Cybersecurity in der IT und OT: Vom geschnittenen Brot zum Berggipfel?

Cyberattacken haben schwerwiegende Folgen in der IT und führen im schlimmsten Fall zu Ausfällen der IT-Infrastruktur. Jedoch existiert dafür ein Bewusstsein am Markt, das sich in den Sicherheitskonzepten sowie an einem breiten Angebot an Security-Lösungen widerspiegelt. Die OT wiederum profitiert nur sehr wenig von dem Know-how in der IT. Ein Grund ist, dass Verantwortlichkeiten nicht geklärt oder auch zu scharf voneinander getrennt sind.

Cybersecurity ist in aller Munde und unterliegt einer ständigen Dynamik. Technologien entwickeln sich weiter und die Anforderungen an Security in der IT als auch in der OT werden immer komplexer. Ein Grund ist der steigende Vernetzungsgrad in Organisationen und Unternehmen in jeder Branche. Die wachsende Vernetzung zwischen diversen Assets gibt Hackern eine immer größer werdende Angriffsfläche. Mit komplexen Netzwerkstrukturen tun sich zudem immer mehr potenzielle Sicherheitslücken auf. Immer mehr Assets kommunizieren durch die Netzwerke über diverse Protokolle miteinander. Wer kann da noch den Überblick behalten? In welche Richtung der erste Schritt in puncto Sicherheit geht und was alles dazugehört, lesen Sie in diesem Blogartikel.

Cyberattacken, Ransomware, Darknet und Hackergruppen: Das sind Schlagworte, die das IT-Herz eines IT-Enthusiast:in höherschlagen lassen, weil sie eine Herausforderung darstellen. Daraus ließe sich verallgemeinern, Cybersecurity sei nur eine Sache für Spezialisten – na klar, nur für die Experten also! Aber lässt sich daraus wirklich ableiten, dass man „nur“ die entsprechende IT-Expertise in einer Organisation vorhalten muss, und die Sicherheit von Office- und Produktionsnetzen regelt sich von alleine im stillen Kämmerlein? Frei nach dem Motto: „Ich brauche zehn Einheiten Sicherheit und stelle dafür zwei neue IT-Spezialisten ein.“

Die Frage lautet also mehr oder weniger: Lässt sich Cybersecurity so einfach wie geschnitten Brot an der Theke kaufen? Die klare Antwort lautet: Nein! Denn eine hundertprozentige Sicherheit existiert nicht.Und so wie mit einem kompletten Laib Brot, den ich schon vorgeschnitten im Regal finde, ist es mit Cybersecurity nicht. Denn Cybersecurity ist mehr als Prozess oder als Ziel einer Organisation zu verstehen, denn als ein fertiges Produkt. Ja, der Markt bietet zwar Lösungen und Technologien, die eine Organisation in Sachen Sicherheit unterstützen. Beispielsweise Firewalls oder Antiviren-Software. Solche Technologien sind jedoch nur Puzzleteile eines Gesamtbildes bzw. eines ganzheitlichen Sicherheitskonzepts.

Hinzu kommt: Geld wird ungern für Security ausgegeben, bestätigen Studien. Und das, obwohl laut dem BSI die Cyberbedrohungen zunehmen. Cybersecurity ist nicht „sichtbar“ und wird eher als Kostenfaktor angesehen. Sie sollte aber nicht als Kostenfaktor betrachtet werden, sondern vielmehr als existenzielle Notwendigkeit und damit als Chance für die Organisation und eine erfolgreiche Zukunft.

Wie bereits erwähnt: Technologien und Softwarelösungen sind nur ein Teil des Gesamtkonzepts der Sicherheit in einer Organisation. Denn Sicherheit entsteht in erster Linie aus der Organisation heraus und aus deren Prozessen. Daher ist Security in erster Linie Aufgabe des Managements. Und das Management sollte sich im ersten Schritt mit der Frage befassen: Wie „fit“ ist mein Unternehmen?

Oder anders gefragt: Wie geht die eigene Organisation mit dem Thema Cybersecurity um?
Hier lässt sich beispielsweise ein Blick auf produzierende Unternehmen und deren Maßnahmen in puncto Cybersecurity werfen:

• Hier werden Fernwartungszugänge für Dritte werden gekappt.
• Es werden Fragebögen vom Management ausgefüllt, um u. a. eine Versicherbarkeit zu erreichen und nicht in Haftung genommen zu werden.
• Und es wird Wert gelegt auf die Umsetzung der NIS-Richtlinien und des /IT-Sicherheitsgesetzes.

Ok, Cybersecurity fängt beim Management an. Aber wie packe ich es an, Security ganzheitlich in meiner Organisation umzusetzen? Bildlich gesprochen ist Cybersecurity ein riesiger Berg, vor dem jede Organisation steht. Und dieser Berg muss Schritt für Schritt erklommen werden. Dabei spielt die Ausrüstung für eine erfolgreiche Besteigung der Gipfel die entscheidende Rolle. Das beginnt mit der Kommunikation im Unternehmen und der Umsetzung entsprechender Maßnahmen wie der Weiterbildung von Mitarbeiter:innen oder der Etablierung eines CISO in der Organisation und endet mit der Implementierung der richtigen Lösungen und Technologien.

Zudem ist eine zentrale Leitfrage: Was will ich in meiner Organisation schützen? Gemeint ist: Womit verdiene ich mein Geld, und wie sichere ich meine Leistungen oder mein Know-how, damit ich das weiterhin tun kann? Selbst wenn ich Opfer einer Cyberattacke werden sollte. Diese Frage hilft eine entsprechende Strategie, um meine Organisation herum zu entwickeln und gibt eine Orientierung vor.

Dabei sollten im Rahmen einer erfolgreichen Cybersecurity-Strategie drei Säulen betrachtet werden.

1. IT-Security
2. OT-Security
3. IoT-Security (digitale vernetzte Produkte beim Endkunden)

IT-Security ist dabei kein neues Thema mehr und längst jedem bekannt. Jedoch ändern sich stetig die Rahmenparameter, und es ist wichtig, immer am Ball zu bleiben und sich zu informieren, welche Bedrohungslage gerade vorherrscht und welche Maßnahmen sich dagegen ergreifen lassen.

Immer stärker in den Fokus gelangt die OT-Security mit zunehmender Vernetzung. Produktionsanlagen werden immer intelligenter und Wertschöpfungsketten immer digitaler. Dies bietet enorme Potenziale für Angreifer, da das Bewusstsein noch längst nicht auf dem Stand einer Office-IT ist. Und sollte es bei einem produzierenden Unternehmen zum Ausfall durch Cyberattacken kommen, ist der Schaden groß und liegt bei den Kosten oft im oberen sechsstelligen Bereich.

In der IoT-Security (IoT = Internet of Things) dreht sich alles um smarte Produkte oder Endgeräte. Ein einfaches Beispiel ist die intelligente Kaffeemaschine. Sie verfügt über eine Netzwerkschnittstelle, um bestimmte Funktionen wie beispielsweise Temperatur oder andere Parameter über eine App zu steuern. Dabei geht es hier in erster Linie um die Absicherung der Geräte. Es ist zwar nicht weiter tragisch, wenn eine Kaffeemaschine ausfällt, jedoch wird es kritisch, wenn die smarte Heizungsanlage im Winter ausfällt.

Perfektion existiert leider nicht, zumindest nicht in Sachen Cybersecurity. Kein Unternehmen ist hundertprozentig gegen Cyberattacken geschützt. Jedoch ist dies keine Ausrede, nicht aktiv zu werden. Denn jede Organisation hat etwas Schützenswertes, womit sie ihr Geld verdient oder ihren Zweck erfüllt. Wichtig für ein erfolgreiches Konzept sind in erster Linie Transparenz und Bewusstsein der potenziellen Gefährdung. Und das beginnt beim Management.

Alle Maßnahmen schützen nie 100% vor Angriffen. Es ist wichtig, sich entsprechendes Know-how anzueignen, Bewusstsein in der Organisation zu schaffen, Technologien zu implementieren und sich stets und ständig Wissen anzueignen. Cybersecurity ist ein sich ständig wiederholender Prozess, der stetige Verbesserungen erfordert.