"Wir wissen, wovon wir sprechen"

Ein Schritt nach dem anderen

funkschau: Inwiefern hat Ihrer Meinung nach – sofern wirklich geschehen – die EU-DSGVO das Risikobewusstsein von Unternehmen verändert?

Gerhards: Die EU-DSGVO ist eine sehr gute Rechtsvorschrift, die Unternehmen veranlasst, in den Schutz personenbezogener Daten zu investieren. Allerdings könnten sie dabei für viele andere Cyberrisiken anfällig bleiben. Ich denke beispielsweise an einen kürzlichen, gut dokumentierten Zwischenfall, bei dem eine Ransomware alle Daten eines Industrieunternehmens verschlüsselte. Mehr als 1.000 Personen wurden in die „technische Arbeitslosigkeit“ geschickt, weil das Unternehmen auf unbestimmte Zeit schließen musste. Das wirkt sich unmittelbar auf Einkommen und Lebensunterhalt von 1.000 Familien und auf die Gemeinden aus, in denen sie ihr Einkommen normalerweise ausgeben. Kurz darauf trifft es dann die nachgeordnete industrielle Lieferkette, was Lieferschwierigkeiten und finanzielle Probleme für weitere Unternehmen bedeutet. Solche Ereignisse sollten massiv zu einer Risikosensibilisierung beitragen, weil es beim nächsten Mal das eigene Unternehmen treffen könnte.

funkschau: Das Aufkommen des Internet of Things bringt es mit sich, dass zunehmend mehr Geräte, Sensoren und Anwendungen miteinander verbunden sind. Mehr Vernetzung bedeutet im Umkehrschluss auch mehr Angriffsfläche. Wo sehen Sie die größten potenziellen Schwachstellen für Cyberangriffe im Industriekontext?

Gerhards: Das industrielle Internet der Dinge (Industrial Internet of Things – IIoT) ist für viele Unternehmen unerlässlich, um sich ein Bild von der industriellen Leistungsfähigkeit und Verbesserungsmöglichkeiten zu verschaffen und diese Informationen zu nutzen. Beispiele dafür sind die Erkennung von Vibrationen oder zu hoher Temperaturen in Maschinen, die auf einen gravierenden Ausfall hindeuten, die Warnung vor Kondensationspunkten in einem Metalllager oder schlicht die Erfassung und Simulation von Handlungen eines menschlichen Mitarbeiters. Die größte Schwachstelle für Cyberangriffe in einer industriellen Umgebung ist mit Abstand menschliches Versagen, ganz gleich ob man auf eine Phishing-Mail klickt, die neuesten Sicherheitsupdates nicht installiert oder nicht merkt, dass durch die Vernetzung von zwei Geräten ein älteres Gerät plötzlich Malware ausgesetzt ist, gegen die es nicht geschützt ist.

Natürlich stellt uns das industrielle Internet der Dinge vor einzigartige Herausforderungen, weil durch die Zahl der vernetzten Anlagen und die möglicherweise unkontrollierte Interaktion zwischen diesen Anlagen eine enorme potenzielle Angriffsfläche entsteht. Die Sicherheit kann auch massiv gefährdet sein, wenn in ein IIoT Aktuatoren eingebunden sind, die sich auf Sicherheitssysteme auswirken. Ein weiteres Problem ist die Installation von Sicherheitsupdates in IIoTs. Viele sind dafür nicht hinreichend vorbereitet und werden daher im Laufe der Zeit verwundbar. Selbst wenn das IIoTs aktualisierbar ist, ist es nicht einfach, die Produktion vorübergehend stillzulegen, damit Softwareupdates installiert werden können.

funkschau: Industrie 4.0 und IIoT befinden sich noch im Aufbau. Viele Technologien und Standards sind noch nicht final implementiert. Inwiefern spielt dies Cyberkriminellen in die Karten?

Gerhards: Das führt tatsächlich zu Schwachstellen und Anfälligkeiten. Andererseits kann es einen Angriff sogar erschweren. IT-Lösungen für das Büro wurden in den vergangenen Jahrzehnten zunehmend vereinheitlicht. Das erleichtert Angreifern mit entsprechenden Ressourcen die Arbeit, weil sie in ihren Labors einfach die wichtigsten IT-Sicherheitslösungen testen und so einen perfekten Cyberangriff planen können – ohne die Ungewissheit, ob das ausgewählte Ziel dafür überhaupt anfällig ist. Dagegen sind industrielle Umgebungen immer noch sehr heterogen, oft sogar einzigartig. Angreifer müssen ihr Glück also in der Zielumgebung versuchen und laufen Gefahr, entdeckt zu werden, bevor sie ihr Ziel erreichen.

funkschau: Was können und sollten Unternehmen dagegen tun?

Gerhards: Mein Rat an Unternehmen ist, sich von der Vielzahl möglicher Probleme nicht entmutigen zu lassen. Am besten ist es, einfach einen Schritt nach dem anderen zu gehen. Zunächst einmal empfiehlt sich eine Bestandsaufnahme aller technischen Anlagen. Dann sollte man mit den verfügbaren Ressourcen die Anfälligkeit dieser Geräte prüfen. Parallel dazu sollte überlegt werden, welche Bedrohungen für das Unternehmen existieren könnten: Unfaire Wettbewerber, die es auf geistiges Eigentum abgesehen haben, Nationalstaaten oder Terroristen, die das Unternehmen lahmlegen wollen, oder Kriminelle, die auf Lösegeld aus sind. Mit entsprechender Unterstützung können dann alle praktikablen Systemangriffspfade ermittelt und eine Bewertung der geschäftlichen Auswirkungen für die verschiedenen Szenarien erstellt werden.
An diesem Punkt müssen Unternehmen je nach ihren finanziellen Möglichkeiten und dem Ausmaß des Risikos Prioritäten setzen. Ein Bereich, in den investiert werden muss, ist der direkte Schutz vor Angriffen. Weil sich diese nicht hundertprozentig verhindern lassen, ist ein weiterer die Überwachung auf Malware, bevor es zu größeren Schäden kommt. Und schließlich muss in die Fähigkeit investiert werden, auf schwerere Angriffe zu reagieren oder ihre Folgen zu beseitigen. Auf dieser Grundlage ist immer wieder ein Lagebild zu erstellen, damit man sich regelmäßig die Frage stellen kann: „Tun wir alles, was wir tun können?“ Wenn das nicht zu bewältigen ist, können sich Unternehmen jederzeit an Spezialisten wenden, die bereits entsprechende Erfahrung haben. Airbus CyberSecurity bietet hier zahlreiche Services und kann in jeder Phase dieses Prozesses Unterstützung leisten.

funkschau: Inwiefern ist hier gegebenenfalls auch die Politik gefordert, den Grundstein für mehr (einheitliche) Sicherheit zu legen?

Gerhards: Geeignete Sicherheitsverfahren sind allgemein verfügbar, aber ich fürchte, dass der Druck unregulierter Märkte eine Selbstregulierung der IoT-Branche verhindert. Angesichts des rasanten Wachstums des IoT-Marktes brauchen wir unbedingt einen internationalen Standard, bevor es zu spät ist. In Deutschland wäre eine gemeinsame Initiative dringend erforderlich – und zwar unabhängig davon, ob Bund oder Länder zuständig sind. Wir müssen unsere Aktivitäten bündeln, gemeinsam Standards festlegen und diese anwenden.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. "Wir wissen, wovon wir sprechen"
2. Ein Schritt nach dem anderen
3. Exkurs: Awareness-Training durch Rollenwechsel

Lesen Sie mehr zum Thema

Weitere Artikel zu Airbus Group

Ulrich Ahle folgt Francesco Bonfiglio

Neuer CEO der Gaia-X Association

IIoT und OT

Guter Nährboden für Cyber-Erpressungen

Exploits

Wie Unternehmen sich vor Fileless-Malware schützen

Hightech-Manufacturing

ICS-Security zwischen Risikomanagement und Wertschöpfung

Nachbericht IT-meets-Press@CeBIT 2017

Zwischen Modernisierungs-Motor der Industrie und Bullshit-Bingo

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen