Cyber Security: Mehr als nur Technik Cyber Security: Mehr als nur Technik

Das Coronavirus ist natürlich kein Computervirus. Aber wir sehen indirekte Effekte, die durch Corona entstanden sind. Die Zusammenarbeit ist viel digitaler geworden. Zum Beispiel durch die Nutzung von Clouddiensten wie Microsoft Teams zur Zusammenarbeit intern, aber auch mit Partner und Dienstleistern. Ein weiterer Aspekt betrifft die IT und Cyber-Security-Abteilung. Viele manuelle Prozesse haben hier in den vergangenen Wochen gelitten, weil viele Zuhause arbeiten mussten. Die Unternehmen, die bei den Themen Automatisierung und Digitalisierung schon weiter waren, sind hier widerstandsfähiger. 

>>> Wie stark waren und sind die Unternehmen der Fertigungsindustrie von der Corona-Krise betroffen, welche Maßnahmen sollten sie einleiten und welche Folgen hat das für Digitalisierungsprojekte? Diese Fragen beantwortet Bereichsvorstand Corporates Angelika Huber-Straßer im Interview. <<<

Ja, es war natürlich ein extremer Wandel für alle. Dass einige Mitarbeiter im Homeoffice gearbeitet haben, kannte man in vielen Firmen bereits. Das aber von einem Tag auf den anderen alle von zuhause arbeiten sollten, war neu. Diese Umstellung führte in vielen Fällen häufig zu Kapazitätsproblemen. Die Bereitstellung von Remotefähigkeiten stand hier im Vordergrund. Jedoch kam es häufig zu Defiziten in Bezug auf die Sicherheit, wenn nicht bereits ein umfassendes Sicherheitskonzept vorlag und umgesetzt war. 

Ich habe dazu kürzlich einen schönen Witz gelesen: Wer ist der Treiber ihrer Digitalisierung? CEO? CFO? Corona? Die Antwort: Corona.

Dazu ein Beispiel: In vielen Firmen wurde schon vor Corona intensiv über die Einführung bestimmter cloud-basierter Collaboration-Tools diskutiert, zum Beispiel Teams. Dann kam Corona und alles ging ganz schnell. Das Coronavirus zeigt, dass die Unternehmen, die früher angefangen haben, konsequent auf die Digitalisierung und Automatisierung zu setzen, jetzt im Vorteil sind. Damit sind sie flexibler und widerstandsfähiger.

Ich merke in meinen Gesprächen, dass viele Firmen bei ihren Digitalisierungsinitiativen nicht sparen wollen. Die sollen weiter vorangetrieben werden. Da kann es zum Beispiel um die Erweiterung des Online-Vertriebs gehen, weil der „persönliche Vertrieb“ nicht mehr funktioniert. Es geht aber auch um digitale Prozesse in der Produktion, um automatisiert und flexibler produzieren zu können. Klar ist, wer digitalisiert, sollte auch die Sicherheitsvorkehrungen im Blick haben. 

 >>> In den kommenden Jahren wird es wichtiger, Produktion und Absatz näher zusammenbringen. Regionalisierung ist aber nur ein Ansatz, Krisen zu begegnen. Unsere Expertin Sylvia Trage erläutert, welche sich anbieten. <<<

>>> Vielen Unternehmen fehlt die nötige Transparenz über ihre Lieferkette. Wie sie gelingt und wie Prozesse digitalisiert werden, erläutert unser Experte Sascha Glemser im Gespräch.   <<<

Wir sehen zum einen die Angriffe, die es früher schon gegeben hat, zum Beispiel Phishingmails. Das hat es vor Corona schon gegeben, sie wurden nur sehr schnell an Corona angepasst. Das Thema Corona wird also dazu genutzt, die Leute zu verunsichern und dazu zu verleiten, gefährliche Mails zu öffnen bzw. Links darin zu öffnen. Zum anderen sehen wir, dass sich die Angreifer intensiver mit den Remote-Arbeitsmöglichkeiten beschäftigen. Zum Beispiel, indem sie sich in Videokonferenzen hacken oder Passwörter für Office-365-Anwendungen stehlen. Angreifer setzen außerdem immer häufiger auf Schadsoftware für mobile Geräte. Eine Prognose von mir ist: Wenn die Unternehmen ihre Produktion stärker vernetzen und digitalisieren, öffnen sie auch die Tore für Angreifer. 

Unter anderem kann es zum kompletten Stillstand der Produktion kommen. In der Vergangenheit gab es Fälle, bei der eine sogenannte Ransomware – hierbei handelt es sich um eine Verschlüsselungssoftware – die Produktion stilllegte. Je nachdem wie gut ein Unternehmen darauf vorbereitet ist, auf einen solchen Angriff zu reagieren und seine Systeme wiederherzustellen, kann sich ein Ausfall auch über Tage und Wochen hinziehen.

Ein Familienunternehmen für Automatisierungstechnik mit etwa 2.500 Mitarbeitern weltweit war im Herbst 2019 betroffen. Es musste unter anderem sämtliche IT-Systeme der Verwaltung und Produktion abschalten. Dies ist noch ein einfacher Fall eines Cyberangriffs. Man merkt es in der Regel sehr schnell, wenn die Produktion stillsteht. Komplexer wird es, wenn jemand gezielt das Unternehmen angreift und zum Beispiel die Produktion manipuliert. Das heraus zu bekommen ist viel schwieriger. Die genannte Firma ist – soweit möglich – offen mit diesem Angriff umgegangen. Das begrüße ich, denn ein Cyberangriff kann heute jedes Unternehmen treffen. Leider empfinden es viele noch als Makel, über den nicht gesprochen wird. Die Gefahr ist aber real, und nicht nur für Großkonzerne.

Hier geht es um das Zusammenwachsen aus Produktions-IT, auch OT genannt, IT und Cloud-Anwendungen. Wenn man Industrie 4.0 konsequent denkt, wird auch der Vernetzungsgrad ungleich höher sein. Und das betrifft auch Dienstleister, Zulieferer und Partner Die Produktion war lange nicht vernetzt. Wenn ich die Produktion also hacken wollte, musste ich in die Halle gehen und am Terminal etwas machen. Heute ist die Vernetzung viel stärker – zum Teil bis in die Cloud hinein. Wer digitalisiert und vernetzt, sollte auch das Sicherheitskonzept und Cyber-Security-Maßnahmen an die neue Komplexität anpassen. Eine simple Firewall ist nicht mehr ausreichend, um die Datenflüsse sauber zu managen und den Sicherheitsstatus jederzeit zu kennen und zu kontrollieren. Dafür sind neue Sicherheitskonzepte notwendig. Das fängt bei der Schulung und Sensibilisierung der Mitarbeiter an. Geht weiter bei organisatorischen Sicherheits-Prozessen und -Maßnahmen, die integriert werden sollten und endet bei technischen Absicherungsmaßnahmen, die zum Schutz der Infrastruktur und Produktionssysteme notwendig sind. Der Blick muss aber auch über den eigenen Tellerrand hinausgehen. Wo schalten sich z.B. Dritte auf die Produktion – wie Hersteller oder Integratoren zu Wartungszwecken – oder wo werden kritische Daten auch mit Dritten ausgetauscht? Wenn dort nicht ein vergleichbares Sicherheitsniveau herrscht, habe ich eine Lücke in meinem Sicherheitskonzept.

Da ist massiver Nachholbedarf. Im IT-Bereich beschäftigen wir uns schon seit mindestens zehn, 15 Jahren mit dem Thema IT-Sicherheit. Die Produktion war bislang komplett abgekoppelt, deswegen hat man sich lange nicht wirklich mit dem Thema Cyber-Sicherheit auseinandergesetzt. Ein Beispiel: Ein Einspielen von Updates läuft in der Windowswelt weitestgehend automatisiert und unproblematisch im Hintergrund. In der Produktion ist man von dieser Reife meist noch weit entfernt. Das sind immer wieder manuelle Prozesse, die dort durchgeführt werden müssen.

Ein Thema, das durch die Corona-Krise massiv an Brisanz gewonnen hat, ist die Zusammenarbeit mit Dritten in der Lieferkette. Es kommen vielfach neue Dienstleister und Lieferanten hinzu, um hier zukünftig flexibler und widerstandsfähiger zu sein. Jedoch muss die Sicherheitsstrategie für Lieferanten hinterfragt werden. Wie gesagt, hilft es ja nichts, wenn die Daten im eigenen Unternehmen geschützt sind, beim Lieferanten aber ungeschützt gespeichert werden. Unternehmen sollten Sicherheitsanforderungen auf ihr gesamtes Ökosystem erweitern. Und diese Erweiterung wird gerade vielfach vorgenommen. Es wird immer wichtiger, sich im Zuge der Digitalisierung nicht nur mit internen Aspekten zu befassen, sondern auch über die Unternehmensgrenzen hinaus zu schauen. 

Wie gerade erwähnt ist vor allem der übergreifende Blick wichtig und nicht mehr in Silos zu denken. In vielen Unternehmen ist es noch häufig so, dass jemand für die IT-Sicherheit, aber nicht für OT-Sicherheit, zuständig ist. Aus Cyber-Security-Sicht sollte man diese Silos aufbrechen. Sowohl mit Blick auf die Verantwortlichkeiten als auch mit Blick auf die Sicherheitsprozesse. Cyber Security ist zwar auch ein technisches Thema. Das wird es auch immer bleiben. Dennoch sollten auch organisatorische Maßnahmen im Konzept berücksichtigt werden. Unter anderem die Schulung von Mitarbeitern, die für die Gefahren unbedingt sensibilisiert werden sollten. Und es sollten organisatorische Verfahren und Abläufe festgelegt werden. So sollte klar geregelt sein, wie Firmen im Falle eines Angriffs reagieren. Es geht unter anderem darum, bei längeren Ausfällen die Kunden zu informieren und sich Gedanken dazu zu machen, welche Konsequenzen eine Cyber-Attacke haben kann.

Zu einem ganzheitlichen Sicherheitskonzept gehört nicht nur die Verhinderung von Angriffen durch präventive Maßnahmen, sondern auch die Fähigkeit, Angriffe zu erkennen und effizient und schnell darauf reagieren zu können – bis hin zum Wiederherstellen der Daten und Systeme.

Wichtig ist vor allem: Das Thema Cyber Security hat viele Facetten und nicht nur eine technische Ebene.