Newsroom
Newsletter abonnieren

Den Wandel der Cybersicherheitslandschaft für kritische Infrastrukturen und industrielle Betriebe meistern

7 Minuten zum Lesen
Tags:
Geschrieben von:
Andrea Monteleone
Andrea Monteleone
How to manage the changing cybersecurity landscape for critical infrastructure and industrial operations

Berater und Fachleute, die Sicherheitslösungen für Industrie und kritische Infrastrukturen entwerfen und implementieren, stehen unter besonderem Druck. Der physische Schutz solcher „wesentlichen Einrichtungen“ – wie sie zunehmend in der Regulierung genannt werden – ist nach wie vor zentral. Doch heute müssen diese Lösungen auch Schutz vor digitalen Angriffen bieten.

Zudem müssen alle Beteiligten entlang der Wertschöpfungskette mit einem sich wandelnden regulatorischen Umfeld umgehen, um die Einhaltung gesetzlicher Vorgaben sicherzustellen. Digitale Sicherheit ist eine gemeinsame Verantwortung aller, die an der Konzeption, Spezifikation, Lieferung und Nutzung einer Sicherheitslösung beteiligt sind. Im Folgenden beleuchten wir einige der zentralen Aspekte.

Eine Welt, in der fast jede Industrie kritisch ist

Die Störung zentraler Dienste – etwa Strom- und Wasserversorgung, Gesundheitswesen oder Produktion – war schon immer ein Ziel von Angreifern in Konflikten.

Vor dem digitalen Zeitalter waren solche Angriffe rein physisch. Doch die flächendeckende Vernetzung aller Lebensbereiche hat es möglich gemacht, dass Angreifer physische und digitale Mittel kombinieren, um gesellschaftlich essenzielle Dienste zu stören.

Es ist kein Geheimnis, dass Cyberangriffe in Zahl und Komplexität zunehmen – und dass sie von unterschiedlichsten Akteuren ausgehen. Vom neugierigen Hobby-Hacker über organisierte Cyberkriminelle bis hin zu staatlich unterstützten Gruppen, die Gesellschaften destabilisieren wollen: Die Bedrohungen sind vielfältig.

Durch die globale Vernetzung der Lieferketten hat sich auch die Definition dessen, was als „wesentliche Einrichtung“ gilt, erweitert. Noch vor wenigen Jahren hätten viele die Halbleiterproduktion nicht als kritisch eingestuft. Doch die Lieferengpässe während der Pandemie haben gezeigt, wie essenziell Chips für moderne industrielle Prozesse sind.

Der sogenannte „Schmetterlingseffekt“ – bei dem eine kleine Störung große Folgen haben kann – wurde für die global integrierte Technologielieferkette deutlich sichtbar.

Regulierungsbehörden stehen vor Herausforderungen

Angesichts der rasanten Entwicklung im Bereich digitaler Bedrohungen fällt es Regierungen und Aufsichtsbehörden schwer, Schritt zu halten. Ihre Reaktion: Sie ändern zunehmend die Art und Weise, wie sie digitale Sicherheit regulieren.

Anstatt detailliert vorzuschreiben, welche Maßnahmen Anbieter kritischer Dienste umsetzen müssen, liegt der Fokus nun darauf, dass diese Anbieter selbst nachweisen müssen, dass sie ausreichend geschützt sind.

Diese Veränderung betrifft nicht nur die Betreiber selbst, sondern auch alle, die innerhalb der Versorgungskette Fachwissen und Lösungen bereitstellen. Die gesamte Wertschöpfungskette – von der Quelle bis zum Endpunkt – gerät unter Beobachtung.

NIS2 als Beispiel für den regulatorischen Wandel

Regelungen zur digitalen Sicherheit unterscheiden sich weltweit. Vom NIST Cybersecurity Framework in den USA bis zum geplanten Cyber Resilience Act in der EU – nationale und regionale Behörden definieren ihre Ansätze zum Schutz kritischer Dienste.

Die NIS2-Richtlinie, die im Januar dieses Jahres in Kraft trat und bis Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden muss, ist ein gutes Beispiel für die Auswirkungen neuer Regelungen auf wesentliche Einrichtungen.

NIS2 reagiert auf die sich wandelnde Bedrohungslage, soll das Schutzniveau in der EU erhöhen und schließt Lücken der ursprünglichen NIS-Richtlinie. Ziel ist es, „eine Sicherheitskultur in Sektoren zu schaffen, die für unsere Wirtschaft und Gesellschaft von zentraler Bedeutung sind und stark auf Informations- und Kommunikationstechnologie angewiesen sind – etwa Energie, Verkehr, Wasser, Banken, Finanzinfrastrukturen, Gesundheitswesen und digitale Infrastruktur“.

Die Richtlinie zeigt deutlich, wie sehr alle Sektoren inzwischen von Technologie abhängig sind – und wie Cyberkriminelle ständig nach Schwachstellen suchen und diese ausnutzen.

Laut NIS2 müssen die Mitgliedstaaten jene Unternehmen und Organisationen identifizieren, die als Betreiber wesentlicher Dienste gelten. Diese müssen geeignete Sicherheitsmaßnahmen ergreifen und schwerwiegende Vorfälle den zuständigen Behörden melden.

Auch zentrale digitale Dienstleister – etwa Anbieter von Cloud-Diensten – müssen die Sicherheits- und Meldepflichten erfüllen. Die Ausweitung über die Betreiber hinaus auf die gesamte Technologielieferkette ist offensichtlich.

Sicherheitslösungen als Teil der Versorgungskette wesentlicher Einrichtungen

Wie erwähnt, war der Schutz kritischer Dienste schon immer ein zentrales Anliegen. Physische Maßnahmen – etwa Zäune, Zugangskontrollen und Wachpersonal – wurden durch Technologie ergänzt, etwa durch moderne videobasierte Systeme. Die zunehmende Vernetzung dieser Lösungen macht sie jedoch auch anfällig für digitale Angriffe und rückt sie ins Zentrum regulatorischer Aufmerksamkeit.

Architekten, Ingenieure und Berater, die solche Lösungen entwerfen und spezifizieren, tragen große Verantwortung. Sie müssen Systeme entwickeln, die sowohl heutigen Anforderungen an physischen und digitalen Schutz gerecht werden als auch künftigen Herausforderungen gewachsen sind – um regulatorische Vorgaben dauerhaft zu erfüllen.

Dazu braucht es ein „Systemdenken“. Berater müssen die Lösung als Gesamtsystem betrachten – nicht als Sammlung einzelner Komponenten – und die Beziehungen zwischen Hardware und Software sowie deren Integration in die Infrastruktur des Dienstleisters berücksichtigen. Design, Implementierung, Integration und Wartung sind entscheidend für die digitale Sicherheit – und es muss anerkannt werden, dass sich jede Lösung im Laufe der Zeit weiterentwickeln muss. Ein statisches System wird früher oder später angreifbar.

Was bedeutet der Wandel für die Planung von Sicherheitslösungen?

Wer Lösungen entwirft und spezifiziert, muss auch die potenziellen Risiken berücksichtigen, die durch die technische Empfehlung entstehen. Zwar liegt der Fokus auf den definierten betrieblichen Anforderungen, doch IT- und Sicherheitsaspekte sind heute ebenso zentral. Spezifikationen müssen mit Regelwerken wie der NIS2-Richtlinie abgestimmt sein, um die Compliance der Organisation zu unterstützen.

Berater müssen sicherstellen, dass die Produkte eines Anbieters den Sicherheitsrichtlinien des Kunden entsprechen – inklusive aller relevanten Vorschriften. Eine sorgfältige Prüfung der Sicherheitsstrategie des empfohlenen Herstellers ist unerlässlich.

Zudem sollten Berater Richtlinien und Prozesse für die Technologieanbieter definieren – ebenso wie technische Merkmale. Funktionen wie „Secure Boot“, signierte Firmware, Komponenten zur sicheren Geräteidentifikation und ein Trusted Platform Module (TPM) sind heute unverzichtbar und sollten spezifiziert werden.

Auch Zertifizierungen wie ISO27001, Richtlinien zur Schwachstellenbehandlung, Sicherheitsmeldungen und ein klar definierter Entwicklungsprozess gehören in die Spezifikation.

Schließlich sollte ein Lifecycle-Management-Ansatz integriert werden. Der Einsatz von Management Tools und eine dokumentierte Firmware-Strategie helfen, künftige Risiken zu minimieren und Kunden langfristig abzusichern. So können Systeme und Geräte über ihren gesamten Lebenszyklus hinweg möglichst sicher betrieben werden.

Diese Maßnahmen zeigen die digitale Reife einer Organisation und ihre Fähigkeit, sich an die sich wandelnde Bedrohungslage anzupassen.

Neue Rollen in einer sich wandelnden Sicherheitslandschaft

Für jedes Land ist es von zentraler Bedeutung, Unterbrechungen kritischer Dienste zu vermeiden. Schon geringe Störungen können wirtschaftliche Folgen haben – und rasch zu gesellschaftlichen Problemen oder Gesundheitsrisiken führen.

Unabhängig von der Herkunft der Bedrohung ist der Schutz kritischer Dienste und ihrer Betreiber daher essenziell. Regulierungsbehörden weltweit haben dies erkannt – ebenso wie die Tatsache, dass Bedrohungen sowohl physisch als auch digital sind.

Sie haben aber auch erkannt, dass sich digitale Bedrohungen so schnell entwickeln, dass konkrete Vorgaben oft schon veraltet sind, bevor sie veröffentlicht werden. Daher hat sich der regulatorische Ansatz geändert: Anbieter müssen nachweisen, dass sie über die nötige Technologie, Prozesse und Ressourcen verfügen, um mit der Bedrohungslage umzugehen.

Das bedeutet: Alle Beteiligten in der Versorgungskette wesentlicher Einrichtungen müssen auf diese Herausforderung reagieren – auch jene, die Sicherheitslösungen entwerfen und spezifizieren. Die Risikominderung ist eine gemeinsame Verantwortung. Unsere Unternehmen hängen davon ab – doch die Folgen für die Gesellschaft könnten noch weitreichender sein.

Erfahren Sie mehr über unseren Ansatz zur digitalen Sicherheit, Ressourcen und bewährte Verfahren.
Axis' Cybersecurity-Strategie

Andrea Monteleone

Andrea Monteleone ist Segment Development Manager EMEA für Axis und konzentriert sich auf die kritische Infrastruktur. Er arbeitet zusammen mit anderen, um die langfristigen Strategien von Axis für dieses spezifische Segment zu definieren, und unterstützt die Vertriebs- und Marketingorganisationen in der gesamten EMEA-Region bei der Erfüllung der Kundenbedürfnisse. In den letzten 15 Jahren war er Sales Manager für viele Unternehmen auf dem Sicherheitsmarkt und kam 2016 zu Axis. In seiner Freizeit entspannt er sich beim Klettern, Skifahren oder Paragliding im Herzen der italienischen Alpen.

Mehr Beiträge lesen von Andrea
Andrea Monteleone