Ratgeber: 3 Schritte zu mehr digitaler Sicherheit im Unternehmen

11.4.2018

Autor: Martin Priester, stellvertretender Leiter der Fraunhofer Academy,
Dr.-Ing. Christian Haas, Gruppenleiter „Sichere vernetzte Systeme“ Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB

 

Cybersicherheit ist eines der entscheidenden Themen der Digitalisierung und der Industrie 4.0. Die Meldungen über Sicherheitslücken und Cyber-Attacken aus den vergangenen Monaten haben das noch einmal verdeutlicht. Und sie stellen keine schlagzeilenträchtigen Einzelfälle dar: Einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik zufolge wurden allein in den Jahren 2016 und 2017 rund 70 Prozent der Unternehmen und Institutionen in Deutschland zum Ziel von Hacking-Versuchen und Attacken.

Für Unternehmen ist es daher erforderlich, sich mit ihrer IT-Sicherheit und ihrer hausinternen Sicherheitskompetenz auseinander zu setzen. Die Entwicklung und Umsetzung eines IT-Sicherheitskonzepts stellt keine unlösbare Aufgabe dar. Unternehmen können mit klar definierbaren Schritten viel dafür tun, sich die Chancen der Digitalisierung sicher zu erschließen.

 

1.      Schritt: Prävention durch Erstellung und Implementierung eines Sicherheitskonzepts

 

Vorsorge beginnt mit Vorbereitung: Verschaffen Sie sich eine Übersicht über Ihre Systeme und Assets und legen Sie Grundlagen für Ihr Sicherheitskonzept fest.

 

Zunächst geht es darum, sich der Aufgabe bewusst zu sein und sie aktiv anzugehen. Viele Unternehmen beschäftigen sich zu wenig mit dem Thema IT-Sicherheit, sei es, weil sie die Komplexität und der vermutete Aufwand abschrecken oder weil sie nicht davon ausgehen, dass es sie betrifft. Doch die Prävention von Angriffen beginnt damit, sich bewusst darüber zu sein, dass jeder Opfer von Hackern werden kann – und dass man Vorkehrungen dagegen treffen muss.

Ihre Basis schaffen Unternehmen mit einer Risikoanalyse. Um systematische Schritte hin zu einem Sicherheitskonzept zu definieren, sind verlässliche Grundlagen erforderlich. Das beginnt tatsächlich bereits damit, eine vollständige und aktuelle Übersicht über die eigenen Assets zu haben: Welche Systeme werden verwendet? Wie viele gibt es? Welche Software-Versionen und Schutzmaßnahmen werden eingesetzt? Ist das durchgängig der Fall? Diese Punkte werden ergänzt durch die Ermittlung, welche Bedrohungen es für diese Systeme gibt und welche Auswirkungen ein erfolgreicher Angriff haben würde. Und Sie müssen für sich festlegen, wie viel Restrisiko akzeptabel ist.

Für Hersteller vernetzter Geräte gilt diese Risikoanalyse insbesondere auch für die eigenen Produkte. Sie müssen Sicherheitsanforderungen (»Security Requirements «) definieren und sich zusätzlich mit der Frage auseinandersetzen, welche Komponenten innerhalb der Systeme Ziel von Angriffen werden könnten. Entweder, weil über sie ein Eindringen und Manipulationen bei den Kunden möglich werden, oder weil sich hier Daten oder Programme befinden, die einen hohen Wert besitzen.  

Eine Risikoanalyse ist ein dringend erforderlicher erster Schritt. Genau wie die Festlegung von Zuständigkeiten – und zwar in präziser Weise, die berücksichtigt, was inhaltlich notwendig ist. Es geht also nicht nur darum, dass Sie generell einen Zuständigen für IT-Sicherheit benennen. Es geht auch konkret um Fragestellungen wie die, wer für die Wartung von Firewall-Systemen oder die Kontrolle von Updates zuständig ist. Je tiefer diese in die Produktion integriert sind, desto wahrscheinlicher ist es, dass eine Aufhängung im Bereich OT (Operational Technology) sinnvoller ist als eine in der zentralen IT.

Neben guter Vorbereitung zählt auch die Verringerung der Angriffsfläche zur Prävention. Liefern Sie möglichst wenig Potenzial für Eindringlinge, prüfen Sie kritisch, wie viele Verbindungspunkte nach außen notwendig sind. Diese können Sie dann besser überwachen.

Dazu gehört auch, dass Sie die Systeme danach klassifizieren, wie gut sie geschützt sein sollen. Danach können Sie diese in verschiedenen Sicherheitszonen bündeln.

Herstellern hilft auch die konsequente Berücksichtigung von Sicherheit von Beginn an: Setzen Sie auf Security by Design, machen Sie Sicherheit also zu einem integralen Aspekt der Produktentwicklung, nicht zu einem nachgelagerten Schritt. Das bedeutet auch, dass in den Entwicklungsprozessen ausreichend Zeit und Ressourcen eingeplant werden, um Sicherheitsmechanismen zu implementieren. Und es bedeutet, dass die Konfiguration ab Werk eher restriktiv ausfallen sollte, damit potenzielle Zugangswege bei Kunden nicht unbewacht offen stehen, sondern bewusst freigeschaltet werden müssen.

 

2.      Schritt: Detektion von Zugriffsversuchen und Überwachung von Übergängen zwischen Sicherheitszonen

 

Implementieren Sie Sicherheitszonen, Maßnahmen zur Überwachung der Übergänge zwischen ihnen und legen Sie fest, wer für ihre Überwachung zuständig ist.

 

Auf Basis der Klassifierung, wie schützenswert welches System ist, sollten Sie verschiedene Sicherheitszonen in Ihrem Netzwerk einrichten. Sicherheitszonen sind IP-Netzwerke, die von ihren anderen Netzwerken abgetrennt sind. Beispielsweise sollten IT und OT getrennte Sicherheitszonen darstellen. Die Kommunikation zwischen Sicherheitszonen ist nur eingeschränkt möglich und wird durch Sicherheitsmaßnahmen überwacht. Diese können technischer wie organisatorischer Natur sein. Technische Sicherheitsmaßnahmen sind etwa Firewalls oder Systeme zur Intrusion Detection. Letzlich kann die Abgrenzung einer Sicherheitszone bis zu ihrer kompletten Abtrennung vom Netzwerk reichen.

Genauso gehört aber die Überprüfung der der Logfiles zu Ihren Sicherheitsmaßnahmen: Wenn etwa an bestimmten Systemen mehrmals hintereinander falsche Login-Daten eingegeben werden, sollten Ihre zuständigen Mitarbeiter auch dem nachgehen.

Generell geht es neben der Einrichtung von Firewalls und weiteren Schutzmaßnahmen darum, festzulegen, wer diese überwacht. Die zuständige Person muss dann regelmäßig die Systeme checken, ihre Logdateien kontrollieren und überprüfen, ob Updates nötig sind. Dieser Check dient auch dazu, um Probleme zu vermeiden, die nicht durch Eindringlinge, sondern Wartungsvorgänge ausgelöst werden. Auch diese können ja dazu führen, dass Systeme zwischenzeitig nicht zur Verfügung stehen.

Hier empfiehlt es sich, dass die IT die generelle Überwachung vornimmt, der Bereich OT aber die besonders kritischen Systeme überwacht. Die Zuweisung von Systemen zu bestimmten Sicherheitszonen kann sich auch verändern: Wenn etwa für bestimmte Systeme das Aufspielen von Updates nicht möglich ist, weil es keine neuen Patches mehr gibt oder weil diese zu Inkompatibilitäten führen würden, kann es notwendig sein, sie in eine geschütztere Zone zu verlagern.

 

3.      Schritt: Reaktion mithilfe von Notfallplänen und Know-how

 

Seien Sie auf Angriffe vorbereitet: Durch den Aufbau von Know-how, Backups und ausformulierte Krisenpläne.

 

Im Krisenfall können Unternehmen dann richtig reagieren, wenn sie auf ihn strukturiert vorbereitet sind. Das bedeutet: Sie müssen vorher Pläne formulieren, wie sie auf einen Systemausfall reagieren. Dazu gilt es, zentrale Fragen zu beantworten: Wer ist im Fall der Fälle zuständig? Wer ist für die Backups verantwortlich und überprüft diese regelmäßig?

Bei Ihrer Backup-Strategie sollten Sie zudem darauf achten, dass Veränderungen an den Datensätzen nur mit einem sicheren Administrator-Kennwort vorgenommen werden können. Zudem sollten Ihre Backups verschlüsselt sein, damit etwaige Malware nicht auch Ihre Backups unterwandern und unbrauchbar machen kann.

Ihre Strategie sollte auch beinhalten, an welche Sicherheitsbehörden Sie sich nach Attacken wenden und welche Partner oder Kunden zügig zu informieren sind.

Richtige Reaktion erfordert also Planung und Know-how. Bilden Sie Ihre Mitarbeiter fokussiert und bedarfsgerecht weiter: Die normalen Anwender in grundlegenden Sicherheitsmaßnahmen. Dazu gehören beispielsweise Seminare, um sie für die Gefahren von Social Engineering zu sensibilisieren. Oft zielen Kriminelle nämlich nicht auf technische Schwachstellen, sondern auf die Mitarbeiter und die Prozesse. So erschleichen sie sich Zugang und Informationen, mit denen sie in Systeme eindringen können.  

Diejenigen, die für kritische Bereiche oder Sicherheitskontrollen zuständig sind, sollten
Sie vertieft schulen – Produktionsmitarbeiter etwa zu Aspekten wie Netzwerk-Security-Monitoring in der Produktion. Wählen Sie hier jeweils die Themen, die für die Tätigkeiten der Mitarbeiter direkt relevant sind oder die direkt angrenzenden Bereiche in der Wertschöpfung betreffen.  Die Fortbildung von Mitarbeitern zu Inhouse-Experten erhöht Ihre Sicherheit – und erlaubt Ihnen im Fall der Fälle, schneller zu reagieren. Entsprechende Fortbildungsangebote finden Sie etwa in unserem Lernlabor Cybersicherheit. Die Kurse sind modular auswählbar je nach dem Bedarf Ihrer Mitarbeiter.

Abschließend gilt: Sicherheit funktioniert am besten, wenn sie im Unternehmen von oben forciert und begleitet wird. Denn ein guter Teil der Attacken könnte abgewehrt werden, wenn eigentlich bekannte Sicherheitsmaßnahmen auch konsequent umgesetzt werden würden. Hierfür ist es eine bedeutende Hilfe, wenn die Mitarbeiter ein klares Commitment der Unternehmensführung wahrnehmen. Und setzen Sie sich mit dem Risiko auseinander. Eine gute IT-Sicherheit beginnt dabei, für sich anzunehmen, dass man betroffen sein könnte. Und entsprechende Vorbereitungen wie auch Investitionen zu tätigen. Und sie endet nicht mit der einmaligen Erstellung und Implementierung eines Sicherheitskonzepts: Sie sollten auch dieses regelmäßig überprüfen und weiterentwickeln.