Cybersecurity
:
Cyber-Attacken auf Betriebstechnologie:
Das raten ExpertInnen
V.l.n.r.: Klaus Veselko (Geschäftsführer CIS - Certification & Information Security Services GmbH), Helmut Leopold (Head of Center for Digital Safety & Security im AIT – Austrian Institute of Technology), Thomas Bleier (CIS-Auditor und Geschäftsführer der B-SEC better secure KG), Erich Dröscher, (Expert Security Manager, Raiffeisen Bank International).
- © Anna RauchenbergerDie Sicherheit der Operational Technology (OT) gewinnt zunehmend an Brisanz, da die Betriebstechnologie, unter anderem von Industriebetrieben, immer mehr in den Fokus von Cyber-Kriminellen rückt. Am 20. September 2022 stand das Thema im Mittelpunkt des CIS Compliance Summits in Wien, den 250 Security-EntscheidungsträgerInnen besuchten.
OT-Security sei früher kaum ein Thema gewesen, erklärte CIS-Geschäftsführer Klaus Veselko auf der Veranstaltung, weil es keine Betriebstechnologie gab, die mit dem Internet verbunden war. "Heute hängen alle Computer und nahezu jede Maschine an Unternehmensnetzwerken und diese wiederum im Internet", betont er. Jedes Gerät eines Unternehmens stelle also ein potenzielles Sicherheitsrisiko dar, das auch strategisch geschützt werden muss. Laut Veselko suchen AngreiferInnen bei ihren Zielobjekten immer nach den schwächsten Stellen. Daher brauche es zur Abwehr Gesamtkonzepte, welche IT- und OT-Security integrieren, und nicht nur punktuelle Maßnahmen. Die 17 Vortragenden des Fachevents gaben Tipps, wie die Umsetzung gelingen kann.
KI für die Abwehr von Cyberangriffen
Helmut Leopold, Leiter des Center for Digital Safety & Security beim AIT Austrian Institute of Technology, verwies auf die spezifischen Merkmale von Betriebstechnologien: „Ein Flugzeug kann beispielsweise nicht einfach freitagabends upgedatet werden, wie das in der Büro-IT gängige Praxis ist. Remote-Wartungen über das Internet sind daher im OT-Bereich weitverbreitet, wobei das in der Regel zwar kostengünstiger ist, aber auch anfällig für Cyber-Attacken macht.“
Um Digitalsysteme generell sicherer zu gestalten, plädierte Leopold unter anderem für die Umsetzung folgender Punkte: Digitale Systeme sollten von vornherein so gebaut werden, dass sie widerstandsfähig gegenüber Cyber-Angriffen sind. Auch der Einsatz künstlicher Intelligenz sei für die Abwehr von Cyberangriffen effektiv. Für gezielte Schutzmechanismen sollte zudem ein stärkerer internationaler Daten- und Informationsaustausch stattfinden. Und ein weiterer wichtiger Ansatz ist nicht zuletzt die Bewusstseinsbildung und Schulung der Mitarbeitenden.
Normen für die Sicherheit
Als wichtige Guidelines auf dem Weg zu einem umfassenden Sicherheitskonzept haben sich Normen bewährt. Herzstück im Bereich der industriellen Automatisierungstechnik sei die Normenreihe IEC 62443, wie Thomas Bleier, Geschäftsführer der B-SEC better secure KG und Auditor der CIS, herausstrich. Er selbst ist in führender Position in diversen Normungsgremien aktiv. „Die IEC 63442 dient in ihrem Bereich als Referenz für den Stand der Technik. Relevant ist das beispielsweise bei Ausschreibungen, Verhandlungen oder auch Gutachten. Weiters gibt es derzeit europäische Aktivitäten, um Sicherheitszertifizierungen für IT-Produkte zu etablieren. Die IEC 62443 wird vermutlich als Grundlage für Zertifizierungsschemata in diesem Bereich dienen“, so die Ausführungen des Experten.
Häufig sind unzureichend geschulte Mitarbeitende verantwortlich dafür, wenn ein Eintrittstor für Cyberangriffe geschaffen wurde. Das kann ein Klick auf einen Link einer E-Mail sein oder ein unerlaubt angesteckter USB-Stick.Klaus Veselko
Professionelles IT-Sicherheitsmanagement stärkt vertrauen
Auch Zertifizierungen nach der internationalen Norm für Informationssicherheit ISO 27001 sind für viele Unternehmen mittlerweile fester Bestandteil ihrer Strategie geworden. Erich Dröscher, Expert Security Manager bei der Raiffeisen Bank International (RBI), zeigte sich am Rande des CIS Compliance Summits vom Nutzen überzeugt: „Der Vorteil der ISO 27001-Zertifizierung liegt für die RBI darin, durch einen unabhängigen Nachweis über ein professionell geführtes Informationssicherheitsmanagementsystem das Kundenvertrauen in unsere Dienstleistungen weiter zu stärken. Die externe Sicht auf unser Unternehmen stellt einen Eckpfeiler unserer Gesamtstrategie dar, um den kontinuierlichen Verbesserungsprozess weiter zu forcieren.“
Praxisgerechte Schutzmaßnahmen
CIS-Geschäftsführer Klaus Veselko thematisierte abschließend noch die Fehlerquelle Mensch und forderte eine stärkere Bewusstseinsbildung: „Häufig sind unzureichend geschulte Mitarbeitende verantwortlich dafür, wenn ein Eintrittstor für Cyberangriffe geschaffen wurde. Das kann ein Klick auf einen Link einer E-Mail sein oder ein unerlaubt angesteckter USB-Stick. Manchmal führen aber auch lange und komplizierte Passwörter dazu, dass diese auf Spickzettel notiert und damit für Unbefugte zugänglich werden. Umfassendes Informationssicherheitsdenken muss in der Unternehmenskultur verankert werden.“ Genau deshalb sollten die vorgegebenen Schutzmaßnahmen in der Praxis nicht nur penibel eingehalten, sondern auch menschlich umsetzbar sein.