Sicherheitskonzepte gegen Cyberbedrohungen

Andreas Mühlbauer,

IT-Notfallplanung: Handlungsfähig auch im Ernstfall

Mit den neuen digitalen Infrastrukturen und der damit verbundenen Abhängigkeit von IT-Systemen sollten Informationssicherheit, Datenschutz und IT-Notfallplanung die notwendige Priorität haben. Nach einer aktuellen Bitkom-Studie wurde ein Großteil der deutschen Unternehmen in den letzten zwei Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage. 

Mit den neuen digitalen Infrastrukturen sollte IT-Notfallplanung die notwendige Priorität haben. © Adobe Stock / masterart2680

Noch vor ein paar Jahren bestanden Produktionsmaschinen aus Mechanik, Motoren, einfachen Sensoren und noch recht einfachen und vor allem isolierten Steuerungen. Ging etwas kaputt, musste der Servicetechniker die Ursache prüfen, gegebenenfalls Ersatzteile bestellen und anschließend die Maschine reparieren. Die Folgen waren eine verlangsamte oder stillgelegte Produktion, Verzögerungen in der Lieferkette und finanzielle Einbußen.

Heute sind die Maschinen mit komplexen Steuerungen ausgestattet sowie vernetzt und kommunizieren miteinander. Sie melden der zentralen Fertigungssteuerung frühzeitig, wenn es ein Problem gibt oder Teile verschleißen. Dann kann die Instandhaltung frühzeitig auf das Problem reagieren und automatisiert Ersatzteile bestellen. Gleichzeitig wird auch der Servicetechniker über die anfallende Reparatur informiert.

Aber was würde passieren, wenn ein Hacker in diesen Prozess eingreift? Anlagen, Maschinen und Prozesse könnten manipuliert und wichtige Daten gesammelt oder verändert werden. Maschinen können massive Schäden erleiden, Produktionsabläufe kämen zum Erliegen, Ersatzteile würden nicht bestellt und der Techniker nicht rechtzeitig informiert. Darüber hinaus könnten sensible Informationen wie Firmen-, Produktions- und Kundendaten an die Öffentlichkeit gelangen und zur Industriespionage missbraucht werden. In einer solchen Situation, wo Zuständigkeiten und Handlungsanweisungen oftmals weder geklärt noch Notfallsituationen trainiert sind, versinken Unternehmen häufig im Chaos. Wenn dann vertragliche Pflichten nicht eingehalten werden, können womöglich noch Konventionalstrafen drohen.

Anzeige

Es zeigt sich, dass ein reibungsloser Ablauf der Kernprozesse mit zunehmender Digitalisierung von einer funktionierenden IT abhängig ist. Dennoch ist lange nicht jedes Unternehmen angemessen auf diese Entwicklung vorbereitet. Aktuelle Studien zeigen, dass das Interesse von Cyberkriminellen insbesondere auf dem Mittelstand liegt: Drei von vier Unternehmen – genau 73 Prozent – mit zwischen 100 und 500 Mitarbeitern wurden in den vergangenen zwei Jahren Opfer von digitalen Angriffen. Die Ursachen sind leicht zu erklären: KMU sind besonders stark in die Lieferketten großer Konzerne eingebunden. Angreifer haben es auf das Detailwissen abgesehen und nutzen die Systeme der Mittelständler als Einfallstore, um sich Zugriff auf die Daten großer Konzerne zu verschaffen.

Um diese externen Gefahren auszuschließen und sich somit abzusichern, müssen KMU entsprechende Maßnahmen ergreifen. Dies bedeutet immer häufiger, entsprechende Dokumentationen in der Lieferkette gegenüber Partnern sowie Kunden und zunehmend auch Versicherern nachzuweisen. Vielen Unternehmen fehlen allerdings das Know-how und die Erfahrung, dafür einen geeigneten Ansatz zu finden. Dies belegen aktuelle Zahlen einer Bitkom-Studie. Demnach haben nur 40 Prozent der Industrieunternehmen eine zentrale Strategie für verschiedene Aspekte der Digitalisierung. Es stellt sich also die Frage, wie Industrieunternehmen auf Themen wie IT-Notfallplanung, Datenschutz sowie Informationssicherheit reagieren können, um branchenspezifischen Vorgaben, Richtlinien und Compliance-Anforderungen zu begegnen.

Schritt für Schritt zum ganzheitlichen Sicherheitskonzept

Ein Informationssicherheits-Managementsystem (ISMS) unterstützt Unternehmen bei der Umsetzung umfassender Sicherheitskonzepte. © Contechnet

Viele Industrieunternehmen sind für Themen wie Informationssicherheit noch nicht bereit oder sehen keine Notwendigkeit darin. Statt dessen investieren sie große Geldsummen in moderne Technik. Was nützt jedoch zum Beispiel die beste Firewall, wenn die Person, die sie bedient, nicht ausreichend geschult oder die Zuständigkeit unklar ist. Damit die Firewall die optimale Absicherung bietet, muss das Unternehmen die entsprechenden organisatorischen Maßnahmen ergreifen. Es gilt, IT-Notfallplanung, Datenschutz sowie Informationssicherheit nicht nur technisch umzusetzen, sondern alle damit verbundenen Aspekte in die Unternehmenskultur einzubinden und sie als fortlaufenden und lebenden Prozess zu betrachten.

Inzwischen gibt es verschiedene Lösungen, die Unternehmen bei der Einführung umfassender Sicherheitskonzepte unterstützen und den Anwender Schritt für Schritt durch die Umsetzung beispielsweise eines Informationssicherheits-Managementsystems (ISMS) oder einer IT-Notfallplanung leiten. Dazu ist es jedoch zuerst einmal wichtig, anzufangen und sich mit den unterschiedlichen Themen sowie eigenen Anforderungen zu beschäftigen. Den Startpunkt bildet die Antwort auf die Frage nach der aktuellen Ist-Situation. Oft stellt sich dann heraus, dass die Unternehmen nicht ganz von vorn beginnen müssen. Verschiedene Anforderungen werden häufig bereits erfüllt und sind dokumentiert. Das Ziel ist es jetzt, diese verteilten und undurchsichtigen Daten und Informationen zentral an einer Stelle zu sammeln.

Häufig stehen Unternehmen vor der Herausforderung, nicht nur beispielsweise eine IT-Notfallplanung, sondern auch ein ISMS oder ein Datenschutzmanagementsystem implementieren zu müssen. Um die Einführung zu erleichtern, gibt es integrierte Managementsysteme, die einen zentralen Datenbestand nutzen. Das erspart dem Anwender eine doppelte Datenpflege und größeren Schulungsaufwand für unterschiedliche Software. Sind Zuständigkeiten, Prozesse und Infrastrukturen erst einmal systematisch dokumentiert und verknüpft, erleichtert dies den Arbeitsalltag enorm. So lassen sich dann auch langfristig Geschäftsprozesse optimieren.

Auch im Beispiel des Hackerangriffs auf den Produktionsprozess hätte ein angemessenes Sicherheitskonzept ein Unternehmen vor den größten Schäden bewahren können. Wie wäre das Szenario verlaufen, wenn zum Zeitpunkt des Cyberangriffs beispielsweise das ISMS gegriffen oder zumindest die Notfallplanung einen Notbetrieb ermöglicht hätte?

Organisatorische ebenso wie technische Aspekte beachten

Um auf Cyberbedrohungen sowie andere Gefahren für die IT reagieren zu können, sollten Industrieunternehmen umfassende Sicherheitskonzepte einführen. Dabei geht es nicht nur darum, technische Maßnahmen zu ergreifen. Stattdessen müssen auch organisatorische Aspekte in die Unternehmenskultur integriert werden. Es gilt, Risiken zu identifizieren und zu kennen, Verantwortlichkeiten festzulegen und somit langfristig ein gelebtes Sicherheitskonzept zu etablieren. Dieses sorgt nicht nur dafür, dass Unternehmen im Ernstfall weiter handlungsfähig sind, sondern unterstützt die Mitarbeiter in ihrem Arbeitsalltag und kann dazu beitragen, Geschäftsprozesse nachhaltig zu verbessern.

Jens Heidland, Leiter Consulting bei Contechnet sowie Lead Auditor ISO 27001 und IT-Sicherheitskatalog / am

Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Cebit

Sieben mittelstandsgerechte IT-Lösungen

Gemeinsam mit den Geschäftspartnern präsentiert IBM auf der Cebit mittelstandsgerechte IT-Lösungen in sieben unterschiedlichen Themenfeldern. So können Besucher "auf einen Streich" die gesamte Bandbreite der IT-Welt von morgen in Augenschein nehmen.

mehr...

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite