Bei Eccos, einem Unternehmen, das in der Lieferkette zahlreicher kritischer und wichtiger Einrichtungen tätig ist, arbeiten wir kontinuierlich daran, die Resilienz der Cybersicherheit zu erhöhen.
Betriebstechnologien (OT) ermöglichen das Funktionieren mehrerer wesentlicher Sektoren für unser tägliches Leben: Lebensmittelproduktion, Erzeugung und Verteilung von Strom, Gas und Wasser, Verkehrsmanagement in Städten, Autobahnen, Tunneln usw. Während Mechanismen zur Gewährleistung der Systemverfügbarkeit, wie die Sicherstellung einer unterbrechungsfreien Stromversorgung, im Design von OT-Systemen standardisiert wurden, ist das Bewusstsein für die Cybersicherheit dieser Systeme noch nicht annähernd auf diesem Niveau. Der Mangel an Cybersicherheit in OT-Systemen ist das Ergebnis ihrer Evolution von isolierten Systemen zu vernetzten, bei denen die Notwendigkeit der Kompatibilität mit Altsystemen und die Leistungsanforderungen die angemessene Entwicklung von Geräten in Bezug auf Cybersicherheit behindert haben.
Darüber hinaus muss bei der Aufrüstung von OT-Systemen oft unter Bedingungen gearbeitet werden, unter denen der unterbrechungsfreie Betrieb des Systems gewährleistet sein muss, was die Komplexität der Aufgabe erheblich erhöht.
Risikomanagement
Cybersicherheit ist ein Prozess, der niemals endet und immer neu bewertet wird. Die Berücksichtigung der Cybersicherheit eines Systems, insbesondere von OT, muss bereits in der Entwurfsphase dieses Systems beginnen, da die spätere Implementierung von Sicherheitsmaßnahmen erheblich schwieriger, teurer und möglicherweise sogar unmöglich sein kann, und mit jeder Änderung im System eine Neubewertung des Zustands erforderlich ist. Bei der Gestaltung von Systemen ist es wichtig:
• Systemkomponenten auszuwählen, die bereits über integrierte Sicherheitsfunktionen verfügen und die Kommunikation über sichere Protokolle ermöglichen
• eine Netzwerkarchitektur auszuwählen, die eine einfache Integration von Sicherheitskontrollen erleichtert
• Software auszuwählen, die die Verwendung von starker Authentifizierung und Autorisierungskontrolle ermöglicht, sichere Kommunikationsprotokolle nutzt, regelmäßige Updates bereitstellt und deren Entwicklungsprozess auf sicheren Prinzipien der Softwareentwicklung basiert.
NIS2-Richtlinie
Im Jahr 2024 erwarten wir die Einführung der NIS2 (Network and Information Security 2) Richtlinie des Europäischen Parlaments und des Europäischen Rates in unsere Gesetzgebung, die Unternehmen, die als kritisch oder wichtig für das Funktionieren der Gesellschaft angesehen werden, Verpflichtungen in Bezug auf die Cybersicherheit ihrer Systeme auferlegen wird. Sie sind verpflichtet, angemessene und verhältnismäßige technische, operationale und organisatorische Maßnahmen zu ergreifen, um die Risiken zu managen, denen ihre Netzwerk- und Informationssysteme, die im Geschäfts- oder Dienstleistungsbereich verwendet werden, ausgesetzt sind, und um die Auswirkungen von Vorfällen auf die Empfänger ihrer Dienstleistungen zu verhindern oder zu minimieren. Bei Eccos, einem Unternehmen, das in der Lieferkette zahlreicher kritischer und wichtiger Einrichtungen tätig ist, arbeiten wir kontinuierlich daran, die Cybersicherheit unserer Produkte durch regelmäßige Schulungen der Mitarbeiter und ständige Upgrades unserer Produkte zu erhöhen. Die im Bericht ‚OT:ICEFALL‘ präsentierten Ergebnisse, die eine Liste von 61 Schwachstellen in Geräten von 13 verschiedenen OT-Geräteherstellern enthalten, von denen ganze 74 Prozent über eine Form von sicherer Entwicklungszertifizierung verfügen, zeigen uns, dass kein Gerät absolut sicher ist. Daher überwacht Eccos kontinuierlich Informationen über potenzielle Schwachstellen in den Hardware- und Softwarekomponenten, die es verwendet, um im Falle eines Sicherheitsvorfalls schnell reagieren zu können und seinen Nutzern eine Möglichkeit zu bieten, darauf zu reagieren.
