Accenture Cyber Resilienz Security

Ein häufiges Einfallstor in die vernetzte Fabrik sind häufig nicht ausreichend gesicherte IT-Systeme von Drittanbietern. - Bild: Adobe Stock/metamorworks

Uwe Kissmann

Uwe Kissmann ist Leiter Cyber Security Services EALA bei Accenture. Er ist Berater und Executivemitglied diverser nationaler und internationaler Fachgruppen und langjähriger Spezialist für Cyber Security.

Kontakt

Produktion: Herr Kissmann, was sind konkrete Bedrohungen für Unternehmen durch Industrie X.0?

Uwe Kissmann: Die größte Bedrohung ist, den Trend der Industrie X.0, also alle Entwicklungen rund um die Digitalisierung und das sogenannte industrielle Internet der Dinge, zu verpassen. Das allein erfordert schon für viele Unternehmen eine radikale Revolution und einen kompletten Umbau des Geschäftsmodells. Wenn ein Unternehmen in die Digitalisierung seiner Produktion und Prozesse investiert hat, stellen gezielte Cyberangriffe mit Fokus auf Integrität und Verfügbarkeit einen wesentlichen Teil der Bedrohungen dar.

So könnten beispielsweise Hacker eine Produktionsstraße angreifen und unbemerkt durch kleine Modifikationen die Produktqualität negativ beeinflussen. Und das nicht bei jedem Teil und bei Eigenschaften, deren Fehlfunktion sofort erkennbar sind, sondern vielmehr bei Produkteeigenschaften, welche bei Factorytests nur sehr schwer messbar sind und erst im Laufe der Zeit zu Ausfällen führen können. Ein Automobilhersteller merkt so zum Beispiel unter Umständen nicht, dass er seit Monaten eine fehlerhafte Fertigung hat.

Das Ergebnis: Teure Rückrufaktionen, die die Integrität untergraben. Oder Hacker manipulieren die Bestellprozesse neuer Teile von Zulieferern. Das Just-in-Time-Prinzip versagt. Steht dann das Band still, weil für einen Produktionsschritt Teile fehlen, kann das sehr teuer werden. Die Verfügbarkeit ist daher ein beliebtes Angriffsziel.

Produktion: Kann das IIOT überhaupt vollständig abgesichert werden und wo liegen die größten Einfallstore?

Kissmann: Eine vollständige Absicherung ist unmöglich. Unternehmen müssen priorisieren und die geschäftskritischsten Elemente ihrer Organisation frühzeitig identifizieren. Ein häufiges Einfallstor sind häufig nicht ausreichend gesicherte IT-Systeme von Drittanbietern. Aus diesem Grund muss auch ein hoher Fokus auf deren regelmässige Securityüberprüfung liegen. Der Einbezug von Drittanbietern muss hier ernsthaft überlegt werden, da die Securitykapazitäten von Firmen oftmals nur knapp für die eigenen Bedürfnisse genügen.

Produktion: Wie können Industrieunternehmen in Europa Cyber-Resilienz nach innen und außen aufbauen – was müssen sie jetzt konkret tun?

Kissmann: Üben, üben, üben! Man kann nicht genug darauf hinweisen, dass Unternehmen sich bestmöglich auf Angriffsszenarien vorbereiten müssen. Das bedeutet, nicht nur ein Konzept für Cyberabwehr in der Hinterhand zu haben, sondern dieses auch tatsächlich unter realistischen Bedingungen regelmäßig zu testen. Der Fokus muss klar auf der Agilität der Cyberabwehr und der Schaffung einer Learning Organisation liegen. Während eines Angriffs muss sich das Team schnell auf neue Situationen einstellen können. Da reicht auch das durchdachteste Konzept im Vorfeld nicht aus, da es in der Regel nach wenigen Minuten eines Angriffes obsolet wird.

Produktion: Wie können Unternehmen Kosten bei der Cyberabwehr sparen und gleichzeitig ein Maximum an Sicherheit in ihre Industrie X.0-Systeme integrieren?

Kissmann: Eigentlich ganz einfach: Sicherheit muss von Anfang an in alle Prozesse integriert sein. Dabei sollten Unternehmen sich vom reinen Technologie-Fokus lösen. Wichtig hierbei ist ein businessrelevante Priorisierung. Dabei besteht das oberste Schutzziel eben nicht mehr in sämtlichen IT-Systemen, sondern fokussiert sich primär auf die gewinnbringendsten Teile der unternehmerischen Wertschöpfungskette. Unternehmen müssen sich also fragen, was die für ihr Geschäft kritischsten Prozesse sind, wie man diese am besten schützt und welche Technologie dafür erforderlich ist. Vorausdenken spart Kosten! Im Nachhinein Sicherheitsmaßnahmen integrieren zu wollen, ist deutlich teurer.

Produktion: Wie kann Cybersicherheit agiler werden, um gleichzeitig Effizienz und Leistung zu verbessern?

Kissmann: Es muss ein radikales Umdenken stattfinden. Ein Vorgehen, das sich auch bei Cyberabwehrmaßnahmen bewährt hat, entstammt militärischen Strategien. Diese besagen, Schwächen durch simulierte Angriffe zu offenbaren und sich danach auf deren Beseitigung zu fokusieren. Das Ganze in einem regelmässigen Zyklus. Man kann noch so gute Konzepte im Vorfeld entwickeln, im Ernstfall kommt es doch immer anders. Und genau darauf müssen sich Cyber-Abwehr-Teams vorbereiten. Durch Übung und simulierte Angriffe.

Erst wenn ein Team versucht, auf immer neue Weise in die Systeme des anderen einzudringen, offenbaren sich die Schwachstellen. Es ist hierbei sehr wichtig, nicht nur standardisierte Pentesting und Vulnerabilitymanagementtests anzusetzen, sondern mit Profiteams zusammenzuarbeiten, welche darauf spezialisiert sind, diese Agilität variantenreich zu simulieren. Erst daraus lassen sich Verbesserungen, Gegenmaßnahmen und neue Konzepte ableiten, welche wirklich wirkungsvoll sind und nicht nur einen Compliancecheck bedeuten.

Produktion: Wie muss ein „Security by Design“ aussehen und wie kann es erreicht werden?

Kissmann: Jeder Chip, jede Platine in einem IIOT-Bauteil ist eine potenzielle Schwachstelle für das gesamte System. Man muss von Anfang an Konzepte entwickeln, wie man jedes einzelne Teil im System schützen kann. Cybersecurity sollte nicht nachträglich eingebaut werden, sondern der Sicherheitsgedanke muss integraler Bestandteil und von Beginn an in die Planung mit einbezogen werden. Nur so lässt sich das Ganze auch in einer wirtschaftlich sinnvollen Art und Weise realisieren.

Produktion: Welche Rolle spielen die Mitarbeiter beim Thema „Cyber-Resilienz“ und wie müssen Unternehmen sie darauf vorbereiten und trainieren?

Kissmann: Die Mitarbeiter sind ein nicht zu unterschätzender Schlüsselfaktor. Daher müssen Unternehmen alles tun, um sie für das Thema Cybersicherheit zu sensibilisieren, ein entsprechendes Mindset aufzubauen und sie früh mit dem Thema Cyberattacken zu konfrontieren. Der Faktor Mensch ist ungeheuer wichtig für den Aufbau von Cyber-Resilienz.

Hier übe ich mitunter auch Kritik an gewissen Aktoren der Cyberindustrie, welche den Kunden Glauben machen wollen, dass sich mit ihren Lösungen fast alle Risiken eliminieren lässt. Nein, das tut es in den wenigsten Fällen, schafft aber ein gefährliches Gefühl von Scheinsicherheit. Nur durch einen integrierten Ansatz von Technologie und personellen Aspekten kann man wirksame Schutzkonzepte erzielen Unternehmen sollten sich außerdem immer die Frage stellen, ob ihre Mitarbeiter tatsächlich über eine Top-Security-Ausbildung verfügen und den Erwerb und das Erhalten entsprechender Zertifikate einfordern.