Leitlinien für die Cybersicherheit
Von Kritis-Betreibern lernen
Fortsetzung des Artikels von Teil 1
Produktionsumgebungen absichern
Die Basis für Cybersicherheit bildet eine Ist-Analyse. Aus ihr lassen sich sinnvolle Maßnahmenpläne ableiten, denn eine allgemeingültige Anleitung für IT-Sicherheit gibt es nicht. In drei Schritten sollte man dabei zunächst bestehende Systeme, darunter auch veraltete Legacy-Geräte, vollständig erfassen. Auf Basis dessen bestimmt und bewertet das Projektteam Risiken und stellt die Anforderungen fest. Im zweiten Schritt definiert es die passenden Maßnahmen, die zur notwendigen Sicherheit der vernetzten Systeme führen.
Hier spielt auch das sogenannte Retrofitting eine Rolle, das Vernetzen bestehender und teilweise veralteter Maschinen und Anlagen. Abschließend gilt es die Übertragungswege zwischen Maschine und Verarbeitungsort abzusichern. Dabei handelt es sich oft um hybride Infrastrukturen, beispielsweise der eigenen Infrastruktur oder der Cloud. Auch der Einsatz einer vertrauenswürdigen Private Cloud kann sinnvoll sein, um die Vorteile der zuvor genannten Betriebsarten zu kombinieren und zudem die Datenhoheit zu behalten.
Dies sind drei wichtige Schritte, um die wertschöpfende Prozessinfrastruktur abzusichern und zukunftsfähig zu machen. Denn angesichts der wachsenden Bedeutung datengestützter Prozessanalyse und -optimierung sowie der Vernetzung von Geräten und Maschinen im IIoT ist eine sichere und zuverlässige IT-Infrastruktur essenziell für den Unternehmenserfolg.
Weitere Security-Maßnahmen
Mit den genannten Maßnahmen lassen sich Ziele wie eine Effizienzsteigerung, Kostenoptimierung und das Eröffnen neuer Geschäftspotenziale erreichen. Darüber hinaus besteht auch unternehmensweit eine Risikolage. Deshalb braucht es ein ganzheitliches Cybersicherheitskonzept, das neben den Maßnahmen zur Absicherung der Produktions- und Prozessumgebung das Gesamtunternehmen betrachtet. Auch hier steht wieder eine Bestandsaufnahme am Anfang, um den Überblick über Reifegrad und Risiken zu gewinnen. Die häufigsten Risiken insbesondere für produzierende Unternehmen kommen dabei aus den Bereichen, die mit dem Internet kommunizieren, also von außen erreichbar sind. Dazu zählen unter anderem der Office-Bereich oder externe Zugänge wie beispielsweise Fernwartungszugänge der Maschinen- und Anlagenhersteller.
Mit Penetrationstests können Fachleute einzelne Systeme oder Infrastrukturen auf Sicherheitslücken untersuchen. Mit Methoden und Techniken echter Angreifer unterziehen sie das Gesamtsystem einem Stresstest und prüfen die Robustheit des Unternehmens. So lassen sich risikobasiert Schwachstellen aufdecken. Anhand der Ergebnisse können Unternehmen im Anschluss Maßnahmen für einen wirksamen Schutz ableiten.
Die Schutzmaßnahmen sind systemabhängig. Sie beginnen bei präventiver „Basis-Security“ wie Optimierungen der Firewall-Einstellungen, Netzwerksegmentierungen oder Zugriffsberechtigungen und reichen bis hin zu intelligenten Systemen zur Angriffserkennung. Zur Basissicherheit zählen auch Awareness-Schulungen, um Belegschaft und Führungskräfte für das Thema Cybersecurity zu sensibilisieren. Denn technische Systeme können nicht vor menschlichen Fehlern schützen. Es ist wichtig, das System vor Ransomware abzusichern, aber genauso wichtig, dass Beschäftigte nicht auf Links oder Anhänge in verdächtigen E-Mails klicken. Nicht zu vernachlässigen ist das Thema Disaster Recovery, also das Wiederherstellen des Geschäftsbetriebs nach einem Sicherheitsvorfall. Hier sind automatisierte und funktionierende Backup-Systeme essenziell.
Ein weiteres Mittel ist das sicherheitstechnische Abkoppeln veralteter Maschinen von der vernetzten Infrastruktur durch die Nutzung gehärteter Industrie-PCs (Secure Edge). Die Maschine ist so nur noch indirekt angebunden, Angreifer können sie von außen nicht erkennen und kompromittieren. Dies trägt dazu bei, Angriffe zu erschweren und Risiken zu reduzieren. Angriffserkennungssysteme ermöglichen das frühzeitige Aufdecken eines Vorfalls. Je kürzer die Erkennungszeit, desto effektiver kann das Security-Team Schäden eindämmen. Dies setzt voraus, dass Reaktionsmaßnahmen und Verantwortlichkeiten vorab definiert sind. Diese Maßnahmen helfen, die Agilität von Unternehmen bei Cyberangriffen zu verbessern. Auch hier bietet das IT-SiG 2.0 eine Orientierungshilfe für den effektiven Aufbau und Einsatz solcher Systeme.
Cybersecurity als Erfolgsfaktor
Langfristig können nur jene Unternehmen wettbewerbsfähig bleiben, denen es gelingt, zusätzliche Mehrwerte der Digitalisierung zu schaffen und gleichzeitig einen wirksamen Schutz vor Cyberangriffen sicherzustellen. Dies trägt außerdem dazu bei, die Laufzeit der Investitionsgüter zu verlängern und zum Beispiel alte Maschine länger in Betrieb zu halten. Gerade dann entpuppt sich eine sichere und zuverlässige IT-Infrastruktur als Investition in die Zukunft und beugt auch kurzfristigen Kosten durch Produktionsausfälle vor. Dies stärkt die Wettbewerbsfähigkeit von Unternehmen.
Udo H. Kalinna ist Global Head of Products and Development Division Industry bei Secunet.
- Von Kritis-Betreibern lernen
- Produktionsumgebungen absichern
Lesen Sie mehr zum Thema
