Risikofaktor mangelnde Zusammenarbeit

Die verborgene Sicherheitslücke in der Fertigungsindustrie

6. April 2023, 12:42 Uhr | Autor: Tobias Fischer / Redaktion: Diana Künstler

In der Fertigungsindustrie wächst die Notwendigkeit für Sicherheitsansätze, die den gesamten Anwendungsstack umfassen. Bei der Umsetzung steht IT-Abteilungen jedoch oft die mangelnde Zusammenarbeit zwischen verschiedenen Teams im Weg. Wie Hersteller dies ändern können.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Welchen Cyberbedrohungen ist die Fertigungsindustrie ausgesetzt?
Warum gibt es Sicherheitslücken in der Fertigungsindustrie?
Was können Unternehmen tun, um die Sicherheit zu erhöhen?
Wie kann ein DevSecOps-Modell in diesem Fall Abhilfe schaffen?
Was braucht es neben einem solchen DevSecOps-Modell noch, um eine ganzheitliche IT-Security-Strategie aufsetzen zu können?

Mit Anwendungen, die zunehmend über verschiedene Cloud-Umgebungen verteilt sind, vergrößern sich die Angriffsflächen und damit das Risiko einer Cyberattacke. Auch in der Fertigungsindustrie wächst daher die Notwendigkeit für Sicherheitsansätze, die den gesamten Anwendungsstack umfassen. Bei der Umsetzung steht IT-Abteilungen jedoch oft die mangelnde Zusammenarbeit zwischen verschiedenen Teams im Weg. Wie Hersteller dies ändern können, um die Sicherheit in ihrer gesamten IT-Landschaft zu erhöhen.

Die Ergebnisse einer neuen Studie von AppDynamics¹ sollte IT-Abteilungen in der Fertigungsindustrie zum Umdenken bewegen. Immerhin stellen 71 Prozent der befragten Experten aus der Branche fest, dass die Anwendungssicherheit in ihren Unternehmen nicht mit der Geschwindigkeit Schritt hält, in der neue Anwendungen fertig gestellt werden. Besorgniserregend ist vor allem, viele Unternehmen bei einem mehrstufigen Sicherheitsangriff auf den gesamten Anwendungsstack verwundbar wäre.

Die Ursache dieser Befürchtung liegt vor allem in der mangelnden Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams. Während in gerade einmal 17 Prozent der IT-Abteilungen ein kontinuierlicher Austausch zwischen diesen Teams stattfindet, werden Sicherheitsbedenken in der Entwicklungsphase bei vielen Unternehmen vollkommen außer Acht gelassen. Sicherheitsanliegen werden sogar teilweise als Innovationshemmnis betrachtet, weshalb Sicherheitsteams häufig erst dann einbezogen werden, wenn es bereits zu spät ist und akute Sicherheitsprobleme bestehen.

Dieses Vorgehen erhöht neben der Anfälligkeit für Sicherheitsbedrohungen auch den Druck, der auf SecOps-Mitarbeitenden lastet und kann im schlimmsten Fall die User Experience beeinträchtigen. Um dem entgegenzusteuern, sollten Hersteller die Sicherheit in der Entwicklung priorisieren und sie von Anfang an in den Prozess einbinden. Dabei kann ein DevSecOps-Ansatz helfen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Zusammenarbeit als Lösungsweg

Laut der befragten IT-Fachkräfte wird die Implementierung eines umfassenden Sicherheitsansatzes von Unternehmen mittlerweile zunehmend priorisiert, sodass IT-Abteilungen vermehrt zu einem DevSecOps-Modell übergehen. Dabei werden Sicherheitsanliegen in den gesamten Entwicklungsprozess integriert und als gemeinsame Verantwortung aller IT-Teams betrachtet.

Mit diesem Ansatz können die Sicherheitsteams Risiken und Prioritäten schon während der Planungsphase analysieren und bewerten, um die Grundlage für eine reibungslose Entwicklung zu schaffen. Anschließend kann eine robuste Sicherheit in jede Codezeile eingebettet werden, was zu sichereren Anwendungen und einem optimierten Sicherheitsmanagement vor, während und nach der Veröffentlichung führt. Diese Herangehensweise erfordert allerdings auch einen tiefgreifenden Kulturwandel innerhalb der IT-Abteilungen: Die unterschiedlichen Teams müssen sowohl viel kollaborativer und transparenter arbeiten als auch eingefahrene Denkmuster und Arbeitsweisen ablegen.

Erhöhtes Risiko für Cyberattacken

Neben dem kulturellen Wandel erfordert die Einführung von DevSecOps jedoch auch einen strategischen Umschwung. Gerade mit der Einführung von Multi-Cloud-Umgebungen erscheint der Anwendungsstack häufig intransparent. In dieser weitläufigen Topologie von Anwendungen sind IT-Teams nicht mehr in der Lage, zu erkennen, woher neue Bedrohungen kommen und welche die größte Dringlichkeit haben. Entsprechend steigt das Risiko eines (schwerwiegenden) Sicherheitsvorfalls. Nicht zuletzt deshalb ist es für Sicherheitsmitarbeitende unerlässlich einen vollständigen Überblick über die IT-Landschaft zu erhalten und über den gesamten Anwendungsstack hinweg einheitliche Sicherheitsmaßnahmen zu implementieren.

Um dem gerecht zu werden, müssen Unternehmen in der Fertigungsindustrie neben dem DevSecOps-Modell ganzheitliche Monitoring-Systeme für ihre IT-Umgebungen implementieren, die künstliche Intelligenz (KI) und Machine Learning (ML) nutzen. Diese Automatisierung wird immer wichtiger, um bestehende Schwachstellen zu erkennen, Sicherheitsvorfälle zu priorisieren, zukünftige vorherzusagen und Probleme zu beheben – ohne dass ein Eingreifen eines Administrators notwendig wäre. Zugleich wird durch den Einsatz entsprechender Lösungen die Anzahl menschlicher Fehler reduziert sowie eine höhere Effizienz und mehr Agilität in der Entwicklung erreicht.

Es braucht einen neuen Ansatz

Die Fertigungsindustrie braucht dringend einen neuen Ansatz, um Sicherheit in ihrem gesamten Anwendungsstack zu gewährleisten – von Entwicklung bis zur Veröffentlichung, über Code, Container und Kubernetes hinweg. Ein DevSecOps-Modell kann hierzu erheblich beitragen, da Sicherheit infolge der engen Zusammenarbeit der verschiedenen Teams als wesentlicher Bestandteil des Entwicklungsprozesses behandelt und integriert wird.

Tobias Fischer, Advisory Sales Engineer bei AppDynamics

^{1 https://www.appdynamics.com/blog/security/shift-to-a-security-approach-for-the-full-application/}