Stellen sich bei der industriellen Cybersicherheit spezifische Herausforderungen?
Die Wertschöpfung von Industrieunternehmen ist sehr viel stärker von sogenannter «Operational Technology» (OT) abhängig als in anderen Branchen. Mit der voranschreitenden Digitalisierung konvergieren die IT und die OT, zwei historisch unterschiedliche Welten. Im Zuge dieser Entwicklung gewinnen die aus der IT bekannten Cybersicherheitsherausforderungen immer mehr an Relevanz für die OT. Hier treffen diese aber auf andere Rahmenbedingungen.
Inwiefern?
Im Unterschied zur klassischen IT, bei der die Verarbeitung von Daten im Zentrum steht, werden bei der OT industrielle Anlagen und Prozesse gemessen, überwacht und gesteuert. Da diese mit 10 bis 40 Jahren wesentlich längere Lebenszyklen als IT-Geräte haben, sind sie meist nicht auf einem Sicherheitsstand, welcher der aktuellen digitalen Bedrohungslage genügt. Auch können sie oftmals gar nicht sicher gemacht werden, sind aber trotzdem in das Unternehmensnetzwerk eingebunden.
Aufgrund der spezifischen Schwachstellen, Bedrohungen und Schutzmöglichkeiten unterscheiden sich die Sicherheitsmassnahmen in gewissen Bereiche wesentlich von der IT-Security. Dafür braucht es ein entsprechendes Fachwissen.
Das klingt sehr anspruchsvoll. Wie lässt sich die Cybersicherheit in Industriebetrieben trotzdem gewährleisten?
Es ist schon so. Viele KMU sind sich durchaus darüber im Klaren, dass sie im Bereich der Sicherheit etwas machen müssen, wissen aber nicht so genau, wie sie das angehen sollen. Aufgrund des benötigten Know-hows ist es für sie schwierig, diese Herausforderungen vollumfänglich alleine zu meistern. Da kann es empfehlenswert sein, externe Partner beizuziehen. Beispielsweise für einzelne Massnahmen, die zur Erreichung eines gewünschten Sicherheitsniveaus wichtig sind. Das gilt speziell für den sauberen Betrieb der IT-Infrastruktur inkl. Applikationen sowie das Überwachen auf Anomalien.
Die Wahl eines passenden Partners ist immer eine individuelle Angelegenheit und externe Unterstützung durch unabhängige Berater oder aber durch den Austausch im Netzwerk kann hier zum Ziel führen. Allerdings lässt sich Cybersicherheit nicht einfach delegieren. Sie bleibt letztlich immer auch eine Aufgabe des gesamten Unternehmens.
Wer im Unternehmen muss sich um die Cybersicherheit kümmern?
Die Hauptverantwortung liegt bei der Geschäftsleitung, die dafür besorgt sein muss, alle Sorgfaltspflichten auch hinsichtlich der Cybersicherheit zu erfüllen und die digitalen Risiken auf ein für das Unternehmen tragbares Mass zu reduzieren. Dafür muss sie hinreichend finanzielle und personelle Ressourcen bereitstellen und die entsprechenden Aufträge erteilen. Das Thema betrifft aber letztlich alle im Unternehmen: jede und jeder Mitarbeitende muss in ihrem oder seinem Umfeld mit einem entsprechenden Verhalten zur Sicherheit und gesamtbetrieblichen Resilienz beitragen.
Wie muss man sich das vorstellen?
Cybersicherheit ist wie ein Team-Sport, bei dem man nur gemeinsam Erfolg haben kann. Deshalb müssen die Mitarbeitenden geschult werden und die Gelegenheit zur kontinuierlichen Verbesserung ihrer digitalen Kompetenzen erhalten. Die Unternehmenskultur spielt eine entscheidende Rolle, wenn es darum geht, ob beispielsweise sogenannte «Social Engineering»-Attacken verfangen.
Gibt es typische Schwachstellen bei Industriebetrieben?
Bei den potenziellen Einfallstoren unterscheiden sich Industriebetriebe wenig von anderen Branchen. Nebst dem Kommunikationsmittel Nummer 1, der E-Mail, ist es der Zugriff auf Unternehmensapplikationen und Systeme. Hier ist speziell im Bereich des Maschinenparks der Fernzugriff des Supportpersonals zu nennen. Aber auch der lokale Zugriff auf den Maschinenpark mit Fremdgeräten (z.B. Supportpartner-Laptops, USB-Datenlaufwerke etc.) ist eine Schwachstelle. Ganz wichtig daher: Nebst den Lieferanten müssen auch die Partnerunternehmen in die Sicherheitsanalysen miteingeschlossen werden.
Ist es bei komplexen Systemen überhaupt möglich, alle Risiken auszuschalten?
Nein, unabhängig von der Komplexität des Systems lassen sich Risiken niemals vollständig ausschalten. Entscheidend ist, dass man die Risiken kennt, richtig einschätzt und im Rahmen der Möglichkeiten die effektivsten und effizientesten Massnahmen ergreift, um sie zu reduzieren. Einige Risiken können auch an eine Cyber-Versicherung transferiert werden.
Mit Blick auf das verbleibende Restrisiko ist eine gute Vorbereitung auf den potenziellen Cyberangriff ausschlaggebend, damit man diesen möglichst schadlos übersteht.
Was bedeutet das genau?
Je schneller man einen Vorfall entdeckt, desto gezielter und rascher lässt sich darauf reagieren. Idealerweise kann sich ein Unternehmen hierbei auf eingeübte Notfall-Prozesse stützen und ist dann in der Lage, transparent und zeitnah sowohl interne als auch externe Personen zu informieren. Wichtig ist es, Ruhe zu bewahren und keinesfalls überhastete Entscheidungen zu treffen oder die Angelegenheit auszusitzen.
Wir empfehlen, sich die Unterstützung von Partnern zu holen, die Erfahrung mit solchen Vorfällen haben! Auch dieser Beizug von geeigneten Fachleuten sollte in der Vorbereitung geregelt und Bestandteil des Notfall-Managements sein.
Was raten Sie Unternehmen, welche die Cybersicherheit im Betrieb optimieren wollen?
Es gibt «low hanging fruits», bei denen Unternehmen mit vergleichsweise wenig Aufwand ansetzen können. Dazu gehören zum Beispiel Sicherheitsmassnahmen wie DMARC, DKIM und SPF für E-Mail, DNS-Filter, die 2-Faktor-Authentifizierung, die Einschränkung der Zugriffsrechte auf das Notwendige und das Einspielen verfügbarer Security Patches. Wesentlich ist natürlich auch eine funktionierende Datensicherung.
Drei Tipps für Unternehmen
- Schützen Sie Ihre digitalen Identitäten.
- Aktualisieren Sie regelmässig Ihre Anwendungen, System und Prozesse, speziell die mit Verbindung zur Aussenwelt inkl. der Kommunikationskanäle (z.B. E-Mail, Instant Messaging, etc.).
- Etablieren Sie eine moderne Unternehmenskultur und trainieren Sie Ihre Organisation kontinuierlich.
Das Interview mit den beiden Experten führte Gabriela Schreiber, Swissmem.