Die vielen Vorteile einer zunehmend digitalisierten und vernetzten Welt haben einen Preis: Cyberangriffe sind zu einer ernsthaften Bedrohung geworden.

Bild: iStock, LPETTET

IT-Security In drei Schritten zum Cyberschutz

14.04.2022

Betrifft mich nicht, ging doch bisher auch ohne und gerade jetzt ist ein ganz schlechter Zeitpunkt für das Software-Update: Viele kleine und mittelständische Betriebe nehmen die Abwehr von Hackern auf die leichte Schulter. Dabei ist ein guter Schutz überlebenswichtig – und dabei gar nicht unerreichbar. Die Initiative Charter of Trust hat einen Drei-Stufen-Plan entwickelt.

Gute Cybersicherheit ist in kleinen und mittelständischen Unternehmen (KMU) oft ein Organisationsproblem, ist sich Christian Haas, Referent im Lernlabor Cybersicherheit des Fraunhofer IOSB in Karlsruhe, sicher. Unklare Zuständigkeiten, kein Know-how zu Cybersicherheit in der Produktion, Priorität allein auf Stückzahlen – dies sind nur einige der Gründe hierfür.

Doch wie schaffen es KMUs, sich mit begrenzten Ressourcen gegen die allermeisten Hackerangriffe zu wappnen? „Mit einem ganzheitlichen Sicherheitskonzept“, empfiehlt Haas. In dem IT-Sicherheitslabor können Betriebe deshalb Hackerangriffe durchspielen und mit Hilfe der so gewonnenen Expertise die eigene Produktions-IT besser absichern.

Bis zum großen Knall

Doch das tun die wenigsten. Viele Unternehmen seien sich der Gefahren gar nicht bewusst, beklagt Ernst Esslinger. „Cybersicherheit in der Industrie ist wie ein Damoklesschwert.“ Esslinger ist Direktor für Methoden und Werkzeuge bei Homag, einem Hersteller von Holzbearbeitungsmaschinen in Schopfloch. Homag-Maschinen sind voll vernetzt, weil die Möbelindustrie das heute verlangt: Wenn Kunden online einen Kleiderschrank konfigurieren, werden automatisch die Produktionsdaten für die Maschinen erzeugt, die die Bretter sägen und Löcher bohren. Bei der Sicherheit gebe es noch Luft nach oben.

Der Maschinenbau-Ingenieur war Koordinator im Forschungsprojekt IUNO, das Konzepte zur IT-Sicherheit für Industrie 4.0 untersucht hat und vom Bundesministerium für Bildung und Wirtschaft gefördert wurde. Auch Siemens war einer der Partner. IUNO hat Sicherheitslösungen für vier Anwendungsfälle entwickelt, allerdings werde das Thema Security derzeit kaum nachgefragt, so Esslinger. Die Ausreden sind bekannt: Die Betriebe glauben, dass sie nicht interessant seien für Hacker. Oder dass die Installation einer Firewall ausreiche. Und Updates für Maschinen mache man später, denn gerade jetzt könne man sich keinen Stillstand leisten. „Aber irgendwann kommt der große Knall“, warnt Esslinger.

Wie Fraunhofer-Forscher Christian Haas sieht auch Ernst Esslinger in den Betrieben weniger technische als vielmehr organisatorische Hürden sowie mangelndes Bewusstsein. Zu diesem Schluss ist auch die Charter of Trust gekommen, die Siemens mit internationalen Unternehmen und Forschungspartnern 2018 gestartet hat. Die Initiative hat einen Maßnahmenkatalog mit drei Phasen entwickelt, der genau dort ansetzt.

Phase I: Eine Kultur für Cybersicherheit etablieren

Cybersicherheit geht alle Mitarbeiter an – zuallererst das Management. Das zieht sich allzu gerne aus der Affäre, indem es die erforderlichen Maßnahmen an die IT-Abteilung delegiert. Stattdessen sollten Führungskräfte das Thema zur Chefsache erklären und Verantwortung übernehmen. Erste Maßnahme: eine Risikobewertung. Das höchste Risiko dürfte von den eigenen Mitarbeitern ausgehen. Laut Kaspersky, einem Anbieter von Security-Software, sind mehr als 80 Prozent aller Sicherheitsvorfälle auf menschliches Fehlverhalten zurückzuführen. Klassiker sind betrügerische Mails und simple Passwörter. Hier helfen nur regelmäßige Schulungen. „Die sind auch deshalb wichtig, damit ein Betrieb nachweisen kann, dass er im Sinne der Datenschutzgrundverordnung alle erforderlichen Maßnahmen ergriffen hat“, betont Markus Schließ, Fachanwalt für IT-Recht in Stuttgart.

Phase II: Maßnahmen ergreifen und verankern

Die Bedrohungslage ist bekannt – nun geht es an konkrete organisatorische Maßnahmen. KMU sollten Datenschutz, Sicherheitsrichtlinien, physische Sicherheit, Datenintegrität und Zugangsverwaltung auf den Prüfstand stellen und optimieren sowie mit der Durchführung von Schulungsmaßnahmen beginnen. Diese Maßnahmen empfiehlt auch die Charter of Trust, die Siemens in seine AGBs für Lieferanten übernommen hat.

Damit nicht genug: Gerade Unternehmen, die digitale und vernetzte Produkte und Dienstleistungen anbieten, müssen Cybersicherheit als Bestandteil dieser Produkte einbauen, Stichwort: Security by Design – von der Entwicklung über den Betrieb des Produkts bis zum Service. Eng verwandt damit ist Security by Default: Alle Schutzmaßnahmen sollen schon bei der Auslieferung in Kraft sein, etwa starke Passwörter statt des noch üblichen „0000“.

Phase III: Maßnahmen kommunizieren und Vorbild sein

Tue Gutes und rede darüber. Diese Empfehlung gilt auch für Maßnahmen zur Cybersicherheit. Gemeint ist nicht bloß PR, sondern der Nachweis des eigenen Sicherheitsstatus über Zertifizierungen wie zum Beispiel IEC 62443 oder ISO 27001. Unternehmen, die als gutes Beispiel vorangehen, ermuntern andere, dies nachzuahmen. Das ist wichtig, weil Cyberangriffe weder an Unternehmens- noch an Landesgrenzen halt machen. Entsprechend sind Maßnahmen zur Cybersicherheit immer im Kontext zu sehen, etwa über Lieferketten hinweg oder zum Beispiel mit Dienstleistern, die später die Wartung für das Produkt übernehmen.

Hat ein Betrieb die drei Phasen durchlaufen, ist er gut vor Hackern geschützt – aber nicht für alle Zeiten. Denn Kriminelle denken sich immer neue fiese Angriffsmethoden aus. Cyberschutz ist daher kein Produkt, in das man einmal investiert und das man dann vergessen kann. Es ist vielmehr ein ständiger Prozess, der stete Aufmerksamkeit erfordert, der aber gerade deshalb umso nachhaltiger schützt.

Darin liegt auch eine Chance: Gute Cybersicherheit ist die Basis für Veränderung und neue digitale Geschäftsmodelle. In der Möbelbranche gibt es die schon, siehe die Online-Konfiguration individueller Möbel. Doch viele andere Branchen stünden erst am Anfang, meint Ernst Esslinger von Homag. Und das müsse sich seiner Meinung bald ändern: „Um den Anschluss an die vielen Möglichkeiten der digitalen Welt nicht zu verlieren, kann ich nur eines empfehlen: mehr tun für die Cybersicherheit.“

Bildergalerie

  • Kontinuierlich überwachte und integrierte Sicherheit ist eine wichtige Grundlage für die industrielle Automatisierung.

    Bild: Siemens

  • Um Industrieanlagen umfassend vor Cyberangriffen von innen und außen zu schützen, muss auf allen Ebenen gleichzeitig angesetzt werden – von der Betriebs- bis zur Feldebene, von der Zutrittskontrolle bis zum Kopierschutz.

    Bild: Siemens

  • Die Charter of Trust wurde 2018 mit dem Ziel, die digitale Welt von morgen sicherer zu machen, gegründet

    Bild: Siemens

Firmen zu diesem Artikel
Verwandte Artikel