Umgang mit Cyberrisiken und -bedrohungen: zurück zu den grundlegenden Prinzipien
Von Mike Lester
Täglich wird von neuen Cyberangriffen berichtet. Da war der Hackerangriff auf SolarWinds, von dem große Unternehmen wie Microsoft, Intel und Cisco betroffen waren; der Angriff auf Colonial Pipeline, der aufgrund einer vorsorglichen Betriebsunterbrechung die Öl- und Gasversorgung unterbrach; und die LockBit-Ransomware-Angriffe, von denen zuletzt das globale Beratungsunternehmen Accenture betroffen war, und die Liste lässt sich fortsetzen. Enthüllungen über Hackerangriffe durch unabhängige kriminelle Organisationen und staatlich geförderte Gruppen sorgen für zunehmende Besorgnis in Unternehmensvorständen, Regierungsbehörden und Gesetzgebungsorganen.
Diese Cyberangriffe verwenden nicht unbedingt neue Angriffstechniken, werden jedoch leider immer schwerwiegender und häufiger. Zwar kann kein Fertigungsunternehmen garantieren, dass es niemals davon betroffen sein wird, doch gibt es grundlegende Maßnahmen, die Führungskräfte aus Wirtschaft und Cybersicherheit ergreifen können, um Silos zu beseitigen, ganzheitlich zu agieren und bewährte Verfahren zu implementieren, um das Risiko dieser Art von Bedrohungen zu verringern.
Wir wissen, dass diese Anliegen für die Branche oberste Priorität haben, und arbeiten täglich mit unseren Kunden zusammen, um eine solide Grundlage zu schaffen und Risiken zu minimieren. Wir möchten die häufigsten, grundlegenden Tipps für unsere Fertigungskunden hier mit Ihnen teilen.
Erstellen eines Geschäftsablaufdiagramms
Hersteller müssen ihre Geschäfts- und Fertigungssysteme für jede Funktion, jede Einnahmequelle und jede Aufgabe abbilden. Dies fördert das Verständnis des jeweiligen Prozesses und die Prozessverantwortung und unterstützt das Erreichen von Geschäftskontinuitäts- und Belastbarkeitszielen in Bezug auf Cyberangriffe, ähnlich wie bei Szenarien zur Bewältigung von Unternehmenskrisen. Normalerweise erfordert die Zuordnung von Geschäftsabläufen das Sponsoring durch Führungskräfte, damit funktionsübergreifende Interessenvertreter, einschließlich in den Bereichen Produktionsabläufe, Anlagen-Cybersicherheit, IT-Sicherheit, Fertigungs- und Unternehmenssysteme, teilnehmen können. Dies kann eine große Herausforderung sein. Seien Sie also darauf vorbereitet, viel zu lernen und sich Unterstützung zu suchen, um einen Rahmenansatz umzusetzen.
Bedrohungen gründlich analysieren
Hersteller sollten auch eine gründliche Bedrohungsanalyse durchführen. Im Rahmen dieses Prozesses empfiehlt es sich, die MITRE ATT&CK-Matrizen zu überprüfen, insbesondere die kürzlich entwickelte MITRE ICS ATT&CK-Matrix, die auf einer globalen Wissensdatenbank mit Taktiken und Techniken basiert, die von Angreifern in realen Angriffen eingesetzt werden.
Beurteilen der Netzsicherheit
Es ist wichtig, die derzeit vorhandenen Cybersicherheitskontrollen und -maßnahmen durch eine Cybersicherheitsbewertung oder ein Cybersicherheitsaudit zu ermitteln und zu bewerten. Dazu sollte die Evaluierung der drei wichtigsten Säulen − Menschen, Prozesse und Technologie − gehören, mit einem Schwerpunkt auf Menschen und deren Weiterbildung bezüglich neuer Technologien und Prozesse. Technologie leistet einen wichtigen Beitrag, aber Menschen treiben den Erfolg voran. Für die Bewertung ist es besser, mit einem Automatisierungsanbieter wie Emerson zusammenzuarbeiten, der über Fachwissen in diesem Bereich verfügt und mit industriellen Steuerungssystemen und Abläufen vertraut ist.
Entwickeln einer Verteidigungsstrategie
Auf der Grundlage der Erkenntnisse aus der Bedrohungsanalyse und der Cybersicherheitsbewertung sollten Unternehmen eine umfassende Verteidigungsstrategie entwickeln, um Schwachstellen zu beheben und Risiken in allen Betriebsbereichen zu mindern, die von direkten Cyberangriffen, indirekten Cyberangriffen oder dem Verlust von Betriebsfähigkeiten betroffen sein könnten. Diese Strategie sollte eine risikobasierte Priorisierung aller Lücken oder Bedrohungen umfassen, um sicherzustellen, dass die größten Risiken zuerst angegangen werden und die Widerstandsfähigkeit der Kontrollen gewährleistet ist.
Bei der Bewertung dieser drei Säulen – Mitarbeiter, Prozesse und Technologie – stellen wir häufig fest, dass Kunden einen Mehrwert darin sehen, externe Ressourcen zu nutzen, ihre Mitarbeiter zu schulen oder weiterzubilden oder bestimmte Prozesse, technologische Kontrollen, Systeme oder Architekturen zu ändern, um eine robuste Verteidigung zu gewährleisten. Der Aktionsplan sollte auch auf die Business-Continuity- und Disaster-Recovery-Pläne des Unternehmens abgestimmt sein – genau wie bei einem Betriebsausfall aufgrund fehlerhafter Systeme oder ausgefallener Hardware müssen auch für Cyberangriffe Pläne mit definierten, aktiven Prozessen und Zielen zur Eindämmung und Wiederherstellung erstellt werden.
Diese Verteidigungsstrategie sollte auch die Planung für Worst-Case-Szenarien umfassen. Für eine Fertigungseinrichtung können beispielsweise ein klarer Backup-Plan für den Ausfall von Computersystemen sowie Ausdrucke von Aufträgen, Etiketten und Kontaktdaten von entscheidender Bedeutung sein, um den manuellen Betrieb am Laufen zu halten, wenn Computer ausfallen. Dies ist vielleicht nicht in jedem Fall möglich, aber durch die regelmäßige Überprüfung von Backup- und Kontinuitätsplänen sind Unternehmen in der Lage, auch im Falle eines Cyberangriffs betriebsbereit zu bleiben.
Regelmäßige Überprüfung und Aktualisierung hinsichtlich der Wirksamkeit
Sobald die Strategie der tief gestaffelten Verteidigung eingeführt ist, sollte sie methodisch, zielgerichtet und regelmäßig getestet und überprüft werden, um sicherzustellen, dass sie wirksam ist und weder den laufenden Betrieb gefährdet noch andere Risiken mit sich bringt. Rollen, Verantwortlichkeiten und Mitarbeiterschulungen sollten aktualisiert werden, wenn neue Verfahren und Technologien eingeführt werden.
Hersteller sollten jetzt Maßnahmen ergreifen, um das Ausmaß und die Art der Cyber-Bedrohungen zu verstehen, denen ihre Unternehmen ausgesetzt sind. Bedrohungen und Cyberangriffe sind real und treten immer häufiger auf. Cybersecurity sollte für Hersteller und alle Unternehmen oberste Priorität haben, um sicherzustellen, dass geeignete proaktive und defensive Cybersicherheitsmaßnahmen und -kontrollen zum Schutz wichtiger Daten, Prozesse und Geschäftsabläufe vorhanden sind. Unternehmensleiter sollten sich an ihre Führungskräfte im Bereich Cybersicherheit wenden, um herauszufinden, was sie wirklich für den Erfolg benötigen, und anschließend die Dringlichkeit und Unterstützung durch die Vorstandsebene bei der Beurteilung, dem Verständnis und der Bewältigung dieser Risiken festlegen.
