Was ist die größte Motivation für Unternehmen, ernsthaft in Cybersecurity zu investieren? Yair Attar bricht es auf zwei Situationen herunter: "Entweder eine Firma wird selbst Opfer eines Cyberangriffs, oder der größte Konkurrent wird es." Der 34-jährige Israeli kennt die Situation. Als Mitgründer von Otorio befasst er sich mit OT-Security, einem der breiten Masse noch eher unbekannten Feld der Cyberabwehr. OT steht für Operational Technology, also physische Abläufe in Fabriken.

Mittlerweile vergeht keine Woche mehr ohne Meldungen, dass Firmen gehackt wurden. Doch in der OT ist die Ausgangslage anders: "IT-Security befasst sich mit Daten, Servern und Netzwerken, bei OT-Security hingegen geht es um Maschinen in produzierenden Betrieben, darum, dass Fließbänder, CNC-Maschinen oder Roboter nicht zum Erliegen kommen", sagt Attar im Gespräch mit dem STANDARD. Dafür brauche es völlig andere Maßnahmen als in der Informationstechnologie (IT).

Israel Raketen
Die Otorio-Gründer haben in der Armee dafür gesorgt, dass das Stromnetz und das Raketenabwehrsystem in Israel nicht ausfällt. Dieses Wissen nutzen sie nun für Cybersecurity.
APA/AFP/MENAHEM KAHANA

Cybersecurity spielte im Industriebereich für lange Zeit kaum eine Rolle, was sich mit der extrem rasch fortschreitenden Digitalisierung zu rächen droht. Daten gewinnen an Wert und Bedeutung, immer mehr Maschinen werden miteinander vernetzt. Die Systeme wachsen. Das birgt Gefahren. Sei es eine Papierproduktionsmaschine oder ein Hochofen – die Produktlebezeit einer Maschine ist um Jahrzehnte höher als jene der darin verbauten Informationstechnologie.

Sicherheitsupdates müssen innerhalb von Stunden nach der Veröffentlichung eingespielt werden, was die wenigsten Anlagen unterstützen. Folglich hat sich der Industriesektor in den vergangenen Jahren zu einem der beliebtesten Ziele für Cyberkriminelle entwickelt.

Joint Venture mit Andritz

Der Grazer Maschinenbauer Andritz hat das Problem im Jahr 2017 erkannt. Auf der Suche nach einer Technologie, welche die eigenen Anlagen schützt, stieß man auf Otorio und hat kurz darauf gemeinsam ein Joint Venture gegründet. Heute bilden je zwei Manager von Andritz sowie von Otorio den Vorstand des Unternehmens mit Hauptsitz in Tel Aviv. Auch wenn das 120-Mitarbeiter-Unternehmen in Israel beheimatet ist, bedient es hauptsächlich Nordamerika und Europa.

Dashboard Otorio
Ein Dashboard von Otorio.
Otorio

Raketenabwehr in Israel

Warum gerade Otorio? Mit Yair Attar und Daniel Bren haben zwei ehemalige hochrangige Offiziere des israelischen Militärs (IDF) das Unternehmen gegründet. Sie waren beim IDF für Cyberabwehr des staatlichen Stromnetzes und des Raketenabwehrsystems Iron Dome zuständig. "Dieses System darf einfach nie ausfallen", erzählt Attar. "Irgendwann haben wir erkannt, dass auch bei zahllosen Unternehmen die Maschinen rund um die Uhr laufen müssen, mit unseren Erfahrungen aus der Armee haben wir Otorio gestartet." Er habe gelernt, Probleme mit chirurgischer Präzision zu erkennen bzw. zu bekämpfen.

Dass in vielen Konzernen die Maschinen 24/7 laufen, macht es deutlich schwerer, einen Stresstest durchzuführen.Was heißt das? Ein einfacher Neustart wie beim privaten Computer ist nicht möglich – macht dieser Probleme, zieht man den Stecker und fährt wieder hoch. Ähnlich läuft es bei "klassischen" IT-Security-Tests. Da werden Systeme oftmals bewusst am Wochenende attackiert, wo sie einknicken, gibt es Schwachstellen. Danach Neustart.All das geht in einer riesigen Fabrik nicht. Otorio baut deswegen die Produktionsumgebung eines Betriebs virtuell nach und attackiert sie dann – ebenfalls virtuell – und sucht so nach möglichen Problemherden.

Alarmierende Zahlen

Ein Blick auf die Zahlen zeigt, dass die Gefahr eines digitalen Angriffs permanent zunimmt. Eine Untersuchung von KPMG etwa zeigt, dass sich Cyberangriffe allein in Österreich im Lauf des vergangenen Jahres verdreifacht haben. Jedes dritte Unternehmen erkennt IT-Sicherheitsvorfälle nicht einmal, zeigt eine andere Analyse von KSV1870.

Für Yair Attar ist es nur eine Frage der Zeit, bis ein Unternehmen angegriffen wird.
Otorio

Nachgefragt bei Experten, zieht sich ein Trend durch: je größer das Unternehmen, desto mehr Bewusstsein für die Gefährdung. Vor allem bei KMUs gibt es noch viel Aufholbedarf, egal ob bei produzierenden Unternehmen oder anderen. Allzu viel Zeit zum Aufrüsten bleibt jedoch nicht mehr. Im Herbst 2024 tritt mit NIS-2 eine neue EU-Richtlinie für Cybersecurity in Kraft. Dann müssen Unternehmen einen gewissen Schutz aufweisen, andernfalls drohen hohe Geldstrafen oder kann es passieren, dass man von Lieferketten abgeschnitten wird.

Zeitpunktfrage

Deswegen reden sich Leute wie Yair Attar "den Mund fusselig", damit Entscheidungsträger überhaupt einsehen, dass sie bedroht sind. "Wir müssen die Betriebe überzeugen, proaktiv etwas zu tun. Wenn wir einen Angreifer im System entdecken, ist es schon zu spät, er darf gar nie reinkommen." Es sei nicht die Frage, ob Unternehmen demnächst angegriffen werden, sondern wann. (Andreas Danzer, 11.7.2023)