Warum Fertigungs-OT einen Resilienz-Ansatz braucht

Die Bedeutung von Cyber-Resilienz ist sehr real und nimmt aufgrund einer sich beschleunigenden Bedrohungslage für Fertigungsunternehmen stetig zu. Und es gibt keine Anzeichen dafür, dass sich dieser Trend verlangsamen könnte. Die Umfrage des SANS Institute zum Stand der Cyber Security in ICS/OT für das Jahr 2025 zeigt beunruhigende Trends auf, die dazu führen sollten, dass Fertigungsunternehmen ihre Sichtweise auf die Betriebssicherheit überdenken.

Die SANS-Umfrage ergab, dass die Hälfte der Vorfälle auf unbefugte Zugriffe von außen zurückzuführen waren, wobei 37,9 % aller Vorfälle auf Ransomware zurückzuführen waren. Das sind keine bedeutungslosen Statistiken! Sie stehen stellvertretend für ausgefallene Produktionslinien, beeinträchtigte Sicherheitssysteme und Verluste in Millionenhöhe.

Sicherer Remote-Zugriffe bleiben das schwächste Glied bei den meisten OT-Umgebungen. Obwohl die Hälfte aller Vorfälle mit einem externen Zugriff beginnen, haben weniger als 15 % der Unternehmen fortschrittliche Fernzugriffskontrollen (wie Sitzungsaufzeichnungen, Echtzeit-Sitzungsgenehmigungen und ICS- oder OT-konforme Zugriffsverwaltungen) implementiert. Nur 13 % gaben an, dass sie diese wichtigen Sicherheitsvorkehrungen vollständig implementiert haben.

Während sich die Umfragedaten in erster Linie auf herkömmliche Bedrohungsvektoren konzentrierten, sehen sich Fertigungsunternehmen mit einer Realität konfrontiert, die auch von neuen und aufkommenden Bedrohungen geprägt ist. Die Cyber-Kriminellen nutzen vermehrt generative KI-Tools, um sowohl den Umfang als auch die Effektivität ihrer Angriffe auf OT-Umgebungen zu steigern.

Mithilfe solcher KI-gestützter Angriffsfähigkeiten können Angreifer:

• Automatisch Schwachstellen in industriellen Kontrollsystemen identifizieren.
• Angriffsvektoren in Echtzeit anpassen, um Erkennungsverfahren zu entgehen.
• Ransomware-Verschlüsselungen optimieren, um maximale betriebliche Auswirkungen zu erzielen.
• Die Notwendigkeit manueller Kontrolle eliminieren, sobald ein Brückenkopf etabliert ist.

Komplexe Ransomware-Angriffe, die einst erfahrene Betreiber erforderten, können nun autonom und ohne menschliches Eingreifen ablaufen, sobald ein Angreifer einen initialen Zugriff erlangt hat. Da die Kriminellen zunehmend KI-Tools einsetzen, sehen sich die Fertigungsunternehmen mit einem immer stärker werdenden asymmetrischen Kampf konfrontiert, bei dem die Angreifer mit fortschrittlicher Automatisierung die herkömmlichen mehrschichtigen Cyber Security-Strategien aushebeln können.

Die Umfrageteilnehmer gaben an, dass sie einen Anstieg in folgenden Bereichen beobachtet haben:

• Ransomware, die auf OT-Umgebungen abzielt (63,9 %).
• Bedrohungen durch von Nationalstaaten durchgeführte Angriffe (56,7 %).
• Lieferketten-Kompromittierungen (52,2%).

Das sind keine theoretischen oder abwegigen Möglichkeiten. Sie sind schon jetzt Realität und sollten die Art und Weise, wie Fertigungsunternehmen über Betriebssicherheit denken, grundlegend verändern.

Die Umfrageergebnisse enthalten eine gute Nachricht: Fertigungsunternehmen, die Resilienz priorisieren, gaben an, bessere Ergebnisse erzielt zu haben als diejenigen, die dies nicht taten. Regulierte Standorte mit obligatorischen Compliance-Verpflichtungen für sichere Remote-Zugriffe erlitten im Vergleich zu nicht regulierten Standorten etwa 50 % weniger finanzielle Verluste und Sicherheitsbeeinträchtigungen.

Es war nicht so, dass es bei diesen weniger Vorfälle gab. Der Unterschied bestand darin, dass sie besser darauf vorbereitet waren, Angriffe abzuwehren und sich von diesen zu erholen. Für Fertigungsunternehmen sollten die Aspekte Resilienz und Cyber Security Hand in Hand gehen.

Wie können Fertigungsunternehmen dieses Ziel erreichen? Durch die Auflage, Business-Continuity- und Disaster-Recovery-Pläne für ICS- und OT-Systeme zu entwickeln, die die komplette Resilienzkette abdecken:

1. Bestimmen Sie, was wichtig ist: Integrieren Sie OT-Systeme in die betriebswirtschaftliche Folgenanalyse Ihres Unternehmens (derzeit tun dies nur 52,5 % der Unternehmen).
2. Definieren Sie Recovery-Ziele: Legen Sie Wiederherstellungszeitvorgaben (RTOs) und Wiederherstellungspunktvorgaben (RPOs) für kritische OT-Systeme fest (derzeit tun dies nur 51,8 %).
3. Üben Sie, wie sicher die Wiederherstellungen sind: Testen und simulieren Sie OT-spezifische Wiederherstellungsszenarien regelmäßig (nur 32,1 % führen immerhin einen jährlichen Test durch).
4. Pflegen Sie standortspezifische Playbooks: Dokumentieren Sie spezifische Prozeduren, die in jeder Einrichtung bei Cyber-Vorfällen anzuwenden sind (derzeit verfügen 31,2 % über solche Prozeduren).
5. Integrieren Sie Sicherheitsbewertungen: Gleichen Sie die OT-Cyberrisiken mit geltenden Sicherheits-Frameworks (wie HAZOP und PHA) ab (derzeit tun dies 23,4 %).

Die SANS-Umfrage ergab, dass nur 12,6 % der Unternehmen eine vollständige Transparenz über die gesamte ICS Cyber Kill Chain haben. Viele (42,3 %) berichten von einer partiellen Sichtbarkeit mit erheblichen Lücken. Mangelnde Integrationen verhindern, dass Unternehmen erkennen, wie Bedrohungen von der IT-Umgebung ausgehend auf die OT-Umgebung übergreifen.

Die am besten vorbereiteten Unternehmen erreichen Transparenz, indem sie IT- und OT-Teams mit gemeinsamen Tools zur Protokollaggregation und -korrelation koordinieren. Eine Mehrheit (56,5 %) betreibt entweder ein zentrales IT-OT-Sicherheitszentrum (SOC) oder unterhält parallele IT- und OT-SOCs mit integriertem Monitoring.

Da 83,3 % der Unternehmen Cloud Services nutzen, die mit ICS-, OT- oder IT-Netzwerken verbunden sind, ist ein Cloud-Monitoring unerlässlich. Allerdings geben nur 12,9 % an, über eine vollständig integrierte Transparenz für Cloud-Umgebungen zu verfügen, wodurch erhebliche Schwachstellen für Angreifer bestehen bleiben.

Unternehmen müssen außerdem die Sicherheit bei Remote-Zugriffen verbessern. Die größten Hindernisse für eine vollständige Umsetzung sind der Mangel an internen Ressourcen (am häufigsten genannt) und Kompatibilitätsbeschränkungen bei Altsystemen. Um dieses Problem zu lösen, sind sowohl Investitionen als auch Ansätze erforderlich, die die alternde Infrastruktur schützen, ohne dass störende Erneuerungen erforderlich sind.

Die Umfrage zum Stand der Cybersicherheit im Bereich ICS/OT für das Jahr 2025 macht eines deutlich: Die Kluft zwischen der Komplexität der Bedrohungen und der betrieblichen Resilienz wird immer größer. Für die Fertigungsunternehmen könnte die Lage nicht kritischer sein. Da KI-gestützte Angriffe die Bedrohungsfähigkeiten verschärfen, nehmen staatliche Akteure zunehmend industrielle Umgebungen ins Visier und konzentrieren sich Ransomware-Betreiber auf OT-Systeme. Dadurch steigt die Wahrscheinlichkeit erfolgreicher Angriffe.

Die entscheidende Frage für Fertigungsunternehmen ist nicht, ob ein Vorfall eintreten wird, sondern wie schnell sie ihren Produktionsbetrieb wiederherstellen können, wenn dies geschieht. Acronis Cyber Protect Local löst dieses Problem, indem es die Wiederherstellungsgeschwindigkeit ermöglicht, die OT-Umgebungen benötigen.

Mit dieser Lösung kann das Personal vor Ort die betroffenen Systeme selbstständig wiederherstellen, ohne auf spezialisierte IT-Fachkräfte warten zu müssen. Wiederherstellungen, die herkömmlich Tage oder sogar Wochen dauern, können durch einen vereinfachten Prozess innerhalb von Minuten durchgeführt werden.

Im Gegensatz zu fragmentierten Sicherheitstools, die die Komplexität im Betrieb erhöhen, vereint Acronis Cyber Protect Local leistungsfähige Schutz-, Backup- und Wiederherstellungsfähigkeiten in einer integrierten Plattform. Mit diesem umfassenden Ansatz können Fertigungsunternehmen das sichern, was am wichtigsten ist: einen unterbrechungsfreien Betrieb, den Schutz ihrer Mitarbeiter:innen und eine kontinuierliche Unternehmensperformance in einer zunehmend gefährlichen Bedrohungslandschaft.

Laden Sie den SANS-Bericht herunter, um mehr zu erfahren.