OT-Sicherheit in der Lebensmittelindustrie

Rolle der NIS-2-Richtlinie in der Europäischen Union

[datensicherheit.de, 28.08.2024] Über die Rolle von NIS-2 in der EU und OT-Sicherheit in der Lebensmittelindustrie sprach Herausgeber und Chefredakteur von datensicherheit.de (ds), Carsten J. Pinnow mit Mirco Kloss, Business Development Director DACH bei TXOne Networks sprechen. Sein Arbeitgeber hat sich auf OT-Sicherheit spezialisiert und arbeitet mit vielen Konzernen zusammen, auch DAX-Unternehmen in Deutschland. Mittlerweile ist man sogar Mitglied im VDMA.

ds: Herr Kloss, bitte geben Sie uns doch einen kurzen Überblick , wie es um die OT/ICS-Security in der Lebensmittelindustrie bestellt ist. Welche Entwicklungen beobachten Sie?

Mirco Kloss, Business Development Director DACH bei TXOne Networks, Bild: TXOne Networks

Kloss: Die Lebensmittel-Industrie, insbesondere die Bereiche von Essen und Getränken, ist eine der wichtigsten Branchen, auf die wir schauen – zusammen mit der Automobil- und Halbleiterindustrie. Die Lebensmittel-Industrie hat in den letzten Jahren erhebliche Fortschritte erzielt, vor allem durch die Integration von Informations- und Kommunikations-Technologie in die Produktionslinien. Dies hat nicht nur die Qualität und Effizienz gesteigert, sondern auch die Einhaltung der hohen Lebensmittel-Sicherheitsstandards, die von den Behörden und Verbrauchern gefordert werden, verbessert. Doch diese digitale Transformation bringt neue Sicherheitsherausforderungen mit sich. Angriffe auf Unternehmen in der Lebensmittel-Industrie können zu erheblichen Produktionsausfällen führen, was wiederum die Lebensmittelsicherheit und die Versorgungsketten gefährden könnte.

ds: Was bedeutet diese Bedrohung konkret für Unternehmen in der Lebensmittel-Industrie?

Kloss: Unternehmen stehen vor der Herausforderung, nicht mehr nur ihre IT-Systeme, sondern auch ihre OT-Systeme – also die Betriebstechnologie und damit ihre Produktionsumgebung – intensiv prüfen zu müssen. Durch die zunehmende Automatisierung und Optimierung von Produktions-, Verarbeitungs- und Vertriebsprozessen entstehen neue Schwachstellen, die von Cyber-Kriminellen ausgenutzt werden. Besonders besorgniserregend ist das Risiko, dass solche Angriffe zu Lebensmittel-Kontaminationen führen, die Verbraucher gefährden. Hier müssen die Unternehmen dringend handeln und Sicherheitslösungen implementieren, die ihre Produktion schützen – ohne die Betriebsabläufe zu stören.

ds: Wie wirkt sich die NIS2-Richtlinie auf diese Entwicklungen aus?

Kloss: Die NIS2-Richtlinie bringt erweiterte Sicherheitsanforderungen mit sich, die jetzt auch Unternehmen betreffen, die bisher nicht unter die strengen Regelungen verschiedener Gesetze, wie dem KRITIS-Gesetz, gefallen sind. Die Richtlinie dehnt ihre Anforderungen auf die Lebensmittel-Produktion, -Verarbeitung und -Verteilung aus, was bedeutet, dass viele Unternehmen jetzt gezwungen sind, ihre Sicherheitsmaßnahmen zu verstärken. Dazu gehört unter anderem die Verpflichtung, regelmäßig Risikoanalysen durchzuführen, Sicherheitsvorfälle zu melden und Maßnahmen zur Sicherstellung der Geschäftskontinuität zu implementieren. Diese Anforderungen zielen darauf, die Widerstandsfähigkeit der Lebensmittel-Industrie gegen Cyber-Bedrohungen zu erhöhen.

ds: Welche Probleme beschäftigen Unternehmen in der Lebensmittel-Industrie, wenn sie ihre IT- und OT-Sicherheit optimieren möchten?

Kloss: Eine der größten Herausforderungen ist die Tatsache, dass in der Lebensmittel-Industrie viele Legacy-Systeme verwendet werden. Diese Systeme sind oft nicht mehr kompatibel mit modernen Sicherheitslösungen, was es schwierig macht, sie zu schützen. Darüber hinaus zeigt unser zu diesem Thema geschriebenes Whitepaper Securing the Food Supply: Industrial Cybersecurity in the Food and Beverage Sector (txone.com), dass diese Legacy-Systeme besonders anfällig für Angriffe sind, da sie oft auf veralteter Software und Hardware basieren, die nicht mehr regelmäßig aktualisiert werden kann. Hinzu kommt, dass die Integration dieser alten Systeme mit neuen Technologien weitere Schwachstellen schaffen kann, die Angreifern Zugang zu den Kernnetzwerken eines Unternehmens verschaffen könnten. Das stellt Unternehmen vor die Aufgabe, Sicherheitslösungen zu finden, die auch auf älteren Systemen laufen und gleichzeitig den hohen Anforderungen an die Produktionsverfügbarkeit gerecht werden.

ds: Wie unterstützt TXOne Unternehmen in dieser Situation konkret?

Kloss: Wir bieten hochspezialisierte Lösungen an, die genau auf diese Herausforderungen abgestimmt sind. Zum Beispiel haben wir Endpunktlösungen entwickelt, die auch auf älteren Betriebssystemen laufen und dort Sicherheitsfunktionen bieten, ohne den laufenden Betrieb zu beeinträchtigen. Unsere Lösungen ermöglichen es Unternehmen, ihre OT-Netzwerke durch Segmentierung und Cyber-Physical Systems Detection and Response (CPSDR) abzusichern. Dies ist sehr wichtig, um die Risiken, die von Legacy-Systemen ausgehen, zu minimieren. Darüber hinaus arbeiten wir eng mit den Unternehmen zusammen, um ihre spezifischen Anforderungen zu verstehen und maßgeschneiderte Lösungen zu entwickeln. Unser Ziel ist es immer, die Sicherheit zu erhöhen, ohne die Produktion zu stören. Das ist in der Lebensmittel-Industrie von entscheidender Bedeutung, da jede Unterbrechung der Produktion massive Auswirkungen hätte. Hardware-Bypass als Funktion ist hier entscheidend, denn das bedeutet, dass die Maschine weiterlaufen kann, während die Sicherheitslösung geändert wird. Die Maschine läuft in diesem kurzen Zeitraum also ungeschützt weiter, aber sie arbeitet eben. Hier muß der Unternehmer entscheiden, ob er die Maschine auf diese Weise im Betrieb halten will, oder sie lieber abschaltet, was jedoch zu Einschränkungen der Produktion führen wird. Wir haben außerdem mit SageOne eine zentrale Plattform eingeführt, die alle anderen Produkte steuern und überwachen kann, wodurch für die Sicherheitsverantwortlichen alles gebündelt sichtbar wird und sogar Legacy-Systeme kein eigenes Dashboard mehr benötigen, was oft zu Unübersichtlichkeit geführt hat.

ds: Danke für diese Einordnung. Lassen Sie uns nun etwas allgemeiner werden: Wie sehen Sie die Zukunft der OT-Sicherheit, insbesondere im Hinblick auf NIS2?

Kloss: Die OT-Sicherheit wird in den kommenden Jahren immer wichtiger werden und die EU-Direktive NIS2 trägt sicherlich dazu bei, die Sicherheit zu erhöhen und die Entwicklungen in eine gute Richtung zu stoßen. Unternehmen werden zunehmend mehr gezwungen sein, ihre Sicherheitsmaßnahmen zu überdenken und zu verstärken. Es wird deutlich, dass die NIS2-Richtlinie ein sehr strukturiertes Rahmenwerk für die Überwachung und Durchsetzung von Cyber-Sicherheitspraktiken festlegen soll. Dazu gehören unter anderem regelmäßige Sicherheitsprüfungen und gegebenenfalls die Verhängung von Sanktionen, wenn Unternehmen den neuen Anforderungen nicht gerecht werden. Wir können erwarten, dass in Zukunft eine noch stärkere Integration von Sicherheitslösungen in die Produktionsprozesse stattfindet – ebenso eine engere Zusammenarbeit zwischen IT- und OT-Teams. Nur so können die Firmen sicherstellen, dass die Produktionssysteme auch in einer zunehmend vernetzten Welt sicher bleiben. Das Problem jedoch, welches wir sehen: Viele Unternehmer denken bei NIS2 nur an die IT-Sicherheit, nicht an die OT. Diese ist jedoch ebenso betroffen und entsprechend muss die Produktionsumgebung bereit gemacht werden für die Anforderungen der Richtlinie. Das mag vielen schwierig erscheinen, vor allem wegen der Legacy-Systeme, jedoch ist es das nicht, wenn man auf die richtigen Lösungen setzt. Das sind in erster Linie solche, die echte OT-Sicherheitslösungen sind, statt der vielen IT-Sicherheitslösungen, die nun im OT-Gewand verkleidet daherkommen. Letzteres ist ein Trend, weil einige Sicherheitshersteller das Potential des OT-Marktes erkannt haben und wissen, dass es nicht allzuviele OT-Experten in den Firmen gibt, die sofort diesen Deckmantel lüften können. Ein Beispiel ist das altgewohnte IPS: Das kennt jeder aus der IT-Sicherheitssprache, doch wenige wissen, dass es ein OT-IPS ebenso gibt, welches viele Industrieprotokolle sprechen kann. Wenn man nun das IT-IPS schlicht ummünzen will zu einer OT-Lösung, dann wird das halbherzig, weil viele dieser Protokolle fehlen. Es nützt dann nichts, damit zu werben, 30 oder 40 solcher Protokolle implementiert zu haben. Wir reden hier von hunderten solcher Protokolle, die ein echtes OT-IPS beherrschen muss.

ds: Vielen Dank für diese ausführlichen Einblicke, wir beobachten gespannt, in welche Richtung sich die OT-Sicherheit entwickeln wird!

Kloss: Sehr gerne, ich danke Ihnen!

Weitere Informationen zum Thema:

datensicherheit.de, 16.02.2023
IT- und OT-Sicherheit: KRITIS-Anbieter zunehmend im Visier Cyber-Krimineller