25.06.2018
Die zunehmende Digitalisierung lässt IT-Systeme und Maschinen näher zusammen rücken. Bits und Bytes fließen heutzutage 24/7. Eine stärkere Vernetzung erhöht das unternehmerische Potential, bislang verborgene Schätze zu heben, Arbeitsabläufe zu beschleunigen und innovative Geschäftsmodelle zu entwickeln, die bislang unmöglich erschienen.
Gleichzeitig ergeben sich durch das steigende Angebot an internetverbundenen Systemen und die zunehmende Vernetzung beachtliche Sicherheitsrisiken. Ein IT-sicherheitstechnischer Kollaps kann einem Unternehmen teuer zu stehen kommen bis hin zur Existenzgefährdung: Produktionsausfälle, Betriebsunterbrechung, forensische Analysen, Beratungskosten, der Diebstahl von Firmengeheimnissen oder Kundendaten, Erpressung – das Schadenspotential ist enorm wie kreativ. In Anbetracht dieses negativen Potentials sollten Investitionen in IT-Sicherheit als selbstverständliche Vorsorge erachtet werden. Ein Blick in die jüngere Geschichte zeigt eine wachsende Menge an Schadensereignissen, ausgelöst durch IT-Sicherheitsvorfälle oder gar durch gezielte kriminelle Cyberangriffe, im Fachjargon Advanced Persistent Threats genannt. Cyberkriminalität ist auch deswegen so attraktiv, da die Wahrscheinlichkeit erwischt zu werden, im Vergleich zu traditionellen Verbrechen, deutlich geringer ist.
Ein noch größerer Schaden wird gerne unterschätzt: der Reputationsschaden. Unternehmen, die mit soliden Negativschlagzeilen in Zusammenhang mit IT-Sicherheitsvorfällen ihren Weg in die Medien finden, werden gedanklich damit konnotiert. Wie viel Vertrauen würden sie einem derartigen Unternehmen in Folge - als Kunde, Partner oder Lieferant - noch entgegen bringen? Ein aus Amerika bekannt gewordenes Beispiel ist das gehackte Unternehmen Equifax, ein Finanzdienstleistungsunternehmen, das rund ein Drittel seines Marktwertes – rund 6 Mrd Dollar – innerhalb weniger Tage aufgrund gestohlener Kundendatensätze einbüßte.
Um für diese neuen Herausforderungen auf unternehmerischer Ebene gerüstet und sicher in der digitalisierten Welt unterwegs zu sein, wurde das Information Security Network vom IT-Cluster der Business Upper Austria als Orientierungshilfe und Tor zu Anbietern eingerichtet. Im Rahmen verschiedener Formate wird Aufklärungsarbeit betrieben. Unternehmen sind daher eingeladen, ihre Herausforderungen im Umfeld Informationssicherheit und Datenschutz an das Information Security Network heran zu tragen. In kostenlosen Gesprächen wird gemeinsam erarbeitet, bei welchem Anbieter der Unternehmer mit seinen Herausforderungen gut aufgehoben ist und wird dann entsprechend zielgerichtet vermittelt. Auch können kostenlose Sensibilisierungsvorträge in Anspruch genommen werden.
Weitere Informationen finden sich unter https://isn.itcluster.at.
Die Frage, die sich den meisten Unternehmen stellt ist: „Womit fange ich beim Thema Security an?“. Denn Security kann auf Außenstehende wie ein undurchsichtiger Dschungel an Konzepten und Begriffen wirken, in denen man sich nur allzu leicht verfängt. Abhilfe schafft hier der Standard IEC 62443 Security for industrial automation and control systems, der Sie beinahe an jedem Punkt während der gesamten industriellen Wertschöpfungskette einer Lösung oder eines Produktes unterstützt. Die Norm sorgt dabei für Klarheit im Security-Dschungel und stellt Anhaltspunkte für die Umsetzung von Security im Industrieumfeld bereit.
Dabei werden Security-Themen aufgegriffen, die sowohl für den Hersteller als auch für Integratoren und Betreiber relevant sind. Die Erfahrung von Limes Security, Partner im Information Security Network und österreichisches Beratungsunternehmen für Security in der Industrie, zeigt, dass insbesondere folgende drei Punkte umzusetzen sind:
Sicherheit in den Beschaffungsprozess integrieren
Bevor eine neue Anschaffung getätigt wird, sollte innerhalb des Unternehmens definiert werden, welche Security-Anforderungen für die neuen Anlagen und Komponenten gefordert oder gewünscht werden. Die Sammlung der Anforderungen in Form eines Anforderungskatalogs kann den Zuständigen für den Beschaffungsprozess als Leitfaden und Empfehlung übergeben werden. Limes Security rät zusätzlich, die erhaltenen Angebote anschließend auf ihre IEC 62443 Eigenschaften zu prüfen, um mögliche grobe Abweichungen bereits frühzeitig feststellen zu können. Bei den Verhandlungen zwischen dem Kunden und dem Lieferanten kann es sich bezahlt machen, einen unabhängigen Experten hinzuziehen, welcher den Stand der Technik der angebotenen Anlagen und Komponenten bewerten und etwaige geeignete Lösungen für Security-Defizite ausarbeiten kann.
Testen von gelieferten Anlagen und Komponenten
Nach der Installation der Anlagen sollte unbedingt ein Security-Abnahmetest stattfinden. Durch die Überprüfung wird festgestellt, ob die getroffenen technischen Maßnahmen zur Erreichung der gewünschten Security-Anforderungen auch tatsächlich und wirksam umgesetzt wurden. Zusätzlich empfiehlt Limes Security die Durchführung einer wiederkehrenden, regelmäßigen Überprüfung der zuvor festgelegten technischen und organisatorischen Maßnahmen, um zu verhindern, dass unbemerkte Änderungen oder Schwachstellen zu einem Sicherheitsrisiko werden.
Sicherer Betrieb und sichere Wartung
Nach der Installation einer Anlage oder Komponente folgt die Sicherstellung des Betriebs. Dabei sollte aus Sicht von Limes Security beachtet werden, dass das Sicherheitsniveau über die gesamte Lebenszeit der aktuellen Bedrohungslage angepasst wird.
Wie geht man das Thema IEC 62443 nun tatsächlich an? Als ersten konkreten Schritt empfiehlt Limes Security die Durchführung eines Risikoworkshops, um Anforderungen, mögliche Risiken und notwendige Security Levels zu definieren. Darauf basierend kann das optimale Vorgehen effektiv geplant werden.
Das könnte Sie auch interessieren:
Rudolf Trauner Preis
für FH-Professor
Gleichbleibende Qualität
durch Big Data
FHOÖ Studierende gewinnen
WTUN-Hackathon 2023