliance. 

Erfahren Sie, wie Rockwell Automation Sie bei Ihrer Cyber-Hygiene unterstützen kann – einschließlich der Aktualisierung Ihrer Software und Firmware – und wie Sie die vielen weiteren Aspekte der Härtung Ihrer OT-Cybersicherheitslage im Hinblick auf die NIS-2-Richtlinie angehen können. Kontaktieren Sie uns jetzt.

Vereinbaren Sie noch heute Ihre kostenlose Beratung!

¹https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

²https://www.mckinsey.com/mgi/overview/in-the-news/by-2025-internet-of-things-applications-could-have-11-trillion-impact