Von Michael T. Lester
Hersteller, Versorgungsunternehmen und Betreiber kritischer Infrastrukturen sehen sich mit immer raffinierteren Bedrohungen in Sachen Cybersicherheit konfrontiert. Bedrohungen und Angriffe entwickeln sich ständig weiter, da standardisierte Malware und fortschrittliche Technologien Angreifern immer neue Möglichkeiten bieten.
Die Motivation für Cyberangriffe ist nach wie vor in erster Linie finanzieller Natur, doch sind zunehmend auch staatliche Akteure beteiligt. Die Anzahl der Angriffe auf industrielle Kontrollräume durch verschiedenste Angreifer steigt.
Ein wirksamer Schutz gegen Cyberangriffe macht es nötig, sich stets über die neuesten Bedrohungen auf dem Laufenden zu halten, eine Echtzeit-Bestandsaufnahme der Anlagen/Maschinen durchzuführen, die Fähigkeiten zur Erkennung von Bedrohungen zu verbessern, sicherzustellen, dass Anlagen und Geräte über die neuesten Schutzmaßnahmen verfügen, Systeme zu patchen und zu aktualisieren und die Fähigkeiten zur Reaktion auf Zwischenfälle zu verbessern. Darüber hinaus sind Richtlinien und Verfahren zum Thema Cybersicherheit, die Fort- und Weiterbildung der Mitarbeiter und regelmäßige Schulungen wichtige Aspekte der Cybersicherheit, die zum Schutz kritischer Systeme nach einem risikobasierten Ansatz nicht außer Acht gelassen werden dürfen.
Für Hersteller, die das Potenzial des industriellen Internets der Dinge (IIoT) für sich erschließen wollen, ist die Cybersicherheit ein wichtiges Anliegen. Die Erfordernis wirksamer Gegen- und Schutzmaßnahmen im Bereich der Cybersicherheit ist allgemein bekannt, aber das Verständnis für dieses Thema ist in der Branche bislang noch nicht besonders ausgeprägt. Die Entwicklung und Implementierung von IIoT-Technologien erfordert auch im Bereich der Cybersicherheit neue Fähigkeiten und Kenntnisse. Neue Lösungen können möglicherweise zur Entstehung neuer Angriffsflächen führen, wenn sie nicht sicher implementiert und auf einem gesicherten Stand bewahrt werden.
Schwachstellen erkennen
In der Fertigungsbranche führen technische Lösungen mit höheren Investitionskosten dazu, dass möglicherweise notwendige Aktualisierungen an Systemen gänzlich vermieden oder zumindest aufgeschoben werden. Veraltete Systeme, die nicht auf dem neuesten Stand oder nach dem sogenannten Defense-in-Depth-Ansatz ausreichend geschützt sind, sind dabei für Angriffe am anfälligsten.
Für Hersteller, die das Potenzial des industriellen Internets der Dinge (IIoT) für sich erschließen wollen, ist die Cybersicherheit ein wichtiges Anliegen.
Benutzer müssen die Maßnahmen, die sie als Reaktion auf erkannte Bedrohungen und Angriffe ergreifen werden, nach Prioritäten einordnen und einen effektiven Ablaufplan für diese Maßnahmen entwickeln und anwenden. Dazu gehört die Implementierung und regelmäßige Prüfung und Erprobung von Notfall- und Sicherungs-/Wiederherstellungsplänen durch bzw. für alle Mitarbeiter, Prozesse und Technologien in ihrer Organisation über den gesamten Lebenszyklus. Selbst bei scheinbar simplen Komponenten wie der Benutzerkontenverwaltung muss von der ersten Genehmigung eines Benutzers bis hin zu dessen Ausscheiden aus dem Unternehmen der gesamte Lebenszyklus berücksichtigt werden.
Es besteht ein zunehmender Bedarf an Zusammenarbeit zwischen IT- und OT-Stakeholdern, um neue Systeme und Services zu implementieren, die eine Organisation bei der digitalen Transformation unterstützen. Bei der Entwicklung einer Cybersicherheitsstrategie müssen die IT- und OT-Stakeholder die Stärken der jeweils anderen Seite verstehen und sich bewusst werden, wie sie ihre Geschäftsziele unter Wahrung höchster Sicherheitsstandards erreichen können.
Beide Fachrichtungen leisten dabei einen ganz individuellen Beitrag, wobei die IT einen stark standardisierten Prozess ansetzt und die OT eher auf technische Lösungen zurückgreift. Die Ziele beider Stakeholder müssen bewertet und Anforderungen festgelegt werden, um Lücken und Risiken für den Betrieb zu vermeiden. Anbieter im Bereich der Automatisierung können den sicheren Einsatz von Systemen erfolgreicher gestalten, indem sie ein mehrschichtiges Portfolio von Sicherheitskontrollen sowie entsprechenden Verfahren und Services anbieten, die die Systemsicherheit verbessern und den Endnutzern dabei helfen, in Bezug auf die Cybersicherheit sinnvolle Prioritäten zu setzen.
Unternehmen müssen die Aspekte der Cybersicherheit bereits im Rahmen des Front-End-Engineerings und der Entwicklung und Auslegung eines Steuerungssystems berücksichtigen. Allzu oft werden Cybersicherheitsmaßnahmen nachträglich hinzugefügt, was kostspielig und selten so effektiv ist wie eine umfassende Berücksichtigung der Cybersicherheit in frühen Projektphasen. Dies wird als „Shift Left“-Konzept bezeichnet. Die konzeptionsintegrierte Sicherheit bzw. „Security by Design“ sollte in Verbindung mit einer angemessenen Risikoanalyse in Bezug auf mögliche Cyber-Bedrohungen eine Prüfung der Sicherheitsmerkmale und -kontrollen umfassen, um ihre Wirksamkeit gegenüber der wachsenden Spannbreite an Cyber-Bedrohungen zu gewährleisten.
Um die geschäftliche Grundlage einer Cybersicherheitsinitiative zu untermauern, können Bewertungen als Metrik zur Risikominderung herangezogen werden, die den Fortschritt der bisher umgesetzten Initiativen und die potenzielle Schutzwirkung durch den Einsatz zusätzlicher Schutzmaßnahmen darstellt. Eine gute Möglichkeit, um den Ausbau der Cybersicherheitsfähigkeiten eines Unternehmens zu begründen, ist das sogenannte „Shift Left“-Konzept, bei dem jeder Euro, der für die proaktive Sicherheit ausgegeben wird, einem Wert von über 60 Euro bei der reaktiven Sicherheit entspricht.
Sollte es doch zu einem Angriff kommen, ist ein gut dokumentierter und erprobter Plan zur Reaktion auf einen Vorfall die beste Lösung, um der Bedrohung Herr zu werden. Kurz gesagt: Ohne adäquate Funktionen, Kontrollen und einen gut durchdachten Plan in Sachen Cybersicherheit lässt sich ein Angriff nicht effektiv abwehren.
Eine Sache der Unternehmenskultur
Wenn die Cybersicherheit nicht Teil der Unternehmenskultur ist, können die eigenen Mitarbeitenden durch unbeabsichtigte Handlungen, die zu Schwachstellen führen, ein erhebliches Cyberrisiko entstehen lassen. Eine allgegenwärtige Kultur der Cybersicherheit reduziert die Risiken durch externe und interne Bedrohungen. Die Fortbildung des Personals in Bezug auf neue Technologien und die damit verbundenen Aspekte der Cybersicherheit tragen zur Schaffung einer effektiven Cybersicherheitskultur bei.
Kurz gesagt: Ohne adäquate Funktionen, Kontrollen und einen gut durchdachten Plan in Sachen Cybersicherheit lässt sich ein Angriff nicht effektiv abwehren.
Es ist von entscheidender Bedeutung, Schulungsmöglichkeiten für Mitarbeitende zu schaffen, um ihre Technologie- und Cybersicherheitskompetenzen zu verbessern. Zwar können derartige Schulungs- und Fortbildungsmaßnahmen einige Zeit in Anspruch nehmen, doch dies stellt einen guten ersten Schritt dar, um die Belegschaft zur bewussten Übernahme von Verantwortung und Rechenschaftspflicht im Bereich der Cybersicherheit anzuregen. Wenn die Cybersicherheit nicht mehr in der Verantwortung eines anderen liegt, stellen Mitarbeitende natürlich viel mehr Fragen und wenden sich an diejenigen, die über das nötige Fachwissen verfügen, um unbeabsichtigte Folgen zu vermeiden.
Beim Thema Cybersicherheit geht es nicht nur um Technologie allein. Cybersicherheit erfordert eine Änderung des Verhaltens und der Unternehmenskultur. Ein tiefgreifendes Verständnis des „Wie“ und „Warum“ in Sachen Cybersicherheit im gesamten Unternehmen ist entscheidend, um sinnvolle Verhaltensänderungen zu bewirken. Es ist daher wichtig, eine Cybersicherheitskultur aufzubauen, die Menschen, Prozesse und Technologie umfasst.
Entdecken Sie transformative Ideen, Inspirationen und Einblicke von Emerson Führungskräften in der industriellen Automatisierung, im Wohnkomfort und darüber hinaus.
