Nur 52 Prozent der Unternehmen haben adäquate Reaktionsmaßnahmen auf Attacken gegen industrielle Kontrollsysteme implementiert. In Zeiten der Digitalisierung stehen Betreiber industrieller Kontrollsysteme (ICS, Industrial Control System) zunehmend vor der Herausforderung, ihre Systeme und Anlagen vor Cyberangriffen zu schützen. Laut der Kaspersky-Studie „State of Industrial Cybersecurity 2018“ sehen die befragten Industrieorganisationen branchenübergreifend Personalmangel, fehlende Investitionen durch das Management sowie den Faktor Mensch als die drei größten Hindernisse für eine ultimative Netzwerksicherheit. Da laut Kaspersky-Daten nahezu 40 Prozent der industriellen Kontrollsysteme im Halbjahresturnus angegriffen werden, können Cybersicherheitslücken in kritischen Infrastruktursystemen die Risiken für Unternehmen erheblich erhöhen.

Industrie- und Energieunternehmen sowie Transport- und Logistikfirmen verfolgen naturgemäß sehr unterschiedliche Geschäftsmodelle. Entsprechend unterschiedlich sind folglich die Auffassungen darüber, was für negative Auswirkungen Cyberangriffe auf ihre industriellen Netzwerke (ICS, Industrial Control System) haben könnten. Transport- und Logistikunternehmen – deren Geschäftskonzept primär auf einem Servicemodell basiert – bewerten beispielsweise einen Verlust des Kundenvertrauens (75 Prozent) als existenzielle Bedrohung. Für die Mehrheit der Fertigungs- (66 Prozent) und Energieunternehmen (73 Prozent) besteht laut Kaspersky-Umfrage hingegen die größte Gefahr darin, die Produktionsqualität durch einen gezielten Cyberangriff nicht mehr gewährleisten zu können.

Stiefkind IT-Sicherheit für industrielle Kontrollsysteme
Die Studie ergab außerdem, dass trotz der Häufigkeit und des hohen Schädigungspotenzials von Angriffen auf das ICS-Netzwerk – auf industrielle Kontrollsysteme – lediglich 52 Prozent der Unternehmen, branchenübergreifend, adäquate Reaktionsmaßnamen auf solche Vorfälle getroffen haben. Verglichen mit den Vorkehrungen gegenüber Angriffen auf das herkömmliche Unternehmensnetzwerk ein eher geringer Wert: so verfügen 77 Prozent der befragten Firmen über Security-Implementierungen, die im Falle einer Attacke auf die eigene IT-Büro-Infrastruktur zum Einsatz kommen.

Unterfinanziert und unterqualifiziert
Die Aufgabe, industrielle Netzwerke zu schützen, fällt häufig denjenigen zu, die für die Informationssicherheit im Unternehmen verantwortlich sind. In 40 Prozent der Fertigungsunternehmen liegt der Schutz industrieller Kontrollsysteme (ICS) in der Verantwortung der IT-Sicherheitsbeauftragten des Unternehmens. Innerhalb der Transport- und Logistikunternehmen hingegen bestätigt mehr als die Hälfte der Befragten (58 Prozent), dass die ICS-Sicherheit von einem spezialisierten Team bereitgestellt wird, das sich in Vollzeit der Bekämpfung von Bedrohungen widmet.

Der Faktor Mensch – ein Klassiker der Sicherheitsproblematik
Die Konsequenzen des Fehlverhaltens eigener Mitarbeitern stellt für die Hälfte (49 Prozent) der Unternehmen aus allen Wirtschaftsbereichen eine kritische Bedrohung dar. Das ist nicht überraschend, da Mitarbeiterfehler mit 27 Prozent nach Malware und Ransomware der häufigste Grund für Sicherheitsvorfälle innerhalb industrieller Kontrollsysteme darstellt. Glücklicherweise sind sich Unternehmen dieses Problems bewusst und versuchen es zu lösen, indem sie ihr Personal schulen und Verhaltensregeln für kritische Infrastrukturobjekte aufstellen. Ganze 82 Prozent der Unternehmen haben bereits Schulungen für Mitarbeiter, Auftragnehmer und Lieferanten durchgeführt.