IT-/Cyber-Sicherheit Fünf Schritte, die Firmen jetzt gehen müssen

Von Wolfgang Straßer

Anbieter zum Thema

Sowohl Quantität als auch Qualität von Cyberangriffen nehmen deutlich zu. Insbesondere Produktionsunternehmen müssen sich auf die geänderte Gefahrenlage einstellen. Doch blinder Aktionismus ist nicht ratsam: Mit diesen fünf Schritten lassen sich Schwachstellen in der Produktion beseitigen.

Schritt für Schritt sollten Produktionsunternehmen ihre Produktionsanlagen absichern, auch weil die Digitalisierung zunehmend fortschreitet.
Schritt für Schritt sollten Produktionsunternehmen ihre Produktionsanlagen absichern, auch weil die Digitalisierung zunehmend fortschreitet.
(Bild: © Thomas Söllner - stock.adobe.com)

Die Zahl der Cyberangriffe steigt – und damit der dadurch verursachte wirtschaftliche Schaden: Laut einer Studie des Bitkom summierte sich dieser im Zeitraum 2020 bis 2021 auf 220 Milliarden Euro. Betroffen waren Unternehmen jeglicher Branche und Unternehmensgröße. Dabei wurden intelligente Angriffsvektoren genutzt, um Unternehmen auf unterschiedliche Weise zu schaden, von Wirtschaftsspionage und Sabotage bis hin zur Erpressung.

Eine Grundvoraussetzung, um diesem Gefährdungspotenzial entgegenwirken ist, die Schwachstellen aufzudecken, die ein Sicherheitsrisiko darstellen. Dies lässt sich grundsätzlich durch Penetrationstests ermitteln, da hierbei Anwendungen und Infrastrukturen bis hin zu Schnittstellen, professionell mit realitätsnahen Angriffssimulationen untersucht werden – im Prinzip also mit den gleichen Methoden und Werkzeugen, die auch Angreifer nutzen würden.

Wichtig: Die gefundenen Schwachstellen müssen dann auch zeitnah geschlossen werden.

1. Rahmen setzen: Information Security Management System (ISMS)

Es ist empfehlenswert, für die Durchsetzung eines adäquaten Schutzniveaus Regeln, Methoden, Prozesse und Werkzeuge im Rahmen eines ISMS zu definieren. In diesem werden neben der Bestimmung der Schutzziele konkrete Vorgehensweisen sowie die Durchführung organisatorischer und technischer Maßnahmen festgelegt: So sollten zum Beispiel anwendungsbezogene Zugriffsberechtigungen definiert werden, um in jeder Abteilung – auch in der Produktion – den Zugang zu IT-Systemen und Informationen nur autorisierten Mitarbeitenden zur Erfüllung ihrer Aufgaben zu gestatten.

Wichtig: Einmal ist keinmal – IT-Sicherheit ist zwingend ein fortwährender Prozess.

2. Beachten: Updates managen

In Produktionsstraßen kommen Maschinen unterschiedlicher Hersteller zum Einsatz. Industriestandards wie in der IT sind in der OT-Welt bislang nicht vorhanden. Oftmals ist die Software der einzelnen Komponenten noch proprietär, was den Pflegeaufwand deutlich erhöht und mit Blick auf die Security eine große Herausforderung darstellt. Ein hohes Sicherheitsrisiko stellt auch die lange Lebensdauer der Anlagen zwischen fünf und 25 Jahren dar. Denn im Regelfall übersteigen die Lebenszyklen der Maschinen bei weitem den Support der Hersteller in Bezug auf Updates, und hier ganz besonders auf Sicherheitsupdates.

Doch auch wenn Sicherheitsupdates seitens der Hersteller zur Verfügung gestellt werden, so ist es nicht einfach möglich, den Vorgang automatisiert durchzuführen, denn dies erfordert oft eine Stilllegung von zumindest Teilen der Anlage. Das stellt für Unternehmen eine Herausforderung dar, weil die Produktionszyklen häufig auf einen 24/7-Betrieb an 365 Tagen ausgelegt sind.

Wichtig: Es ist ein stringentes Patchmanagement erforderlich, in dem alle Parameter Berücksichtigung finden.

3. Trennen: Netzwerke segmentieren, Fernwartung managen

Mittlerweile melden viele Fertigungskomponenten, wann sie gewartet werden müssen. Nicht nur der notwendige Datenaustausch hierfür, sondern auch die Extraktion und Auswertung dieser Daten, etwa zur Verbesserung von Produktionsprozessen, erfordert eine Verknüpfung mit der Unternehmens-IT. Diese Vernetzung bedingt, dass die Komponenten bestmöglich abgesichert sind. Da dies oftmals nicht direkt möglich ist, müssen hierfür Workarounds gefunden werden – das bedeutet unter anderem Zonenkonzepte zu erstellen, um die Netze oder einzelne Produktionszellen sinnvoll zu segmentieren und so eine Trennung zu schaffen.

Wichtig: Zur Absicherung der Komponenten reicht die logische Trennung zwischen den Produktions- und Büronetzen alleine nicht aus, sondern erfordert zusätzlich eine reglementierte Kommunikation in Teilnetzen der Produktion.

Buchtipp

Das Buch „Industrie 4.0: Potenziale erkennen und umsetzen“ bietet einen umfassenden und praxisorientierten Einblick in die Digitalisierung von Fertigung und Produktion. Zahlreiche Experten aus Industrie und Wissenschaft beleuchten in Einzelbeiträgen die Chancen und Risiken des digitalen Wandels und sprechen konkrete Handlungsempfehlungen aus.

Mehr erfahren bei Vogel Fachbuch

4. Planen: Security Awareness

Regelmäßige Schulungen des Sicherheitsbewusstseins ist mittlerweile unerlässlich, denn die Methoden der Angreifer werden immer ausgefeilter. Um dem etwas entgegensetzen zu können, sollte das Training zielgruppenorientiert sein: Zum Beispiel müssen alle Mitarbeiter Kenntnisse bezüglich der momentanen Angriffsmethoden erhalten – also unter anderem zu aktuellen Social-Engineering-Angriffen oder zu den wichtigsten Verhaltensregeln etwa im Umgang mit Phishing-E-Mails. Für Mitarbeitende in der Produktion stehen zusätzliche Themen auf der Agenda, beispielsweise Gefahrenpotenziale bei der Wartung – so könnte etwa der USB-Stick des Wartungstechnikers einer Fertigungskomponente mit Malware verseucht sein.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

5. Erstellen: Notfallplan/Incident Response (IR) und Forensik Readiness

Kein Unternehmen ist heutzutage mehr handlungsfähig ohne IT, allein aufgrund der zunehmend vernetzten Prozesse. Da es keine hundertprozentige Sicherheit gibt, ist es notwendig, die Voraussetzungen für eine schnelle Reaktion bei einem Cyberangriff zu kennen und die Vorgehensweise für den Ernstfall entsprechend zu dokumentieren. Ausgangsbasis dafür ist ein umfassender Kenntnisstand darüber, wie sich Angriffe bis hin zum Ausfall von Geschäfts- und Fertigungsprozessen konkret auf das Geschäft auswirken. Daraus abgeleitet lassen sich Maßnahmen entwickeln, die durchgeführt werden müssen, um auch im Ernstfall möglichst schnell wieder arbeitsfähig zu werden. Dazu gehört unter anderem, einen Krisenstab mit definierten Abläufen und Entscheidungsprozessen aufzubauen und Verantwortlichkeiten zu definieren oder auch mehrere IR- und Forensik-Dienstleister zu kennen, die im Krisenfall verfügbar sind. Unbedingt zu empfehlen ist hierbei vorab technisch sicherzustellen, dass die IT- und OT-Umgebung überhaupt forensikfähig ist.

* Wolfgang Straßer ist Geschäftsführender Gesellschafter der @-yet GmbH und der @-yet Industrial IT-Security (IIS) GmbH.

(ID:48544010)