Wie verändern sich Bedrohungen und Schutzmaßnahmen für Unternehmen? Tipps für einen wirtschaftlichen Umgang mit einer sicheren IT und Operational Technology (OT).

Cyberbedrohungen sind mittlerweile auch im Bewusstsein der Öffentlichkeit angekommen. Bei Unternehmen mit breiter IT-Nutzung stellen die Risiken hinsichtlich Cybersicherheit schon seit langem eine Herausforderung dar. Mit rasantem Tempo steigt nun auch die Bedrohung für Unternehmen aus anderen Branchen. »Seit zwei, drei Jahren sind vor allem hochautomatisierte und stark vernetzte Produktions- und Industrieunternehmen ins Fadenkreuz der Angreifer gerückt«, erklärt BearingPoint-Geschäftsführer Markus Seme. Werden einmal sensible und geschäftskritische Produktionsstätten angegriffen und sabotiert, würde es vielen Unternehmen schwerfallen, nicht auf die Lösegeldforderungen der Kriminellen einzugehen, beobachtet Seme.

Durch zunehmende Automatisierung und Standardisierung von Hard- und Software, mittlerweile auch im OT-Bereich, würden zudem Angriffe immer einfacher durchführbar. Ist eine Unternehmensinfrastruktur nur mäßig geschützt, kann diese leicht Opfer von vollautomatisierten Angriffen oder breitflächig in Umlauf gebrachter Schadsoftware werden. »Aber auch gut geschützte Ziele werden über gezielte, langfristig vorbereitete und hochindividualisierte Angriffe, sogenannte ›Advanced Persistent Threats‹ (APTs) bedroht«, so der Experte.

Ransomware nimmt dabei eine zentrale Rolle ein. Egal ob automatisiert oder hochgradig gezielt ausgeführt, dient sie letztendlich dazu, ein Businessmodell aufrechtzuerhalten, dass mittlerweile hochgradig professionalisiert und internationalisiert ist. »Besonders erfolgreiche Hackergruppen weisen mittlerweile Jahresumsätze aus, die durchaus vergleichbar sind mit mittelgroßen Unternehmen«, weiß Seme. Er hat für Unternehmen einige Tipps für eine sichere IT und OT parat:

Überblick bis in die Tiefe

Gesamtheitliche Betrachtung. Um Cybersicherheit umfänglich abzudecken, müssen alle Beteiligten im Boot sein und Securitymaßnahmen bereits im Design und in der Grundkonfiguration berücksichtigt werden. Diese Maßnahmen dürfen dann nicht bei rein technischen enden, sondern müssen Prozesse und vor allem auch Menschen umfassen. Da ein erfolgreicher Cyberangriff trotzdem nie ausgeschlossen werden kann, sollten sich Unternehmen auch mit dem Thema Resilienz, also mit Backup- und Recovery-Szenarien auseinandersetzen.

Überblick verschaffen. Effektive Sicherheitsmaßnahmen können nur geplant und durchgeführt werden, wenn es einen Überblick über alle Assets, Infrastruktur, Hard- und Software, Konfigurationen und auch Nutzerkonten gibt. Eine vollständige und aktuelle Datenbasis dazu sollte unbedingt zu einem hohen Grad automatisiert sein.

Strukturieren, Priorisieren und Fokussieren. Gerade bei den ersten Schritten sollte geprüft werden, ob wirklich alle Assets gleich wichtig sind und deshalb in der gleichen Weise priorisiert werden sollten. Das macht auch aus betriebswirtschaftlicher Sicht Sinn, um zur Verfügung stehende Mittel effizienter einzusetzen. Es hilft zudem, den Fokus zu behalten. Mittels der 80-20-Regel sollte man mit den effektivsten Maßnahmen starten. Idealerweise erhöht somit jede Einzelmaßnahme das Sicherheitslevel und fügt sich in ein angepeiltes Gesamtkonzept ein.

Defense-in-Depth. Das Konzept von mehrschichtigen Sicherungsringen ist ein zentraler Punkt beim Aufbau von Cybersecurity-Architekturen. Dazu werden die unterschiedlichen Technologien (Netzwerk bis Daten) als eigens abzusichernde Schichten betrachtet. Alternativ werden Assets gemäß ihrer Sicherheitsanforderungen zusammengefasst und in verschiedenen Schichten voneinander abgetrennt und abgesichert. Ziel ist stets, es erfolgreichen Eindringlingen möglichst schwer zu machen, sich in einem Unternehmensnetzwerk weiterzubewegen.

Standisierung und externe Hilfe

Zentralisierung, Standardisierung, Automatisierung. Die meisten Unternehmen stehen vor dem Problem, Jahr für Jahr weniger Personal für gleichzeitig wachsende Aufgabengebiete zur Verfügung zu haben. Um hier langfristig nicht zu verlieren, hilft nur eine Strategie: Zentralisieren, Standardisieren und Automatisieren. Je weniger individuelle Prozesse, Tools und Tätigkeiten nötig sind, desto eher werden Zeit, Geld und Nerven eingespart respektive geschont.

Personelle Verantwortung und dediziertes Budget. Ein sehr einfach klingender, wahrscheinlich aber einer der wichtigsten Tipps ist: Richten Sie eine dedizierte personelle Verantwortung für die Cybersicherheit Ihrer IT und Ihrer Produktionsstätten ein, die sich zu hundert Prozent dieser Tätigkeit widmen kann – andernfalls gehen vor allem strategische Themen im sonstigen Tagesgeschäft unter.

Unterstützung suchen. Vor allem für kleine und mittlere Unternehmen bietet es sich an, einen externen Partner für die Ausführung einzelner Teilthemen zu suchen. Die Sicherheitsstrategie und Steuerung von Partnerunternehmen sollten aber immer in der eigenen Verantwortung verbleiben.

Tipp: Welche Lösungen es gerade am Markt gibt - und was ein Experte empfiehlt, lesen Sie hier: Herausragende Produkte

(Grafiken: iStock)