Eine aktuelle OT/IT-Sicherheitsstudie fand heraus, dass über die Hälfte der ICS-/OT-Fachkräfte über zu wenig Erfahrung verfügt. Obwohl zwei Drittel der Unternehmen Menschen als Sicherheitsrisiko erkennen, verwenden sie nur ein Viertel ihres Budgets für die Schulungen von Mitarbeitern.
Ein Anbieter von Cybersicherheit für kritische Infrastrukturen in den Bereichen IT, OT und ICS, stellt aktuelle Ergebnisse des SANS 2024 State of ICS/OT Cybersecurity Report vor. Die Studie deckt eine erhebliche Lücke bei der Erfahrung und Ausbildung von Arbeitskräften in den Sicherheitsteams für industrielle Steuerungssysteme (ICS) und Betriebstechnologie (OT) auf: Da mehr als 50 Prozent der ICS-Mitarbeiter weniger als fünf Jahre Erfahrung haben, stellt diese Lücke ein erhebliches Risiko für die Sicherung kritischer industrieller Infrastrukturen dar. Die Ergebnisse unterstreichen die Dringlichkeit, in Fachkäfte zu investieren, um sich vor immer anspruchsvolleren Cyberbedrohungen zu schützen – ein Thema, das gerade jetzt aktuell ist, da die Branche im Oktober den Monat der Cybersicherheit begeht.
Zu wenig zertifizierte ICS-/OT-Fachkräfte
Die Studie, für die Daten von mehr als 500 Cybersicherheitsexperten in ICS/OT-Umgebungen erhoben wurden, weist auf einen Mangel an Arbeitskräften mit branchenspezifischen Zertifizierungen hin. Erschreckende 51 Prozent der Befragten gaben an, dass ihnen formale Qualifikationen im Bereich Cybersicherheit fehlen, was die Herausforderung, industrielle Systeme zu sichern, weiter verschärft. Trotz dieser alarmierenden Statistiken stellen nur 25 Prozent der Unternehmen einen erheblichen Teil ihres Budgets für die Schulung, Einstellung und Bindung von Mitarbeitern bereit. Dies wirft die Frage auf, ob Unternehmen beim Schutz ihrer Betriebsabläufe die richtigen Prioritäten setzen.
„Der Mangel an gut ausgebildeten, erfahrenen ICS/OT-Fachkräften ist heute eine große Herausforderung bei der Gewährleistung der Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen“, erklärte Eric Knapp, CTO of OT bei OPSWAT. „Wir müssen unseren Fokus darauf verlagern, unsere Mitarbeiter mit den richtigen Tools und Kenntnissen auszustatten, um die immer komplexeren Cyberrisiken in ICS- und OT-Umgebungen zu bewältigen.“
Wichtige Erkenntnisse zu IT- und OT-Fachkräften:
- Erfahrungslücken: Mehr als die Hälfte der ICS-Fachkräfte verfügt über weniger als fünf Jahre Erfahrung, was das schnelle Wachstum des Sektors und den Bedarf an mehr Mentoring und Wissenstransfer von erfahrenen Fachleuten widerspiegelt.
- Zertifizierungsmängel: 51 Prozent der Belegschaft arbeiten ohne branchenspezifische Zertifizierungen, was Bedenken hinsichtlich der Fähigkeit aufwirft, ICS/OT-spezifische Bedrohungen und Herausforderungen zu bewältigen.
- Fehlallokation von Budgets: Während 66 Prozent der Unternehmen „Menschen“ als das größte Risiko für ICS-Umgebungen ansehen, werden nur 25 Prozent der Cybersicherheitsbudgets für die Schulung und Einstellung von Mitarbeitern verwendet, verglichen mit 52 Prozent, die für Technologieinvestitionen vorgesehen sind.
Erfahrenere Mitarbeiter können Sicherheitspläne besser umsetzen
Da Unternehmen zunehmend Technologieinvestitionen priorisieren, um ihre Betriebsabläufe zu schützen, signalisiert diese Studie die Notwendigkeit eines ausgewogeneren Ansatzes, der die Befähigung der Belegschaft in den Vordergrund stellt. Technologische Lösungen sind zwar wichtig, aber die zunehmende Komplexität von ICS/OT-Umgebungen erfordert qualifizierte und zertifizierte Mitarbeiter, um neu auftretende Risiken effektiv zu managen.
Die Studie hebt auch hervor, wie die Personalentwicklung direkt mit dem Erfolg wichtiger Cybersicherheitsstrategien zusammenhängt. So sind beispielsweise Unternehmen mit erfahrenerem und umfassend zertifiziertem Personal besser in der Lage, Reaktionspläne für Vorfälle und verteidigungsfähige Architekturen umzusetzen, die beide entscheidende Komponenten der im Bericht beschriebenen SANS Five ICS Cybersecurity Controls sind.
„Ohne das richtige Humankapital können selbst die besten Technologien scheitern“, so Knapp. „Wir müssen in unsere Mitarbeiter investieren und sicherstellen, dass sie für die Bewältigung der einzigartigen Sicherheitsherausforderungen von ICS- und OT-Systemen geschult sind.“
CISOs tragen zu standardbasierter Cybersicherheit bei
Die Studie stellt außerdem fest, dass Unternehmen mit einer zentralisierten ICS-Security-Governance, insbesondere, wenn diese von einem Chief Information Security Officer (CISO) geleitet wird, eher einen standardbasierten Ansatz für die Cybersicherheit verfolgen. Programme, die von CISOs geleitet wurden, wiesen eine Konformitätsrate von 82 Prozent mit Branchenstandards auf, verglichen mit nur 42 Prozent, wenn die Führung dezentraler war. Dies unterstreicht die Bedeutung einer starken Führung nicht nur bei der Ausrichtung von Sicherheitsstrategien, sondern auch bei der Bewältigung von Herausforderungen bei der Personalentwicklung.
Der SANS 2024 ICS/OT Cybersecurity Report erinnert deutlich daran, dass die Technologie zwar eine entscheidende Rolle für die industrielle Cybersicherheit spielt, die OT-Sicherheitsfachkräfte jedoch ebenso wichtig sind. Für die ICS/OT-Community muss die Schließung der Personallücke oberste Priorität haben, um kritische Infrastrukturen zu schützen.
Mehr bei OPSWAT.com
Über OPSWAT
In den letzten 20 Jahren hat OPSWAT, weltweit führender Anbieter von IT-, OT- und ICS-Cyber-Sicherheit für geschäftskritische Infrastrukturen, kontinuierlich eine Lösungsplattform für End-to-End-Verbindungen entwickelt. Mit ihr erhalten Organisationen und Unternehmen des öffentlichen und privaten Sektors entscheidende Vorteile, die sie zum Schutz ihrer komplexen Netzwerke und zur Gewährleistung ihrer Compliance-Aufgaben benötigen.