Welche Voraussetzungen müssen für eine nachhaltige Cyberresilienz geschaffen werden?

Matthias Ochs: Der Ausgangspunkt auf dem Weg zur Cyberresilienz ist eine fundierte Risikoanalyse der kritischen Geschäftsprozesse und die Definition möglicher Bedrohungen. Darauf aufbauend werden wirksame Maßnahmen zur Minimierung von Bedrohungslagen definiert. Der Fokus liegt dabei nicht auf hundertprozentiger, sondern adäquater Sicherheit. Für Risiken, die mit akzeptablem Aufwand nicht ausreichend zu reduzieren sind, müssen tragfähige Notfallpläne beschrieben werden. Verantwortlichkeiten, Führungsstrukturen und Kommunikationsprozesse werden auf Notsituationen ausgerichtet. 

Wie kann dabei die hohe Komplexität beherrscht werden?

Matthias Ochs: Der Schlüssel sind Prävention und frühe Detektion. Die hohe Komplexität macht Prävention zu einer anspruchsvollen Aufgabe, bei der klassische Firewall-Regeln und -Policies an ihre Grenzen kommen. KI-basierte Threat Defender bauen mittels Data-Analytics und Threat-Intelligence eine zweite Verteidigungslinie auf und ergänzen existierende Firewall-Lösungen. Industrie-Firewalls wie unsere genuwall schützen Produktionsnetze hochwirksam gegen Angriffe. Gleichzeitig sollte die Komplexität etwa durch klar definierte, minimale Schnittstellen weiter reduziert werden. 

Welche organisatorischen Maßnahmen sind dabei wichtig?

Matthias Ochs: Basierend auf Aufgaben und Verantwortlichkeiten müssen vor allem Sicherheitspolicies definiert werden. Ein Schwerpunkt liegt auf Identitäts- und dienstebasierten Zugriffskontrollen. Und schließlich bedarf es einer auf Cyberresilienz ausgerichteten IT-Sicherheitsorganisation. Ihre Initiierung hat tiefgreifende transformative Auswirkungen auf die gesamte Organisation und ist der Weg zu einem neuen IT-Security-Paradigma.

Sichere Datenausleitung

Die Interessengemeinschaft Automatisierungstechnik der Prozessindustrie (NAMUR) hat sich mit der ‚NAMUR Open Architecture‘ (NOA) zum Ziel gesetzt, Produktionsdaten einfach und sicher für eine Anlagen- und Geräteüberwachung (Monitoring) und für Optimierungen nutzbar zu machen – auch für bestehende Anlagen. Die NAMUR-Initiative schlägt zur direkten Ausleitung von Prozessdaten zusätzlich zu den vorhandenen Automatisierungsstrukturen einen sicheren One-Way-Kanal vor. Auf diesem zweiten Kanal können die Daten rückwirkungsfrei übertragen werden. Für die Sicherheit des Datentransfers soll eine Diode sorgen, die ungewollte und unkontrollierte Datenströme in Richtung des Senders verhindert. So ermöglicht die ‚cyber-diode‘ von Genua einen solchen sicheren Einbahn-Datentransfer, indem sie per Produkt-Design keine Kommunikation zulässt. Im Sinne des Defense-in-Depth-Prinzips schützt sie mit ihrem hohen Sicherheitsstandard als ergänzende Sicherheitsmaßnahme besonders sensible Netzwerk-Segmente. Diese sind dann de facto von außen nicht mehr angreifbar.