Digitalisierung nur mit Sicherheit

Das Potenzial der Digitalisierung ist nahezu unbegrenzt. So nutzen Unternehmen etwa digitale Plattformen, um den Zustand von Maschinen und Anlagen zu überwachen, Wartungsarbeiten frühzeitig zu initiieren, Prozesse dynamisch anzupassen oder Qualitätsvoraussagen zu treffen. Die digitale Vernetzung leistet damit einen wichtigen Beitrag zu höherer Produktivität, wirtschaftlichem Wachstum und nachhaltiger Entwicklung.

Mit der Digitalisierung verändert sich aber auch die Bedrohungs- und Risikolandschaft. Kriminelle machen es sich zunutze, dass OT – zum Beispiel Gebäudemanagement, Wasser- und Energieversorgung, Produktionsanlagen, Medizialtechnik etc. –, aber auch einfache Gebrauchsgegenstände zunehmend Software-gesteuert und an das Internet angeschlossen sind. Wenn ich Angreifer Zugriff auf solche Systeme verschaffen, können sie etwa Distributed-denial-of-Service(DDoS)-Attacken damit steuern. Immer häufiger werden auch Schweizer Unternehmen Opfer von komplexen Cyberattacken. Und deshalb erstaunt es kaum, dass Cybervorfälle als die bedeutendsten Bedrohungen für Unternehmen gelten. Laut Swiss-IT-Studie 2020 von Computerworld und IDC rangiert die IT-Sicherheit mit 73 Prozent an der Spitze der Projekteliste heimischer CIOs.

In der Vergangenheit wurden Produktionsumgebungen in der Regel als Offline-Insellösung (Air-Gap) realisiert. Viele dieser Insellösungen werden nun «modernisiert» und auf digitale Kommunikation getrimmt. Leider ist kein digitales System absolut sicher – insbesondere nicht Maschinen und Steuerungen, die eigentlich nicht für eine Kommunikation mit externen Systemen entwickelt wurden. Dadurch steigt die Gefahr, dass genau solche Systeme missbräuchlich eingesetzt oder manipuliert werden. Trotzdem finden bewährte Sicherheitsprinzipien aus der traditionellen IT oft nicht den Weg in den Entwicklungs- und Maintenance-Zyklus von OT-Systemen respektive die langen Lifecycle-Zyklen drosseln deren Einführung.

Zudem werden Security und Safety immer noch als zwei getrennte Welten betrachtet, was zu Ungleichgewichten führt. Während für die Safety klare Richtlinien gelten und aufwendige Assessments durchgeführt werden müssen, wird das Thema Security stark vernachlässigt. Mit IIoT entwickeln sich die Produktionsumgebungen jedoch in eine offene «Welt», in der kritische Systeme nicht mehr isoliert sind. Dabei wird der Erfolg dieses Shifts massgeblich von der Sicherheit abhängen.

Cybersicherheit sollte deshalb ganz oben auf der Agenda stehen. Wer Geschäftsprozesse digitalisiert, muss sich zwingend auch mit dem Thema Sicherheit auseinandersetzen. Internationale Standards wie die ISO/IEC-270xx-Reihe-Familie, das Cyber Security Framework von NIST oder IEC 62443 bieten anerkannte Modelle für die Planung, Entwicklung, Integration, den Betrieb sowie die Überprüfung und kontinuierliche Verbesserung der Cybersicherheit auf Basis eines Informationssicherheits-Management-Systems (ISMS).

Ein umfassender und vorausschauender Ansatz berücksichtigt die traditionelle IT-Landschaft, die Entwicklungs- und die Produktions-IT. Nur so können die Ziele der Cybersicherheit erreicht, das Unternehmensrisiko minimiert und regulatorische Anforderungen erfüllt werden. Last but not least spielt der Mensch eine mitentscheidende Rolle. Entsprechend müssen alle Mitarbeitenden tätigkeitsspezifisch sensibilisiert und geschult werden.

Dies allein reicht aber nicht aus. Für die Sicherheit und ein nachhaltiges Risikomanagement ist es unabdingbar, dass ein Unternehmen die kritischen und schützenswerten Assets kennt, beispielsweise Anlagen und Maschinen, Produktionsprozesse und -verfahren oder Daten über Fertigungsparameter, Rezepturen und Prozess-Know-how. Diese sind entsprechend zu dokumentieren sowie regelmässig zu verifizieren und zu aktualisieren. Dabei gilt es, die möglichen Bedrohungen und Zusammenhänge für alle Assets aufzuzeigen. Anhand der Eintrittswahrscheinlichkeit sowie des zu erwartenden Schadensausmasses werden die Kritikalität, der Schutzbedarf und die Massnahmen abgeleitet.

Durch die unternehmensübergreifende Zusammenarbeit in der Produktion, Logistik, Distribution etc. nimmt die Abhängigkeit von Lieferanten weiter zu. Hierbei empfiehlt es sich, gegenüber den Lieferanten klare Sicherheitsvorgaben zu machen und ein gezieltes Supplier Risk Management aufzubauen. Denn Sicherheitslücken können schnell zu einem Sicherheitsrisiko für alle Beteiligten werden. Dazu braucht es ein unternehmensübergreifendes Verständnis. Nur so können über die Unternehmensgrenze hinweg Sicherheit garantiert und Missverständnisse beseitigt werden.

Technologisch liegt einer der Schlüssel in einer geeigneten Authentisierung, Architektur und der Netzwerkzonierung – allenfalls bis auf die Ebene «Zero Trust». Sichere Identitäten sind der Start der Vertrauenskette in der automatisierten Kommunikation. Jeder am Wertschöpfungsnetzwerk beteiligte Kommunikationspartner benötigt eine für seinen Verwendungszweck geeignete (sichere) Identität, die eine eindeutige Identifizierung und gegebenenfalls eine Authentifizierung erlaubt. In der IT ist Identitätsmanagement heute bereits gängige Praxis. Dieses Identitätsmanagement muss auf die Produktion ausgeweitet und über die Unternehmensgrenzen hinaus gewährleistet werden. Denn nur so lässt sich die Sicherheit in der hochvernetzten Systemlandschaft der Industrie 4.0 gewährleisten.

Die Segmentierung in der IT und OT beschreibt eine logisch vertikale Trennung. Anlagen-Subnetze lassen sich dagegen logisch auch horizontal trennen. Zonen mit ähnlichem Schutzbedarf müssen identifiziert und mit technischen Mitteln voneinander separiert werden. Dabei gilt es, verschiedene Verteidigungslinien (Lines of Defense) aufzubauen und so die Daten und Anlagen dank der Segmentierung der Umgebungen, Datenströme und Betriebsprozesse zu schützen sowie gleichzeitig die Zonenübergänge zu überwachen. Sowohl bei der Segmentierung als auch beim Identitätsmanagement muss das Rad nicht neu erfunden werden. Es gilt auch hier, sich an den bewährten Best-Practice-Ansätzen zu orientieren.

Cybersicherheit benötigt ein gutes Management, braucht Leadership. Die Cybersicherheit ist aber keine einmalige Angelegenheit! Denn die Risikosituation ändert sich laufend. Unternehmen müssen deshalb ihr Sicherheitsdispositiv, unter Berücksichtigung neuer Bedrohungen und Schwachstellen, stetig überwachen, optimieren und kontinuierlich verbessern. Unternehmen müssen sich aber auch auf einen Sicherheitsvorfall respektive einen erfolgreichen Cyberangriff vorbereiten. Unternehmensverantwortliche müssen in der Lage sein, Sicherheitsvorkommnisse zu erkennen, schnell darauf zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren. Für die Ausräumung eines Vorfalls und Wiederherstellung sind spezifische Notfallkonzepte erforderlich. Diese schliessen auch ein regelmässiges Offline-Backup der relevanten Daten und Programme für die produktionsrelevanten Teile mit ein.

Wer sich mit der Digitalisierung beschäftigt, muss sich zwingend auch mit Cybersicherheit auseinandersetzen. Denn nur so wird das Vertrauen in die digitale Transformation nachhaltig bestehen bleiben.