OT Security

Die GEVAG, Betreiber einer Kehrichtverbrennungsanlage und Fernwärmeversorgungsanbieter in Graubünden, steht für kritische Infrastruktur. Ein Ausfall oder die Fremdsteuerung der Verbrennungsanlage kann schwerwiegende Folgen für betroffene Gemeinden oder Fernwärmebezieher bedeuten. Um die Resilienz gegenüber Angriffen sowie ihre Cyber-Sicherheit zu stärken, beauftragte die GEVAG Redguard mit der Durchführung eines Penetration Tests ihrer internen sowie extern exponierten Systeme.

Die Vernetzung von Gebäudefunktionen wie Heizung, Strom, Wasser und Sicherheit ist ein unverzichtbarer Bestandteil moderner Gebäude. Die fortschreitende Integration dieser Systeme ins Internet birgt neue Risiken. Ein Cyberangriff kann den Betrieb beeinträchtigen und im schlimmsten Fall Menschenleben gefährden. Die Information Security Society Switzerland (ISSS), deren Kooperationspartner wir sind, hat dazu Empfehlungen und Best-Practices veröffentlicht. Das ISSS-Dokument richtet sich an Projektleiter und Betreiber von Gebäuden, insbesondere kritischer Infrastrukturen und öffentlicher Gebäude wie Schulen und Spitäler. Es gibt praxisorientierte Empfehlungen und Best-Practices zur Implementierung von Sicherheitsmassnahmen. Hier können Sie eine kurze Zusammenfassung lesen.

Die Implementierung einer robusten OT-Sicherheitsstrategie ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der sich an neue Bedrohungen, technologische Entwicklungen und sich ändernde regulatorische Anforderungen anpassen muss. Dieser Prozess beginnt mit der Entwicklung einer klaren und umfassenden OT-Sicherheitsrichtlinie, die als grundlegender Leitfaden für alle Sicherheitsmassnahmen dient. Ein essenzieller Bestandteil jeder Sicherheitsstrategie ist die Sensibilisierung und Schulung aller Mitarbeitender, insbesondere jener, die direkt mit OT-Systemen arbeiten. Da viele Angriffe durch menschliche Fehler oder mangelndes Sicherheitsbewusstsein ermöglicht werden, ist eine gezielte Schulung von Technikern, Ingenieuren und IT-Administratoren unerlässlich. Diese Schulungen sollten nicht nur theoretische Grundlagen vermitteln, sondern auch praxisnahe Übungen umfassen, um die Reaktionsfähigkeit in kritischen Situationen zu stärken. Dieser Artikel zeigt auf, wie Sie diese Herausforderungen angehen können.

Um OT-Infrastrukturen effektiv vor Cyber-Angriffen und Sicherheitsvorfällen zu schützen, ist eine mehrschichtige Sicherheitsarchitektur unerlässlich. Dieses sogenannte «Defense-in-Depth»-Modell basiert darauf, dass mehrere unabhängige Schutzmassnahmen implementiert werden, um eine tiefgehende Verteidigungslinie zu schaffen. Dieser Artikel beschreibt, wie Sie Angriffe frühzeitig erkennen und ihre Ausbreitung verhindern können, so dass Ihre Systeme auch dann widerstandsfähig halten können, wenn eine der Sicherheitsmassnahmen versagt.

Cyber-Angriffe auf industrielle Steuerungssysteme nehmen weltweit zu, insbesondere in kritischen Infrastrukturen wie Energieversorgung, Wasserversorgung und Produktionsanlagen. Da OT-Systeme häufig jahrzehntealte Technologien nutzen, die ursprünglich nicht für eine Vernetzung mit IT- und Cloud-Systemen konzipiert wurden, sind sie besonders anfällig für Cyber-Angriffe.

Die zunehmende Vernetzung von IT und OT in kritischen Infrastrukturen wie Energie und Produktion schafft neue Angriffsflächen für Cyber-Bedrohungen mit gravierenden Folgen. Die Bedrohungslage hat sich verschärft, da professionelle Akteure und Cyberkriminelle die potenziellen Auswirkungen auf unsere Gesellschaft erkennen. Dieser Artikel beleuchtet die steigenden Risiken, die Herausforderungen bei der OT-Sicherheit und die Notwendigkeit eines Umdenkens, da traditionelle Schutzmassnahmen nicht mehr ausreichen. Nur eine proaktive und ganzheitliche Herangehensweise kann die Resilienz unserer kritischen Infrastruktur gewährleisten.

Was müssen Schweizer Hersteller und Importeure jetzt unternehmen? Der Cyber Resilience Act ist eine neue Verordnung der Europäischen Union, welche die Cyber-Sicherheit von Produkten mit digitalen Elementen (z. B. Smart Watch, Saugroboter, digitales Türschloss) verbessern soll. Obwohl die Schweiz nicht zur EU gehört, hat der CRA auch Auswirkungen auf Schweizer Unternehmen, die solche Produkte in der EU verkaufen. In diesem Blogbeitrag erfahren Sie, was der CRA für Ihr Unternehmen bedeutet und welche Schritte Sie unternehmen sollten.

Ab dem 1. Juli 2025 wird der IKT-Minimalstandard für Gasversorger in der Schweiz verpflichtend. Dies hat das Bundesamt für Energie (BFE) im Rahmen des revidierten Gasversorgungsgesetzes (GasVG) beschlossen. Was bedeutet das für die betroffenen Unternehmen und wie können sie sich optimal auf die neuen Anforderungen vorbereiten?

(Informations-)sicherheit in der Industrie stellt besondere Anforderungen an das Produktionsunternehmen. Aufgrund von Verletzungsgefahren liegt ein Hauptmerk auf der OT-Security, der Sicherheit von Operational Technology Systemen. Wie wir für die Truffer AG eine Sicherheitsanalyse durchführten, welche Massnahmen wir unter anderem beschlossen und was es mit dem Purdue-Modell für industrielle Steuerungssysteme (ICS) auf sich hat, erfahren Sie in diesem Beitrag.

IoT-Lösungen sind oft unzureichend geschützt. Der IoT Security Verification Standard (ISVS) von OWASP hilft, die Informationssicherheit solcher Lösungen zu erhöhen. Deshalb unterstützt Redguard die Entwicklung des neuen Standards. Lesen Sie mehr über die Modularität der Anforderungen und die verschiedenen Levels, mit denen der ISVS an IoT-Projekte angepasst werden kann – bereits bei der Planung sowie bei späteren Penetration Tests.

In einem umfassenden Sicherheitsaudit mit anschliessendem Penetration Test liess das Elektrizitätswerk Vilters-Wangs ihr Netzwerk auf Schwachstellen prüfen. Das umfasste auch die Internet-of-Things-Komponente der Smart Meter zur elektronischen Fernauslesung des Stromverbrauchs. Das Elektrizitätswerk Vilters-Wangs (EW Vilters-Wangs) betreibt zwei Netzwerke: zur Steuerung der Produktionsanlage (EW-Leitsystem) und zum Auslesen der verteilten Stromzähler (Smart Meter).

Damit die Strom- und Trinkwasserversorgung auch in Ausnahmesituationen gewährleistet ist, hat die EW Rothrist AG eine Situationsanalyse der Cyber-Risiken durchgeführt, Systeme und Prozesse verbessert, Mitarbeiter geschult und Informationssicherheit als strategisches Thema in der Geschäftsleitung verankert. Den IKT-Minimalstandard haben sie pragmatisch und innert kurzer Frist umgesetzt. Das ist dem grossen Engagement der Verantwortlichen bei EW Rothrist mit der Unterstützung von Redguard zu verdanken.

Die Uster Technologies AG ist ein internationaler Hersteller von elektronischen Mess- und Qualitätssicherungssystemen für die Textilindustrie. Unternehmenswerte wie Forschungs- und Entwicklungsdaten sind potentielle Ziele für einen möglichen Angriff von aussen. Die Uster Technologies ist bestrebt, diese Werte und Daten gegen Cyberangriffe zu schützen. Deshalb unterzog sich die Unternehmung einer 360-Grad-Betrachtung, um mögliche Schwachstellen aufzudecken.

Die Delta Electronics (Switzerland) AG in Bern entwickelt und produziert modulare Stromversorgungen für Telecom und IT-Anwendungen. Das zentrale Element einer Delta Energieversorgung ist der ORION Controller, welcher das System steuert und überwacht. Selbstredend besteht hier eine sehr hohe Erwartung bezüglich Sicherheit, da bei einer Fehlfunktion die angeschlossenen Geräte ausfallen. In Form eines Penetration Tests wurde der ORION Controller durch die Redguard AG auf dessen Sicherheitszustand überprüft.

Die KIBAG Dienstleistungen AG ist täglich bestrebt, die eigenen Unternehmenswerte zu schützen. Werte existieren nicht nur physisch, sondern vermehrt auch auf elektronischer Basis. Spezifisch zugeschnittene Cyber-Angriffe zwecks Spionage sowie zielgerechte Schadsoftware nehmen als Bedrohung weiter an Bedeutung zu. Als Grundlage zur Verbesserung und Optimierung des bestehenden Sicherheitsdispositivs hat die KIBAG durch Redguard eine Attack Simulation durchführen lassen.

Sicherheit für ein neues Produkt. Die dormakaba Schweiz AG liess die neue Zutrittslösung exivo von den Sicherheitsexperten von Redguard prüfen. Dabei war die Ausgangslage nicht ohne Herausforderungen: exivo wird in der Cloud entwickelt und betrieben, es verbindet virtuelle und physische Komponenten (Internet of Things) und die Arbeit und Tests von Redguard mussten mit einer agilen Softwareentwicklung Schritt halten.