Interview in der Netzwoche
Cyberangriffe nehmen tendenziell zu, auch industrielle Betriebe sind verstärkt von ihnen betroffen. Weshalb die IT- und Operational-Technology-Security aufeinander abgestimmt sein müssen, erklärt Marco Orefice, IT/OT Cybersecurity Consultant, von Axians Schweiz.
Marco Orefice, IT/OT Cybersecurity Consultant, Axians Schweiz. (Source: zVg)
Cyberangriffe auf Unternehmen nehmen weltweit zu, vermehrt sind auch Schweizer KMUs davon betroffen. Welche Faktoren verschärfen die Situation in den Unternehmen zusätzlich?
Marco Orefice: Dem NCSC werden jede Woche mehrere hundert Vorfälle gemeldet. Dieser Trend wird sich so schnell nicht umkehren. Eine Cyberattacken-Meldepflicht, wie sie gerade für kritische Infrastrukturen in der Vernehmlassung ist, wird von betroffenen Unternehmen weitere Schutzmassnahmen einfordern, wozu viele noch nicht in der Lage sind. Einerseits bedeutet sie zwar einen zusätzlichen Aufwand und Kosten. Andererseits werden die Massnahmen den Unternehmen aber dabei helfen, Angriffsmuster zu erkennen. So wird eine Meldestelle zu einer verbesserten Lageübersicht beitragen, wodurch sich die Cybersecurity und die Resilienz in der Schweiz erhöhen dürften. Hinzu kommt, dass der Fachkräftemangel die Situation in den Unternehmen verschärft. Fachkräfte fehlen bei der Ausarbeitung von Abwehrstrategien. Mit der fortschreitenden Digitalisierung in Produktionsbetrieben ist dies jedoch problematisch, da vermehrt Anlagen als Einfallstore ausgenutzt werden.
Wie beeinflusst der Fachkräftemangel die Cybersecurity-Organisation in den Unternehmen, und wie können sie dieser Problematik begegnen?
Mit der IT-Security beauftragtes Personal, das nicht über das benötigte Know-how verfügt, ist ein Risiko. Deshalb sollten Unternehmen in ihre Mitarbeitenden investieren und sie weiterbilden. Langfristig bedarf es jedoch einer Kooperation zwischen Bildungsinstitutionen, Privatwirtschaft und Politik. Junge Menschen müssen früh für das Thema IT begeistert werden. Dies gelingt mit attraktiven Aus- und Weiterbildungen sowie Standortförderungen. Langfristig sind wir auf den Nachwuchs angewiesen – die Nachfrage übersteigt jedoch bei weitem das Angebot. Schnell verfügbare Lösungen finden Unternehmen deshalb in Zusammenarbeit mit externen Dienstleistern wie Managed Security Service Providern (MSSP). Solche Sharing-Modelle sorgen für Entlastung, wenn die Fachkräfte knapp sind.
Welche Vorteile bieten Managed Security Services den Firmen und weshalb ist es gerade für KMU-Betriebe sinnvoll, ihre Cybersecurity auszulagern?
Ein Vorteil liegt darin, dass MSSPs mit ihrem Portfolio gezielt Lücken in den Firmen schliessen. Sie helfen dabei, Anforderungen an die Cybersecurity zu erfüllen, nehmen Unternehmen den Zeitdruck und entlasten sie bei der Rekrutierung von Fachkräften. Auch bei der Evaluation, dem Kauf und der Installation von Technologien stehen MSSPs beratend zur Seite beziehungsweise nehmen ihnen dies ab. Diese Zusammenarbeit ermöglicht KMUs den Zugriff auf High-End-Dienstleistungen, wie ein Security Operation Center (SOC), ohne die ganze Infrastruktur selbst aufbauen zu müssen. KMUs profitieren insbesondere von Managed Security Services, da sie nur jene Services beziehen müssen, die sie wirklich benötigen.
Rechtliche Vorgaben, wie etwa eine Meldepflicht zu Cybersecurity-Vorfällen für Firmen, die zur kritischen Infrastruktur zählen, stellen eine zusätzliche Herausforderung dar. Wie können sich betroffene Unternehmen auf eine Meldepflicht vorbereiten und mit welchen Konsequenzen sollten sie rechnen?
Die Konsequenzen bei einem Verstoss gegen die Meldepflicht beschränken sich nicht nur auf Geldstrafen oder andere Sanktionen. Gravierender sind Schäden durch den Produktionsstillstand, den Ausfall von IT-Systemen, Informationsverlust oder bei Operational Technology (OT) sogar Schäden an Mensch und Umwelt. Um diese Risiken zu minimieren, können sich Unternehmen an international etablierten Standards orientieren und die Empfehlungen des NCSC befolgen. Wir raten Unternehmen, ein Security Assessment für eine Standortbestimmung und Risikoanalyse durchzuführen. Wichtig ist, dass Unternehmen präventiv agieren und nicht erst bei einem Schadenfall aktiv werden. Eine gute Vorbereitung ist ausschlaggebend, denn im Ernstfall liegen in den Unternehmen die Nerven blank.
Was müssen Unternehmen bei einer Standortbestimmung ihrer Cybersecurity berücksichtigen?
Eine Standortbestimmung in der Cybersecurity bedeutet für Unternehmen, dass Investitionen anstehen. Damit sie ihre Mittel an der richtigen Stelle einsetzen, sollten sie sich an realen Risiken orientieren. Dabei ist es hilfreich, externe Expertinnen und Experten hinzuzuziehen. Diese verfügen nicht nur über das nötige Fachwissen, sie ermöglichen den Unternehmen auch eine unabhängige Sichtweise. Gerade in der IT und OT prallen intern verschiedene Sichtweisen mit unterschiedlichen Bedürfnissen aufeinander, die es abzuwägen gilt.
Das Bundesamt für wirtschaftliche Landesversorgung (BWL) hat einen ICT-Minimalstandard für kritische Infrastrukturen veröffentlicht. Welches sind die wichtigsten Massnahmen, die Unternehmen daraus berücksichtigen sollten?
Um die Massnahmen umzusetzen, müssen Unternehmen drei Dimensionen berücksichtigen: Mensch, Technik und Prozesse. Zunächst sollten Firmen ihre Mitarbeitenden im Bereich Cybersicherheit schulen. Neben einer klar definierten Rollen- und Verantwortungsverteilung benötigen sie ausserdem technische Lösungen wie Firewalls und Intrusion-Detection-Systeme. Auch regelmässige Sicherheitsaudits, Penetrationstests sowie Zugriffskontrollen gehören dazu. Eine gesamtheitliche Strategie beinhaltet auch einen Notfallplan, um auf Vorfälle reagieren zu können.
Welche Herausforderung ist eine der grössten der heutigen Cybersecurity?
Visibilität im eigenen Unternehmen ist die grösste Herausforderung und zugleich wichtigste Voraussetzung für die eigene Sicherheitsstrategie. Firmen müssen wissen, welche Assets ihre „Kronjuwelen“ sind – Geschäftsprozesse, Infrastruktur, Systeme. Firmen können nicht jeden einzelnen Bereich lückenlos abdecken, aber sie können sich auf Bereiche fokussieren und deren Schutz pflegen. Klar definierte Prozesse und Verantwortlichkeiten helfen dabei, dass alle Abteilungen am gleichen Strang ziehen und die Schutzmassnahmen effizient umgesetzt werden. Damit Firmen diese Herausforderung meistern können, sind sie auf Verständnis in den Führungsebenen angewiesen. Dort fehlt jedoch in vielen Fällen das Bewusstsein für dieses Thema.
Wie schaffen Unternehmen mehr Visibilität in ihren IT- und Operational-Technology-Systemen?
Zunächst braucht es eine Person, welche die Gesamtverantwortung trägt und eine gesamtheitliche Betrachtung und das Zusammenspiel zwischen IT und OT sicherstellt. Die OT-Welt hat längere Lebenszyklen als in der IT, weshalb es jemanden braucht, der beide Bereiche vereint. Die neuere Problematik für diese Firmen ist, dass OT-Prozesse automatisiert und digitalisiert werden, was die Produktionssysteme anfälliger für Cyberrisiken macht. Mittlerweile sind verschiedene Lösungen auf dem Markt, die Visibilität im Asset Management schaffen können. Zentral ist dabei jedoch, dies nicht als eine einmalige Aufgabe zu sehen. Die Visibilität muss kontinuierlich aufrechterhalten werden, um Risiken für den Betrieb frühzeitig zu erkennen.
Welche Risiken gilt es speziell für Produktionsunternehmen hinsichtlich ihrer OT zu beachten? Welche Aspekte sollte eine OT-Sicherheitsstrategie abdecken?
In der OT ist der Mangel an Visibilität stark ausgeprägt. Es existieren viele proprietäre Protokolle, häufig ist das Netzwerk fragiler und die Anlagen rund um die Uhr ausgelastet. Oftmals sind auch ältere Betriebssysteme im Einsatz, für die es keine Sicherheitsupdates mehr gibt. Gleichzeitig mangelt es an Expertinnen und Experten, die das Fachwissen der verschiedenen Bereiche zusammenbringen. Wir empfehlen eine Defense-in-Depth-Strategie, bei der eine Vielzahl an Sicherheitsmassnahmen kombiniert werden, um dadurch resilient zu werden gegenüber einer breiten Palette an Bedrohungen. Bei diesem Konzept werden alle Aspekte der Sicherheit abgedeckt – vom Sicherheitsbewusstsein, den Prozessen, der physischen Sicherheit, bis hin zur Netzwerksegmentierung und weiteren technischen Abwehrmassnahmen.
Was müssen Unternehmen beim Zusammenspiel von Mensch und Technik besonders berücksichtigen?
In jeder Cybersecurity-Strategie gibt es einen zentralen Baustein: Der Mensch ist der grösste Risiko- und Schutzfaktor zugleich. Maschinen sind letztlich nur so schlau wie die Personen, die sie bedienen. Genau deshalb sind die Ausbildung von Fachkräften und die Sensibilisierung zur Cybersecurity so wichtig. Die beste Sicherheitsstrategie kann nicht greifen, wenn sie von den Mitarbeitenden nicht gelebt wird. Mittlerweile sind sich Firmen zwar bewusst, dass sie früher oder später von einem Vorfall betroffen sein werden. Trotzdem sind die Visibilität und die Resilienz der Systeme essenziell.