Schützen, um weiter zu wachsen: wie man der steigenden Bedrohung durch Cyberangriffe begegnet
Von Michael T. Lester
Hersteller, Versorgungsunternehmen und Betreiber kritischer Infrastrukturen sehen sich mit immer raffinierteren Bedrohungen in Sachen Cybersicherheit konfrontiert. Bedrohungen und Angriffe entwickeln sich ständig weiter, da standardisierte Malware und fortschrittliche Technologien Angreifern immer neue Möglichkeiten bieten.
Die Motivation für Cyberangriffe ist nach wie vor meist finanzieller Gewinn, aber zunehmend sind auch staatliche Akteure beteiligt, und es gibt immer mehr Angriffe verschiedener Bedrohungsakteure, die auf den Bereich der industriellen Steuerungssysteme abzielen.
Eine wirksame Cybersicherheit erfordert es, über die neuesten Bedrohungen auf dem Laufenden zu bleiben, eine Echtzeit-Bestandsaufnahme der Vermögenswerte durchzuführen, die Fähigkeiten zur Erkennung von Bedrohungen zu verbessern, sicherzustellen, dass Geräte und Vorrichtungen über die neuesten Abwehrmaßnahmen verfügen, Systeme zu patchen und zu aktualisieren sowie die Fähigkeiten zur Reaktion auf Vorfälle zu verbessern. Darüber hinaus sind Richtlinien und Verfahren, die Weiterqualifizierung der Belegschaft und regelmäßige Schulungen wichtige Aspekte der Cybersicherheit, die zum Schutz kritischer Systeme nach einem risikobasierten Ansatz eingesetzt werden sollten.
Für Hersteller, die das Potenzial des industriellen Internets der Dinge (IIoT) ausschöpfen möchten, ist Cybersicherheit ein wichtiges Anliegen. Die Erfordernis wirksamer Gegen- und Schutzmaßnahmen im Bereich der Cybersicherheit ist allgemein bekannt, aber das Verständnis für dieses Thema ist in der Branche bislang noch nicht besonders ausgeprägt. Die Entwicklung und Implementierung von IIoT-Technologien erfordert auch im Bereich der Cybersicherheit neue Fähigkeiten und Kenntnisse. Neue Lösungen können möglicherweise zur Entstehung neuer Angriffsflächen führen, wenn sie nicht sicher implementiert und auf einem gesicherten Stand bewahrt werden.
Identifizierung von Schwachstellen
In der Fertigungsbranche führen technische Lösungen mit höheren Investitionskosten dazu, dass möglicherweise notwendige Aktualisierungen an Systemen gänzlich vermieden oder zumindest aufgeschoben werden. Veraltete Systeme, die nicht auf dem neuesten Stand oder nach dem sogenannten Defense-in-Depth-Ansatz ausreichend geschützt sind, sind dabei für Angriffe am anfälligsten.
Für Hersteller, die das Potenzial des industriellen Internets der Dinge (IIoT) für sich erschließen wollen, ist die Cybersicherheit ein wichtiges Anliegen.
Benutzer müssen die Maßnahmen, die sie als Reaktion auf erkannte Bedrohungen und Angriffe ergreifen werden, nach Prioritäten einordnen und einen effektiven Ablaufplan für diese Maßnahmen entwickeln und anwenden. Dazu gehört die Implementierung und regelmäßige Prüfung und Erprobung von Notfall- und Sicherungs-/Wiederherstellungsplänen durch bzw. für alle Mitarbeiter, Prozesse und Technologien in ihrer Organisation über den gesamten Lebenszyklus. Selbst etwas so Einfaches wie die Verwaltung von Benutzerkonten muss den gesamten Lebenszyklus jedes Benutzers berücksichtigen, von der ersten Autorisierung bis zum Ausscheiden aus dem Unternehmen.
Es besteht ein zunehmender Bedarf an Zusammenarbeit zwischen IT- und OT-Akteuren, um neue Systeme und Dienste zu implementieren, die einer Organisation bei der digitalen Transformation helfen. Bei der Entwicklung einer Cybersicherheitsstrategie müssen IT- und OT-Akteure die jeweiligen Stärken des anderen verstehen und wissen, wie sie ihre Geschäftsziele erreichen und gleichzeitig ein hohes Maß an Sicherheit gewährleisten können.
Jede Expertise bringt etwas anderes mit sich: IT verfügt über einen hoch standardisierten Prozess, während OT eher eine technische Lösung bietet. Die Ziele beider Stakeholder müssen bewertet und Anforderungen festgelegt werden, um Lücken und Risiken für den Betrieb zu vermeiden. Anbieter von Automatisierungslösungen können die sichere Bereitstellung von Systemen erfolgreicher gestalten, indem sie ein mehrschichtiges Portfolio an Sicherheitskontrollen, Verfahren und Dienstleistungen bereitstellen, die die Systemsicherheit verbessern und Endbenutzern dabei helfen, Cybersicherheitsbewertungen zu priorisieren.
Unternehmen müssen die Cybersicherheit bereits in der Front-End-Entwicklungs- und Konstruktionsphase eines Steuerungssystemprojekts berücksichtigen. Allzu oft werden Cybersicherheitsmaßnahmen nachträglich hinzugefügt, was kostspielig und selten so effektiv ist wie eine umfassende Berücksichtigung der Cybersicherheit in frühen Projektphasen. Dies wird als „Shift Left“-Konzept bezeichnet. Sicherheit durch Design in Verbindung mit einer angemessenen Cyber-Risikoanalyse sollte eine Überprüfung der Sicherheitsfunktionen und -kontrollen umfassen, um deren Wirksamkeit angesichts der zunehmenden Cyber-Bedrohungen sicherzustellen.
Um die geschäftliche Rechtfertigung einer Cybersicherheitsinitiative zu untermauern, können Bewertungen als Maßstab für die Risikominderung herangezogen werden, der den Fortschritt der bisher umgesetzten Cyberinitiativen und den potenziellen Schutz durch den Einsatz zusätzlicher Cybersicherheitsmaßnahmen widerspiegelt. Eine gute Möglichkeit, Cybersicherheitsmaßnahmen zu rechtfertigen, bietet das „Shift Left“-Konzept, bei dem jeder Euro, der für proaktive Sicherheitsmaßnahmen ausgegeben wird, einem Wert von über 60 Euro für reaktive Sicherheitsmaßnahmen entspricht.
Wenn es doch zu einem Angriff kommt, ist der richtige Weg, diesen zu bewältigen, ein gut dokumentierter und eingeübter Plan zur Reaktion auf Vorfälle. Kurz gesagt: Ohne adäquate Funktionen, Kontrollen und einen gut durchdachten Plan in Sachen Cybersicherheit lässt sich ein Angriff nicht effektiv abwehren.
Ein kulturelles Problem
Wenn Cybersicherheit nicht Teil der Unternehmenskultur ist, verursachen die Mitarbeiter durch unbeabsichtigte Handlungen, die zu Schwachstellen führen, ein erhebliches Cyberrisiko. Eine allgegenwärtige Kultur der Cybersicherheit reduziert die Risiken durch externe und interne Bedrohungen. Die Fortbildung des Personals in Bezug auf neue Technologien und die damit verbundenen Aspekte der Cybersicherheit tragen zur Schaffung einer effektiven Cybersicherheitskultur bei.
Kurz gesagt: Ohne adäquate Funktionen, Kontrollen und einen gut durchdachten Plan in Sachen Cybersicherheit lässt sich ein Angriff nicht effektiv abwehren.
Es ist von entscheidender Bedeutung, Schulungsmöglichkeiten für Mitarbeitende zu schaffen, um ihre Technologie- und Cybersicherheitskompetenzen zu verbessern. Die Weiterbildung kann Zeit in Anspruch nehmen, aber die Schulung der Belegschaft, damit sie bewusst Verantwortung und Rechenschaftspflicht im Bereich Cybersicherheit übernimmt, ist ein guter erster Schritt. Wenn Cybersicherheit nicht mehr in der Verantwortung anderer liegt, werden die Menschen natürlich viel mehr Fragen stellen und mit Fachleuten zusammenarbeiten, um unbeabsichtigte Folgen zu vermeiden.
Cybersicherheit erfordert mehr als nur Technologie. Cybersicherheit erfordert eine Änderung des Verhaltens und der Unternehmenskultur. Ein tiefgreifendes Verständnis des „Wie“ und „Warum“ in Sachen Cybersicherheit im gesamten Unternehmen ist entscheidend, um sinnvolle Verhaltensänderungen zu bewirken. Es ist daher wichtig, eine Cybersicherheitskultur aufzubauen, die Menschen, Prozesse und Technologie umfasst.
