Unternehmen müssen sich mit der eigenen IT-Sicherheit auseinandersetzen und Schutzmassnahmen ergreifen. Dabei ist die Industrial Security kein einmaliges Projekt, sondern vielmehr eine kontinuierliche und sich ständig verändernde Herausforderung. Denn 100-prozentige Sicherheit gibt es nicht; und die, die es gibt, ist nicht von Dauer.

Was in der IT-Welt schon alltäglich ist, gilt seit einigen Jahren auch für die Industriebranche: Seit die Digitalisierung Einzug gehalten hat und Maschinen und Anlagen von Software gesteuert werden, müssen sich die Betreiber auf externe und interne Angriffe gefasst machen. Und der Umfang der Cybersicherheitsrisiken wird in Zukunft weiter zunehmen: Milliarden Maschinen, Anlagen, Sensoren und Produkte kommunizieren bereits weltweit miteinander und ihre Anzahl vergrössert sich rapide. Und damit auch das Potenzial für immensen wirtschaftlichen Schaden durch gezielte Angriffe auf Unternehmen. Gemäss Innovationsstudie der ETH Zürich (genauer: Innovation in der Schweizer Privatwirtschaft, Konjunkturforschungsstelle der ETH Zürich im Auftrag des SBFI, Oktober 2018) sind sich zwar die Schweizer Unternehmen über die Herausforderungen der Cybersicherheit bewusst, aber nur ein Viertel verfügt über eine Cybersicherheitsstrategie. Wenn die Industrie dabei auf ein durchgängiges Sicherheitskonzept setzt, sind die Risiken jedoch beherrschbar.

Schutzkonzept Defense in Depth

Menschen und Unternehmen müssen sich auf die Sicherheit ihrer digitalen Technologien verlassen können – andernfalls werden sie den Wandel hin zu einer digitalen Welt nicht mittragen. Cyber Security bestimmt somit im Wesentlichen auch den technologischen Fortschritt, denn Digitalisierung und Cybersicherheit können sich nur gemeinsam weiterentwickeln. Doch wie werden wirtschaftliche Werte vor Cyber- und Hybridbedrohungen geschützt? Der Schutz gelingt nur mit einem ganzheitlichen Ansatz. Bereits bei der Anlagenplanung und Maschinenentwicklung muss der Schutz gegen Cyberattacken berücksichtigt und über den Lebenszyklus hinweg bedacht werden. Um Angriffspunkte zu eruieren, müssen sich Hersteller bereits in den Spezifikations-, Design- und Entwicklungsphasen mit Schwachstellen auseinandersetzen.

Anzeige

Ein ganzheitliches Konzept basiert auf dem Ineinandergreifen von verschiedenen Schutzmechanismen auf allen relevanten Systemebenen. Das Schutzkonzept Defense in Depth ist mehrstufig aufgebaut und umfasst sowohl den Anlagen- und Netzwerkschutz wie auch die Systemintegrität. Dabei birgt jede dieser Ebenen ihre spezifischen Herausforderungen mit Blick auf mögliche Angriffe. Einerseits muss die innere Sicherheit durch die Sensibilisierung der Mitarbeiter gewährleistet werden. Mitarbeitende müssen Gefahren für Anlagen aus der Fabrikautomatisierung kennen, potenzielle Schwachstellen analysieren und Risiken bewerten können.

Anderseits ist der Schutz vor möglichen Cyberattacken von aussen wesentlich. Insbesondere bei kritischen Infrastruktureinrichtungen sind entsprechende Schutzmassnahmen notwendig. Präventiv muss also auf allen Ebenen gleichzeitig angesetzt werden: von der Betriebs- bis zur Feldebene und von der Zutrittskontrolle bis zum Kopierschutz.

Zu einer systematischen Vorgehensweise gehört die Durchführung von detaillierten Security-Assessments, um die Schwachpunkte in den reellen Anlagen sichtbar zu machen und geeignete Abwehrmassnahmen zu installieren. Dazu gehört die Implementierung der optimalen Massnahmen sowie die Aktualisierung und Risikoanpassung. Denn Industrial Security ist ein dynamisches und komplexes Thema, das fortlaufende Beobachtung und Anpassung neuer Sicherheitsmassnahmen erfordert. Diese reichen etwa von Softwarepaketen für den stets aktuellsten Sicherheitsstand über Authentifizierungsverfahren bis hin zu Monitoring-Lösungen. So lassen sich nahezu in Echtzeit Cyberangriffe identifizieren und frühestmöglich Gegenmassnahmen einleiten. Im Mittelpunkt dabei steht der Schutz von Know-how und das Aufrechterhalten des Betriebes.

Anzeige

Charter of Trust

Ohne Anstrengungen durch Staat, Wirtschaft und Gesellschaft wird die Cyberkriminalität stetig wachsen. Deshalb müssen die wirtschaftlichen, gesellschaftlichen und demokratischen Werte geschützt werden. So ist die einzigartige Initiative weltweit führender Unternehmen entstanden, welche die digitale Welt sicherer macht: Charter of Trust. Ziel von Charter of Trust ist es, Regeln für die Cybersicherheit im vernetzten Leben zu formulieren und umzusetzen. Zu den Forderungen gehört der Schutz von Daten über den Lebenszyklus und Mindestanforderungen für die Mitarbeiterausbildung im Bereich IT-Sicherheit.

Das Bündnis hat beispielsweise Anforderungen an die digitale Lieferkette definiert, da die Lieferkette zu den schwächsten Punkten einer Unternehmung gehört. Von den Regeln betroffen sind vor allem Lieferanten von sicherheitskritischen Komponenten wie Software und Prozessoren oder elektronischen Bauteilen.

Anzeige

Die Lieferkette gehört zu den schwächsten Punkten einer Unternehmung. 

Ziel ist es unter anderem, Softwareschwachstellen zu vermeiden. Zu den Anforderungen gehört, dass Lieferanten spezielle Normen, Prozesse und Methoden für die Erstellung ihrer Produkte und Dienstleistungen einhalten müssen. Ausserdem müssen sich die Lieferanten um regelmässige Sicherheitsprüfungen, Tests und Korrekturen kümmern. Denn Cybersicherheit ist das Schlüsselelement für eine erfolgreiche digitale Welt.