Information et éducation par et pour la communauté SAP
Gestion informatique, MAG 21-06

Cybersécurité

Les cybercriminels ont découvert que l'OT et l'IoT étaient des cibles lucratives pour les attaques. De nombreuses entreprises ne sont que peu préparées à cette menace. Une approche structurée permet de minimiser les risques.
Christian Koch NTT Data
22 juillet 2021
Contenu :
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Angriffe auf Wasserversorgungssysteme, manipulierte Mischungsverhältnisse von Medikamenten bei Pharmaunternehmen, Ausfälle der Anzeigetafeln im öffentlichen Nahverkehr: Hacker entdecken zunehmend die Operational Technology (OT) und das Internet der Dinge (IoT) als lu­kratives Angriffsziel. Während den meisten Menschen inzwischen klar ist, dass sie nicht auf dubiose Mails voller Rechtschreibfehler klicken sollten, sind Maschinen und Anlagen oft ungeschützt.

Lange Zeit hatten Cyberkriminelle kein Interesse an OT, weil Produktionsanlagen oder Versorgungssysteme für Strom, Wasser und Gas nicht mit anderen IT-Systemen verbunden waren und sie so kaum Schäden anrichten konnten oder Angriffe sehr komplex waren.

Vernetzte Produktion lockt Kriminelle

Die Fertigungsindustrie digitalisiert ihre Geschäftsprozesse entlang der gesamten Wertschöpfungskette, von der Virtualisierung im Produktentstehungsprozess über flexiblere Service- und Geschäftsmodelle bis zu neuen Herstellungsverfahren wie Additive Manufacturing. Durch die Anbindung der Produktionsanlagen und Maschinen an interne Systeme zur Produktionssteuerung oder immer mehr auch an die Cloud steigt das Risiko für Malware und Cyberangriffe.

Dabei versuchen die Cyberkriminellen, eine Anlage zu stören und Lösegeld zu erpressen oder im Auftrag von meist ausländischen Wettbewerbern oder Staaten an Betriebsgeheimnisse zu kommen. Dann tauchen Monate später Kopien von Autoersatzteilen auf, die nicht einmal ein Servicetechniker vom Original unterscheiden kann. Dass die Sicherheit von OT dem Stand in der IT so weit hinterherhinkt, liegt daran, dass OT von Ingenieuren geplant wird, die fachliche Anforderungen der Produktion unter Kostendruck und in kurzer Zeit umsetzen müssen, für die aber in der Vergangenheit Cybersecurity nie ein Thema war. Sie entwickeln eine Anlage rein nach funktionalen Gesichtspunkten.

Bei neuen Risiken durch Cybersecurity müsste die Software der Anlagen eigentlich gepatcht werden. Doch das ist in der OT normalerweise nicht vorgesehen. Never touch a running system, gilt in der OT noch mehr als in der IT. Meist ist auch keine Zeit, um Patches aufzuspielen. Selbst wenn das Update vielleicht nur einige Minuten dauert, kann es zum Stillstand einer ganzen Produktion führen und ein langwieriges Wieder­anfahren nach sich ziehen, insbesondere da meist auch Funktionstests nötig sind. Also muss man auf ohnehin geplante Wartungsfenster ausweichen, die aber selten sind. In Anlagen der chemischen Produktion etwa kann es mehrere Jahre dauern, bis sich einmal die Gelegenheit für ein Update inklusive aller funktionalen Tests ergibt.

Ce qu'il faut faire

Als Komplementärmaßnahme empfiehlt sich oft als Erstes eine Netzwerksegmentierung. Dabei trennt man Teile einer Anlage je nach Risikolevel und Kritikalität von anderen Systemen ab. Hierzu müssen der Detailaufbau und die Kommunikation der Anlage bekannt sein. Es empfiehlt sich, auch Altsysteme, die manchmal Jahrzehnte alt sein können und für die es keine Updates mehr gibt, von neuen Teilen zu trennen und separate Sicherheitsstrategien anzuwenden. Doch nicht nur Hersteller und Betreiber einer Anlage sind gefordert, für eine hohe Security müssen auch die Instandhalter mit im Boot sein. Bei Fernwartung greifen sie über eine VPN-Verbindung meist auf einen Jump-Server zu. Über solche Verbindungen gelingt es Hackern hin und wieder, Schad- und Spionagesoftware zu platzieren, die dann ganze Anlagen und Werke befallen kann, insbesondere wenn der Zugriff auf den Jump-­Server oder die VPN-Authentifizierung nur schwach geschützt ist.

Um solche Risiken zu vermindern, braucht es eine bessere Architektur. Manche Security-Dienstleister empfehlen dazu ein Audit mit einem Penetration Test, das Schwachstellen in der IT- und OT-Infrastruktur aufdecken soll. Vermutlich findet man jede Menge Schwachstellen, doch der Erkenntnisgewinn ist gering, insbesondere wenn keine Security in die OT-Systeme implementiert wurde. Viel besser ist es, erst einmal Maßnahmen umzusetzen und diese dann mit einem Audit zu prüfen. Startpunkt für eine bessere OT-Security ist eine höhere Sichtbarkeit in den OT-Netzen. Oft wissen die Unternehmen gar nicht, welche Detailkomponenten sie in den Anlagen haben, welche Softwareversionen sie nutzen, welche Daten sie austauschen und ­welche Verbindungen nach außen zu Dritt­firmen bestehen. Doch was nicht bekannt ist, kann man auch nicht schützen. Die Kenntnis der eingesetzten Software-Versionen, Kommunikationsbeziehungen, externen Zugriffe, Zonierungen im Netzwerk und einiges mehr ist die Grundlage jeder Cybersecurity-Strategie.

Viele Unternehmen, die nach Unterstützung für OT-Security fragen, haben bereits einen Sicherheitsvorfall hinter sich oder kennen Unternehmen in ihrem Umfeld, die so einen Vorfall hatten. Das Bewusstsein ist in den vergangenen Jahren gestiegen und die Unternehmen sind motiviert, mehr für die Security zu tun. Die Unternehmen fühlen sich allerdings oft überfordert und wissen nicht, wo sie beginnen sollen. Hier ist ein strukturiertes Vorgehen gefragt, das dem Unternehmen Orientierung gibt.

PDF en anglais

Bannière NTTDataCI.jpg
avatar
Christian Koch NTT Data

Christian Koch, Vice President Cybersecurity und Lead für IoT/OT bei NTT Data


Tous les articles de l'auteur

Écrire un commentaire

Intelligence artificielle : le pas de l'idée à la production

Communication numérique pour SAP : Retarus Cloud Services

Atos reçoit le Golden Certificate de SAP en tant que Global Operations Partner

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.