Die Digitalisierung und Automatisierung unserer Lebensumwelt und unserer Wertschöpfungsketten bringt eine Vielzahl neuer Schwachstellen im Schutz gegen bösartige Angriffe oder kriminelle Aktivitäten mit sich und exponiert ständig grösser werdende Anteile unserer Bevölkerungen und unserer Wirtschaft gegenüber Manipulationen der dahinter liegenden Daten und Systeme. Die fortschreitende Anbindung und Verknüpfung der Datenströme immer neuer Systeme und neuer Stakeholder bringt auch die Risiken und Angreifbarkeit der Anlagen und Unternehmen näher zusammen. Hierin liegt auch der Grund des zunehmenden Erfolges der Zero-Trust Architektur der verbindenden Netzwerke gegenüber den traditionellen Perimeter-basierten Strukturen. Wichtigster Aspekt der Anlagen-Cybersecurity ist die Zuordnung der Cybersecurity in den Betrieb der Anlagen. Cybersecurity ist der ständige Kampf um die Daten- und Kontrollhoheit der Anlagen. Cybersecurity an Tag 1 kann an Tag 2 bereits hinfällig sein, wenn die Verantwortung für die laufende Sicherstellung der Effektivität aller Schutzmassnahmen nicht ununterbrochen war genommen wird. Cybersecurity ist ein kontinuierlicher Prozess und er erfordert qualifiziertes Personal für die erfolgreiche Durchführung.
Insbesondere kritische Infrastrukturen der Versorger, der Produktions- und der Transportindustrie sowie der Finanzbranche sind ständig wachsenden Cyberangriffen und Ransomware-Attacken ihrer Anlagen und ihrer elektronischen Datenverarbeitungssysteme ausgesetzt. Operational Technology Cybersecurity, die Cybersicherheit für kritische technische Systeme, unterscheidet sich jedoch von IT-Cybersecurity auch wenn beide in der Cybersecurity-Lösung nicht alleine betrachten werden können: OT-Cybersecurity ist Teil der Anlagentechnik und damit Teil der Anforderungen, Teil der funktionalen Sicherheit, Teil der Systemintegration, des Projektmanagements und des Asset Managements der Anlagen. Es gelten separate Vorschriften und Prozesse für die Cybersicherheit von Anlagen, wie NIST800, IEC62443 (mit CENELEC TS 50701 für Bahnanlagen), IEC 62402 (Obsoleszenz), ISO 22301 (Business Continuity), ISO 27000, ISO 28000, ISO31000 für Unternehmensrisiken und Prozesse, SOC2, etc.
OT-Cybersecurity erfordert eine separate Orchestrierung von Projekten neben der Systemintegration der Anlagen und stellt einen eigene Aufgabe dar im Anlagenbetrieb neben der herkömmlichen Steuerung, Instandhaltung und Aktualisierung der Anlagentechnik. Neben den üblichen Schäden, welche auch erfolgreiche Angriffe auf ein reines IT-System mit sich bringen, spielt im Fall der Anlagen-Cybersecurity immer auch die Sicherheit von Leib und Leben eine Rolle, sei es der Kontrollverlust über Fahrzeuge oder Produktionsanlagen, die Unterbrechung der Stromversorgung oder die Beeinträchtigung der Funktion kritischer Systeme wie Beatmungsmaschinen oder Anlagen der Luftverkehrssicherung.
Transport und Güterumschlag
Die Transportinfrastrukturen und -dienstleister, insbesondere der Güterumschlag an Verkehrsknotenpunkten, wie Häfen oder intermodalen Terminals, sind besonders kritische Infrastrukturen mit zentralen Stellungen in den internationalen Lieferketten. Gleichzeitig stellen die hierzu betriebenen Anlagen mit Ihren vielen Beteiligten Mitarbeitern, Firmen, Prozessen und Technologien eine aussergewöhnliche Schwachstelle für die Aufrechterhaltung der Verfügbarkeit und die Versorgungssicherheit der abhängigen Menschen und Unternehmen dar. Gerade für diese Systeme ist die Optimierung und Rationalisierung, welche durch Digitalisierung und Automatisierung erreicht wird, ein unentbehrlicher Bestandteil der Wettbewerbsfähigkeit. Die hohe Angreifbarkeit der Infrastruktur gepaart mit dem grossen Schadens-Effekt erfolgreicher Angriffe, bedeutet, dass Transport und Güterumschlag in besonderem Mass und mit ausreichender Sicherheit geschützt werden müssen.
Rail
Bahnsysteme stellen in vielerlei Hinsicht aussergewöhnliche Herausforderungen an den Schutz gegen Cyberangriffe. Bahnanlagen erstrecken sich gewöhnlich über grosse geografische Bereiche, teilweise über ganze Länder, Fahrzeuge verschiedenster Betreiber befahren das Netz beliebig ohne grössere Einschränkungen, auch über Landesgrenzen hinweg, alle Systeme sind aus einer Vielzahl von Subsystemen und Technologien zusammengesetzt und stammen zusätzlich noch aus mehreren Technikgenerationen oder sogar -epochen. Sicherheitskritische Bahnanlagen unterliegen zudem für gewöhnlich einer Sicherheitszertifizierung, welche Anpassungen der Anlagen, wie beispielsweise Cybersecurity-Massnahmen oder auch schon erforderliche Software-Updates nicht immer ohne Weiteres zulässt. Mit wachsenden Personenzahlen und Gütermengen, die über immer weitere Distanzen immer schneller transportiert werden, stellt die Bahn unter den Transportarten eine besonders kritische Infrastruktur dar. Während sich in den vergangenen Jahren Cyber-Angriffe auf den Transportsektor inklusive der Bahnindustrie vervielfacht haben, werden momentan Digitalisierung und Automatisierung, wie beispielsweise fahrerlose Züge, mit erheblichen Investitionen voran gebracht. Insbesondere für die Bahnindustrie gilt, dass Anlagen, welche seit Jahrzenten sicher betrieben werden konnten, trotzdem durch die Einführung neuer Technologien ins Gesamtsystem nunmehr vorzeitig nicht mehr gegen Cyberangriffe geschützt werden können und dadurch vor Ablauf des geplanten Life-Cycles bereits obsolet werden. Für diese Fälle hilft zumindest eine anlagen-spezifische Angriffserkennung und -analyse weiter, welche zwar ein Ausnutzen bekannter, irreparabler Schwachstellen des Systems nicht verhindern kann, diese jedoch zuverlässig aufdeckt und ein aktives Notfallmanagement zur Aufrechterhaltung des sicheren Betriebs zulässt.
Maritime
In Häfen, sowohl in Seehäfen, als auch in Inlandshäfen, treffen verschiedenste Industrien aufeinander, welche alle für sich alleine bereits auf Grund der grossen Diversität der Anlagentechnik eine besondere Aufgabe für den Cyber-Schutz darstellt, Fracht- und Kreuzfahrtschiffe, LKW, Bahn, Umschlag, Disposition und Künstliche Intelligenz. Die Volatilität und Bedeutung der Schiffslogistik für die weltweiten Warenströme wurde erst kürzlich durch Auswirkungen der 6-tägigen Blockade des Suez-Kanals durch die havarierte Ever Given verdeutlicht. Auf Grund der herausragenden Position von Häfen für die globale Logistik und die Versorgung ganzer Länder unterstehen in den meisten Ländern die Anlagen des maritimen Transports und Umschlags mittlerweile strengen Auflagen für eine effektive Cybersicherheit. Die Planung der Cybersecurity steht vor denselben Herausforderungen wie die Gesamtintegration der Anlagen, Prozesse und Datenaustausche des Hafens und werden durch die Fortschritte der Anlagenintegration umso anspruchsvoller als auch umso dringender benötigt.
Energiesektor
Als „Motor“ für mittlerweile nahezu alle Schlüsselindustrien gelten für den gesamten Energiesektor, Erzeugung, Transport und Verteilung, von je her die strengsten Vorschriften zur Cybersicherheit. Mit der fortschreitenden Dezentralisierung der Stromerzeugung und lokalisierter Versorgung entstehen für die Versorgungssicherheit und den Schutz der Anlagen erhebliche, neue Herausforderungen. Nichtsdestotrotz stellen nach wie vor grosse Kraftwerke und Transportnetze das Rückgrat der Stromversorgung weltweit und bedürfen daher der höchsten Aufmerksamkeit beim Schutz gegen Cyberangriffe und -manipulationen. Nicht viele Organisationen haben ausreichend eigene Erfahrung, um geeignete Massnahmen festzulegen und durchzuführen.
Automation
Die Prozess-Automation moderner Produktionsanlagen bringt eine ständige Erhöhung der gegenseitigen Abhängigkeit und Konnektivität der Systeme mit sich. Das bedeutet auch, dass ganze Anlagen durch die Schwachstelle einer einzigen Komponente zum Stillstand gebracht werden können. Automatisierung ohne Cybersecurity wird über kurz oder lang die Vorteile der Optimierung durch Eintreten der Risiken wieder einbüssen, dabei ist bei der Erneuerung von Anlagen oder der Einführung neuer Technologien eine Umsetzung von Cybersecurity-Massnahmen verhältnismässig einfach durchzuführen, dasselbe gilt für die Nachrüstung bestehender Anlagen
Smart Buildings, Smart City
Genau wie in der Prozessautomation ergeben sich aus der Digitalisierung, Automatisierung und vor allem der Verknüpfung der Anlagen moderner Immobilien neue Risiken für die Zuverlässigkeit und die Angreifbarkeit des Gesamtsystems. Insbesondere für Krankenhäuser und andere kritische Infrastrukturen wie Datencenter, Notfallzentralen oder militärische Einrichtungen ist daher ein ausreichender Schutz gegen Cyberangriffe unerlässlich. Mit der Zugänglichkeit der meisten Systeme auch über das Internet ergeben sich neue Anforderungen, welche meist nur noch durch zeitgemässe Konzepte wie Zero-Trust und tag-basierte oder policy-basierte Netzwerk-Kontrolle erfüllen lassen.
Data Protection
Der Schutz sensibler Daten, welcher für die IT-Cybersecurity von herausragender Bedeutung ist, spielt für die Anlagen-Cybersecurity nur eine ungeordnete Rolle. Aus dem „CIA“-Prinzip (Confidentiality, Integrity, Availability) der IT wird bei den Anlagen das „SRP“ (Safety, Reliability, Productivity). Wichtig dabei is tzu verstehen, dass durch jede Verbindung der Systeme der Business IT und der OT (Operational Technology) das jeweilige Prinzip auch in der anderen Domäne zum Tragen kommt.