Die Einhaltung gesetzlicher Vorschriften und ähnlicher Compliance-Anforderungen stellt Fertigungsunternehmen vor immer größere Herausforderungen, da Behörden und Normungsorganisationen die Anforderungen an die Verwaltung und Sicherheit für den Bereich „Operational Technology“ (kurz OT, auch operative Technologie oder Betriebstechnologie genannt) verschärfen.
Ein großes Problem besteht darin, dass Fertigungsunternehmen ihre OT- oder IC-Systeme (Industrial Control) nur selten mit Updates versehen. Hersteller aktualisieren beispielsweise nur selten Computer, die in den Instanzen 2, 3 oder 3.5 des Purdue-Modells arbeiten. Diese Computer führen gerätespezifische Monitoring- und Steuerungsprogramme unter Windows oder Linux aus und interagieren mit physischen Objekten bzw. Materialien auf den Purdue-Ebenen 0 und 1.
In industriellen Umgebungen ist die Stabilität der Fertigungsumgebung von größter Bedeutung. Das Risiko, dass ein Software-Update/-Upgrade die Interaktionen zwischen den Geräten der Stufen 2 und 3 mit den Geräten der Stufen 0 und 1 beeinträchtigen könnte, ist für die meisten Fertigungsunternehmen einfach zu hoch. Eine ausfallende Verbindung könnte ein Produktionssystem komplett lahmlegen. Dies könnte außerdem dazu führen, dass ein Fertigungsunternehmen seine Compliance-Zertifizierung verliert und eine Geldstrafen erhält.
Das Verstoßen gegen solche Richtlinien kann schwerwiegende finanzielle Folgen haben, aber beim Thema Compliance geht es um mehr als nur die Einhaltung von Vorschriften. Der Betrieb von OT-Systemen, die den geltenden Vorschriften entsprechen, ist für Fertigungsunternehmen auch eine gute Möglichkeit, die Resilienz ihrer Systeme sicherzustellen und diese so vor Cyberbedrohungen zu schützen. Insbesondere, wo diese die sich ständig weiterentwickeln und immer mehr verbreiten.
Ein umfassender Überblick über die Compliance-Landschaft für Fertigungsunternehmen
Unter den zahlreichen Compliance-Vorschriften, die für die Cyber-Resilienz von Fertigungsumgebungen gelten, stellen insbesondere die folgenden drei eine Herausforderung für die entsprechenden Unternehmen dar:
Die NIS 2-Richtlinie
Die NIS 2-Richtlinie (NIS für „Network & Information Systems“) ist eine EU-Verordnung, mit der die Sicherheit von Netzwerken und Informationssystemen in der gesamten EU verbessert werden soll. Sie baut auf der ursprünglichen (ersten) NIS-Richtlinie auf und führt strengere Anforderungen für ein breiteres Spektrum von Branchen ein – wie Energiewirtschaft, Verkehrsbetriebe, Banken, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur und Behörden.
Im Vergleich zur ersten NIS-Version gilt NIS 2 für eine größere Bandbreite von Einrichtungen. Die ursprüngliche NIS-Richtlinie konzentrierte sich noch auf kritische Branchen wie Energie, Verkehr, Wasser, Banken und Finanzwesen, Gesundheitswesen und digitale Infrastruktur. NIS 2 gilt dagegen für ein breiteres Spektrum von Organisationen – wie Wasser- und Lebensmittelversorger, Post- und Paketdienste sowie Unternehmen aus dem Bereich der digitalen Infrastruktur. Die Richtlinie schreibt Risikobewertungen, Vorfallsberichterstellung sowie die Implementierung von Data Protection- und Security-Maßnahmen vor.
Die Verordnung sieht finanzielle Sanktionen bei Verstößen und sogar Strafen für Führungskräfte vor, deren Unternehmen gegen die Compliance-Anforderungen verstoßen. Eine Nichteinhaltung der NIS 2-Vorschriften kann zu erheblichen Geldstrafen führen, die (je nach Mitgliedsstaat) bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen können (es gilt der jeweils höhere Betrag). NIS 2 sieht auch persönliche Konsequenzen vor: die entsprechenden Führungskräfte können bei Verstößen gegen die Vorschriften finanziell und sogar strafrechtlich haftbar gemacht werden.
ISA/IEC 62443
ISA/IEC 62443 ist eine internationale Normenreihe für den IACS-Bereich (Industry Automation & Control Systems = industrielle Automatisierungs- und Steuerungssysteme). Sie wird in der Industrie weitgehend befolgt und liefert einen Rahmen für die zuverlässige Absicherung von Systemen gegen Cyberbedrohungen.
Diese Standards konzentrieren sich auf die Sicherheit industrieller Steuerungssysteme, wie sie unter anderem in der Fertigungsbranche, bei Energieversorgern und in kritischen Infrastrukturen eingesetzt werden. Dazu gehören Leitlinien zur Risikobewertung, Sicherheitsrichtlinien und technische Maßnahmen zum Schutz vor Cyberbedrohungen.
Bei diesen freiwilligen, aber weithin befolgten Vorschriften werden jedoch keine expliziten Bußgelder für Verstöße spezifiziert. Die Nichtbeachtung der ISA/IEC 62443-Norm kann jedoch schwerwiegende Folgen haben. Dazu gehören:
- Bußgelder für die Nichteinhaltung von Normen, die etwas mit ISA/IEC 62443 zu tun haben (wie auch NIS 2).
- Verlorene Aufträge, bei denen Angebote ausgeschlossen werden, weil die Fertigungsunternehmen keine Compliance-Konformität nachweisen können.
- Vertragsverletzungen, wenn Compliance-Konformität vertraglich festgelegt wurde.
- Erhöhtes Risiko, verklagt zu werden.
- Schwierigkeiten, eine Cyber-Versicherung zu erhalten.
Die Cybersecurity Maturity Model Certification (CMMC)
Das Cybersecurity Maturity Model Certification (CMMC)-Programm – auch „Zertifizierung nach dem Reifegradmodell für Cybersicherheit“ genannt – ist ein vom US-Verteidigungsministerium (DoD) eingerichtetes Rahmenwerk, mit dem sichergestellt werden soll, dass Rüstungsunternehmen und deren Subunternehmer ein zufriedenstellendes Cyber Security-Niveau erfüllen. Das Programm zielt darauf ab, die Cyber Security-Fähigkeiten der Rüstungsindustrie zu stärken und nicht klassifizierte, vertrauliche Informationen zu schützen.
Die CMMC-Richtlinien stellen sicher, dass Auftragnehmer und Subunternehmer bestimmte Cyber Security-Standards erfüllen, die je nach Art und Vertraulichkeit der von ihnen verarbeiteten Informationen äußerst komplex sein können. Das Framework soll eingesetzte Cyber Security-Maßnahmen schrittweise verbessern und das Risiko für Datenschutzverstöße sowie unbefugte Datenzugriffen verringern.
Verstöße gegen die CMMC-Anforderungen können schwerwiegende Folgen haben, wie beispielsweise den Verlust von Regierungsaufträgen oder einen Imageschaden für das betreffende Unternehmen. Was in einem Markt, in dem Sicherheit und Vertrauenswürdigkeit an erster Stelle stehen, entscheidend sein kann.
Die EU-Datenschutz-Grundverordnung (EU-DSGVO, GDPR)
Die EU-Datenschutz-Grundverordnung (EU-DSGVO, GDPR) ist ein umfassendes Gesetz über Datenschutz und Datensicherheit, das im Mai 2018 von der Europäischen Union eingeführt wurde. Sie gilt für alle Unternehmen bzw. Organisationen, unabhängig vom jeweiligen Standort, sofern diese personenbezogene Daten von EU-Bürgern verarbeiten. Die DSGVO legt strenge Anforderungen fest, wie personenbezogene Daten erhoben, verarbeitet, gespeichert und gelöscht werden müssen. Organisationen, die der Verordnung unterliegen, müssen eine eindeutige Einwilligung zur Datenverarbeitung einholen, transparente Informationen über die Datenverwendung bereitstellen und sicherstellen, dass bei ihnen robuste Sicherheitsmaßnahmen implementiert sind.
Verstöße gegen die DSGVO können zu hohen Geldstrafen führen. Für die schwerwiegendsten Verstöße sieht die Verordnung Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens vor (je nachdem, welcher Betrag höher ist). Geringfügige Verstöße können mit Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.
Warum Fertigungsunternehmen mit der OT-Compliance zu kämpfen haben
OT-Systeme dienen dazu, die Produktion möglichst effizient und mit möglichst geringen Ausfallzeiten zu verwalten. OT-Systeme müssen im Gegensatz zu IT-Systemen nicht ständig aktualisiert werden, um weiterhin ordnungsgemäß funktionieren zu können.
Viele Fertigungsunternehmen setzen für ihre OT-Systeme noch Windows XP ein, obwohl das Betriebssystem fast 25 Jahre alt ist und schon seit 2009 nicht mehr von Microsoft unterstützt wird. Microsoft hat also seit mehr als 15 Jahren keine Sicherheitspatches oder Bugfixes für Windows XP mehr herausgebracht.
Was die Compliance angeht, so werden von vielen Vorschriften gewisse Data Protection-Fähigkeiten verlangt, über die ältere OT-Systeme jedoch gar nicht verfügen. Da eine Modernisierung dieser Systeme für Fertigungsunternehmen aber zu große Beeinträchtigungen bedeuten würden, kommt diese Option meist nicht in Betracht. Insbesondere die Wiederherstellung von Systemen und Daten ist ein kritischer Punkt. Viele Richtlinien verlangen, dass OT-Umgebungen über Pläne zur schnellen Wiederherstellung verfügen. Aber vielen Industriesystemen fehlt es an automatisierten Backup-Lösungen.
Operative Resilienz ist für Fertigungsunternehmen unverzichtbar
Wenn OT-Systeme nicht angemessen per Backup gesichert werden, kann dies zu hohen Geldbußen bei Compliance-Verstößen und anderen Konsequenzen (wie Vertragskündigungen durch Geschäftspartner) führen. Darüber hinaus kann es noch weitere negative Folgen haben – wie etwa, ein Image- und Vertrauensverlust bei Kund:innen oder Lieferanten.
Ein Cyberangriff, der die betreffenden Systeme für Tage oder Wochen lahmlegen könnte, kann ein Fertigungsunternehmen finanziell schwer schädigen oder sogar in die Insolvenz treiben. Bei Vorfällen müssen die Hersteller daher auch in der Lage sein, umgehende Wiederherstellungen durchzuführen, damit unterbrochene Produktionen mit zuverlässigen Daten und funktionierenden Systemen fortgesetzt werden können. Compliance ist also nicht nur ein Weg, um Bußgelder oder andere Strafen zu vermeiden. Es handelt sich eher um eine Art Maßstab, an dem Fertigungsunternehmen festmachen können, ob ihre OT-Umgebungen ausreichend abgesichert sind und ob sich diese nach einem Ausfall (egal ob durch Cyberangriffe, Hardware-, Software- oder menschliche Fehler bedingt) schnell wiederherstellen lassen.
Denn Compliance-konforme Fertigungsunternehmen wissen selbst, dass eine operative Resilienz notwendig ist, um bei Ausfällen (egal welche Ursache diese haben) durch die richtigen Gegenmaßnahmen schnell wieder betriebsbereit zu sein.
So kann Acronis Cyber Protect für OT-Umgebungen entsprechenden Unternehmen dabei helfen, Cyber Security-Vorschriften einzuhalten
Fertigungsunternehmen benötigen eine Compliance-konforme Backup & Recovery-Lösung, die operative Resilienz gewährleisten kann, ohne dabei Ausfallzeiten zu verursachen oder anderweitig die Produktion zu beeinträchtigen. Acronis Cyber Protect für OT-Umgebungen bietet Funktionen, mit denen Fertigungsunternehmen ihre Geschäftskontinuität sicherstellen und geltende Compliance-Richtlinien erfüllen können:
- Eine automatisierte Backup-Funktionalität erfüllt die Resilienz-Anforderungen der NIS 2- und IEC 62443-Richtlinien.
- Forensische Backups ermöglichen es, nach einem Vorfall digitale Beweisdaten sicherzustellen.
- Durch die Integration von Cyber Security- und Backup-Fähigkeiten wird das Erstellen richtlinienkonformer Berichte vereinfacht und die Audit-Bereitschaft erhöht.
Weitere Funktionen, die Compliance-konforme Fertigungsunternehmen benötigen, sind:
Universal Restore: Diese Funktionalität ermöglicht es, ältere Betriebssysteme, Applikationen und Daten auch auf abweichender Hardware (inklusive der dafür benötigten Treiber) wiederherzustellen. Dadurch können Fertigungsunternehmen ihre gesicherten Systeme auf neuerer PC-Hardware wiederherstellen, selbst wenn das ursprüngliche System auf veralteter Hardware lief.
One-Click Recovery: Mit One-Click Recovery können auch Mitarbeiter:innen ohne gehobene IT-Kenntnisse (wie etwa OT-Techniker:innen in der Fertigung) von einem Ausfall betroffene OT-Systeme innerhalb weniger Minuten nach einem Vorfall wiederherstellen. Fertigungsunternehmen können dadurch Ausfallzeiten verkürzen und ihre Produktionssysteme wieder zum Laufen bringen, ohne dass darauf gewartet werden muss, dass die zentrale IT-Abteilung eine Fachkraft losschickt.
Backups ohne Ausfallzeiten: Acronis Cyber Protect für OT-Umgebungen kann Backups durchführen, ohne dass die betreffenden OT-Systeme offline geschaltet oder neu gestartet werden müssen. Dadurch wird sichergestellt, dass die notwendigen Cyber-Resilienz-Prozesse keine Produktionsunterbrechungen bewirken.
Compliance bedeutet mehr als die Einhaltung gesetzlicher Vorschriften
Behörden und Normungsgremien werden es Fertigungsunternehmen wohl auch in Zukunft nicht leichter machen, Compliance-konform zu sein. Wenn überhaupt, werden die Anforderungen noch weiter verschärft und die Strafen erhöht werden.
Doch Compliance-Konformität bedeutet mehr als nur die Vermeidung von Bußgeldern und Strafen. Denn konforme Fertigungsunternehmen wissen, dass sie schon für sich selbst ihre geschäftliche Resilienz gewährleisten sollten, um Vorfälle ohne kostspielige Ausfälle überstehen zu können. Acronis Cyber Protect für OT-Umgebungen bietet genau die automatisierte Backup & Recovery-Funktionalität, die Fertigungsunternehmen benötigen, um die branchenüblichen Resilienz- und Verfügbarkeitsanforderungen ausgeglichen umsetzen zu können.
Über Acronis
Acronis ist ein Schweizer Unternehmen, das 2003 in Singapur gegründet wurde. Das Unternehmen hat weltweit 15 Standorte und beschäftigt Mitarbeiter:innen in über 50 Ländern. Acronis Cyber Protect Cloud ist in 26 Sprachen in 150 Ländern verfügbar und wird von mehr als 21,000 Service Providern zum Schutz von über 750,000 Unternehmen eingesetzt.
