Cybersecurity in der Produktion: Warum OT-Security jetzt Chefsache wird – mit Sarah Fluchs

Cybersecurity endet nicht im Rechenzentrum.


In dieser Folge des ChaosHacker-Talks sprechen wir über die
Systeme, die wirklich kritisch sind: Produktionsanlagen,
Steuerungen und industrielle Automatisierung.


Mein Gast ist Sarah Fluchs,
Automatisierungsingenieurin, Security-Expertin für industrielle
Systeme und Mitglied der Cyber Resilience Act Expert
Group der EU-Kommission.


Wir schauen gemeinsam auf eine Realität, die viele Unternehmen
unterschätzen:
Während IT-Security inzwischen relativ etabliert ist, stehen
viele Produktionsumgebungen erst am Anfang.


Dabei geht es hier nicht nur um Daten.
Es geht um Ventile, Motoren, Produktionslinien – und im
Life-Science Umfeld letztlich um Patientensicherheit.


Ein zentraler Teil der Diskussion ist der Cyber
Resilience Act (CRA) der EU.
Er verpflichtet Hersteller erstmals dazu, Security bereits
im Produktdesign zu berücksichtigen.


Für Unternehmen bedeutet das:




Produkte ohne Security-Konzept werden künftig nicht mehr
verkäuflich sein




Betreiber müssen stärker verstehen, was in ihren
Anlagen wirklich passiert




und Security muss früh im
Engineering-Prozess beginnen – nicht kurz vor
Go-Live.




Wir sprechen außerdem über:




die Unterschiede zwischen IT und OT




warum viele erfolgreiche Angriffe auf banalen
Basics beruhen




warum Security oft an der falschen Stelle diskutiert wird




und warum eine saubere Risikoanalyse eines
der mächtigsten Werkzeuge überhaupt ist.




Kurz gesagt:
Wenn Digitalisierung Produktion verändert, muss Security
mitdenken.


Und zwar von Anfang an.




OT-Security ist nicht gleich
IT-Security
Produktionssysteme haben andere Anforderungen – etwa
Echtzeitfähigkeit, deterministische Kommunikation und lange
Lebenszyklen.




Der Cyber Resilience Act verändert die
Spielregeln
Hersteller müssen künftig Security-Anforderungen erfüllen, um
digitale Produkte überhaupt verkaufen zu dürfen.




Security by Design statt Security als
Nachgedanke
Sicherheitsanforderungen müssen bereits in Engineering- und
Designprozessen berücksichtigt werden.




Viele Angriffe nutzen simple
Schwachstellen
Offene Ports, fehlende Netzwerksegmentierung oder mangelnde
Transparenz sind häufig die eigentlichen Probleme.




Risikoanalyse ist ein
Entscheidungswerkzeug
Sie hilft zu priorisieren, wo Security wirklich relevant ist
– und wo nicht.




Security darf keine Angstkommunikation
sein
Ziel ist nicht, Nutzer einzuschüchtern, sondern Systeme so zu
gestalten, dass Menschen sicher arbeiten können.




Ein gutes Systemverständnis ist der
Schlüssel
Wer seine Prozesse, Systeme und Abhängigkeiten nicht
versteht, kann auch keine wirksame Security aufbauen.




Cyber Resilience Act (EU)
https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act


Konferenz: Security unter Kontrolle
https://security-unter-kontrolle.de


Buch: Countdown to Zero Day – Kim Zetter
https://www.penguinrandomhouse.com/books/318336/countdown-to-zero-day-by-kim-zetter/


Buch: Sandworm – Andy Greenberg
https://www.penguinrandomhouse.com/books/561678/sandworm-by-andy-greenberg/


Norm für OT-Security: IEC 62443


Key TakeawaysLinks aus der Episode