Drei Fragen an... das Fraunhofer AISEC

»Security als sich kontinuierlich weiterentwickelnder Prozess«

Giehl Heinl Fraunhofer AISEC
© Fraunhofer AISEC

Mit zunehmender Vernetzung ergeben sich zwangsläufig neue Angriffspunkte für Cyberkriminalität. In unserer Serie „3 Fragen an …" zum Thema Industrial Security erläutern Security-Experten, ob deutsche Unternehmen ausreichend abgesichert sind und wo Handlungsbedarf besteht.

Die Lösung von Sicherheitsanforderungen in Industrieanlagen und Automotive-Systemen gehört zur Expertise der Spezialisten Michael Heinl und Alexander Giehl des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC. Wie sie den Status Quo in der Industrie beurteilen  und welche Maßnahmen sie daraus resultierend in- oder extern empfehlen, haben sie im Kurzinterview verraten.

Sind deutsche Unternehmen ausreichend auf mögliche Cyber-Attacken vorbereitet und reichen deren Schutzmaßnahmen aus? 

Heinl/Giehl: Aufgrund der großen Vielfalt deutscher Unternehmen ist eine differenzierte Sichtweise hier im Allgemeinen sehr wichtig. Es lassen sich jedoch durchaus Trends beobachten. So bemerken wir bei größeren Unternehmen häufig ein bereits vorhandenes Bewusstsein für Security und auch den Willen, dafür notwendige technische und organisatorische Änderungen durchzuführen. Bei kleineren und mittleren Unternehmen (KMU) fehlen jedoch oftmals noch das Bewusstsein sowie die notwendigen Ressourcen zur Umsetzung von Security-Maßnahmen, speziell in der Produktion.

Das hat unter anderem damit zu tun, dass KMU sich häufig nicht als primäres Ziel von Angriffen sehen. Die Erfahrungen aus unseren Projekten zeigen jedoch, dass die Bedrohungen für KMU real sind. Neben den zunehmenden Angriffen unter Verwendung unterschiedlicher Ransomware, die es hin und wieder sogar in die Medien und damit in das Bewusstsein der Öffentlichkeit schaffen, spielt auch der oftmals unbemerkte Abfluss geistigen Eigentums eine Rolle. Man darf nicht vergessen, dass gerade unter den KMU in Deutschland die Anzahl der „Hidden Champions“, also der Marktführer in einem bestimmten Segment, sehr hoch ist.

Neben den operativen Maßnahmen zur Abwehr der klassischen, oft durch digitale Infiltration unterstützten Industriespionage, die auf Unternehmens-interne Informationen abzielt, muss durch die Digitalisierung im Zuge der Industrie 4.0 gerade auch in der Automatisierungsbranche immer häufiger das Produkt selbst durch die Hersteller geschützt werden. Diese Entwicklung konnten wir am Fraunhofer AISEC über die Jahre im Rahmen unterschiedlichster Projekte zunehmend beobachten.

Unabhängig vom Budget, welche drei Security-Maßnahmen sollten Unternehmen zwingend umsetzen, um sich vor Cyber-Attacken zu schützen? 

Michael Heinl, wissenschaftlicher Mitarbeiter am Fraunhofer AISEC.
Michael Heinl, wissenschaftlicher Mitarbeiter am Fraunhofer AISEC.
© Fraunhofer AISEC

Heinl/Giehl: Ganz weit oben auf der Prioritätenliste sollten regelmäßige Schulungen der Mitarbeitenden zur Informationssicherheit stehen. Social Engineering, also das Ausnutzen menschlicher Schwächen, stellt nach wie vor einen der häufigsten initialen Angriffsvektoren dar. Gerade in Zeiten, in denen persönlicher Kontakt vermieden und stattdessen auf elektronische Kommunikationsmittel zurückgegriffen wird, ist das Risiko besonders hoch, Opfer von klassischen Phishing-E-Mails oder dem sogenannten „Voice Phishing“ zu werden. Dabei geben Kriminelle am Telefon vor, IT-Administratoren zu sein und bringen ihre Opfer so dazu, ihre Zugangsdaten auf gefälschten Webseiten einzugeben oder direkt am Telefon preiszugeben. Regelmäßige Schulungen, wie sie das Fraunhofer AISEC beispielsweise im Rahmen des Lernlabors Cybersicherheit anbieten, helfen dabei, das Bewusstsein für solcherlei Risiken zu schärfen und erreichen damit, dass im Alltag aufmerksamer und offener damit umgegangen wird.

»Angreifer werden nicht müde«

Selbst durch die besten Schulungen können Sicherheitsvorfälle jedoch nicht vollständig ausgeschlossen werden. Angreifer beweisen regelmäßig, dass sie nicht müde werden, immer neue Wege zu finden, um Unternehmensnetzwerke zu kompromittieren. Um die Auswirkungen eines potenziellen Sicherheitsvorfalls proaktiv einzudämmen, sind technische Schutzmaßnahmen deshalb ebenso notwendig. Hierzu sollten beispielsweise Netzwerke segmentiert, Zugänge durch Multi-Faktor-Authentisierung geschützt, geschäftskritische Systeme gehärtet sowie Daten regelmäßig und vorzugsweise offline gesichert werden.

Auch diese Maßnahmen helfen jedoch nur bedingt, wenn sie isoliert betrachtet werden. Um kritische Systeme und Daten zu identifizieren sowie zu gewährleisten, dass technische und organisatorische Maßnahmen durch Penetrationstests oder Risikoanalysen wiederkehrend auf ihre Wirksamkeit hin überprüft sowie aufeinander abgestimmt werden, empfiehlt sich deshalb der Aufbau eines ganzheitlichen Informationssicherheits-Managementsystems (ISMS) inklusive entsprechender Business Continuity / Disaster Recovery Pläne. Die in diesen Plänen beschriebenen Handlungsanweisungen sollten regelmäßig unter realistischen Bedingungen geübt werden, um Defizite rechtzeitig zu identifizieren und im Ernstfall ein möglichst reibungsloses Zusammenspiel aller Stakeholder über Abteilungs- und sogar Unternehmensgrenzen hinweg gewährleisten zu können.

Stichwort Security als Dienstleistung: Sollte die Fertigungs- und Prozessindustrie Managed Security Services in Betracht ziehen?

Alexander Giehl, IT-Security-Projektmanager am Fraunhofe AISEC.
Alexander Giehl, IT-Security-Projektmanager am Fraunhofe AISEC.
© Fraunhofer AISEC

Heinl/Giehl: Wenn es Unternehmen an den entsprechenden Ressourcen fehlt, können Managed Security Services (MSS) durchaus einen Baustein einer umfassenden Security-Strategie darstellen. Es ist jedoch wichtig, dass sich Unternehmen durch die Inanspruchnahme von MSS nicht in einem falschen Gefühl der Sicherheit wiegen.

Es sollte deshalb mindestens eine entsprechend geschulte und fest im Unternehmen verankerte Person geben, die sich in erster Linie mit Security-Fragestellungen befasst sowie die spezifischen Anforderungen der Fertigungs- und Prozessindustrie kennt.

»Veränderungen kontinuierlich evaluieren«

Dies hilft zum einen dabei, zwischen Fachabteilungen und externen Dienstleistern zu vermitteln, um Schutzbedarfe und entsprechende Maßnahmen korrekt zu identifizieren. Zum anderen müssen diese Maßnahmen aber nicht nur technisch oder auf dem Papier implementiert, sondern aus bereits genannten Gründen auch gelebt werden. Hier ist es im Sinne der Akzeptanz hilfreich, wenn Veränderungen Unternehmens-intern angestoßen, durch einen zentralen Ansprechpartner begleitet und kontinuierlich (re-)evaluiert werden.

Im Rahmen der Zusammenarbeit müssen Unternehmen den MSS-Anbietern teils sehr sensible Daten oder sogar Zugänge zur Verfügung stellen, was diese Anbieter wiederum selbst zu einem lukrativen Ziel für Angreifer macht. Es ist deshalb wichtig, bei der Auswahl nicht nur auf den Preis und das angebotene Dienstleistungsspektrum, sondern auch auf weitere Kriterien wie zum Beispiel sicherheitsrelevante Zertifizierungen, den physischen Speicherort der Daten oder etwaige Haftungsausschlüsse zu achten.

Generell gilt, dass Security nicht als Produkt verstanden werden sollte, das man kauft, um anschließend „sicher zu sein“, sondern als sich kontinuierlich weiterentwickelnder Prozess. Ungeachtet dessen, wie ausgereift ihr Security-Konzept bereits ist, können Unternehmen aller Größenordnungen deshalb von unabhängiger Beratung durch Security-Experten profitieren – auch bei der objektiven Auswahl entsprechender Dienstleister.

Alexander Giehl, Michael Heinl und das Fraunhofer AISEC im Kurzportrait

Alexander Giehl, IT-Security-Projektmanager am Fraunhofe AISEC.
© Fraunhofer AISEC
Fraunhofer AISEC Gebäude
© Fraunhofer AISEC
Michael Heinl, wissenschaftlicher Mitarbeiter am Fraunhofer AISEC.
© Fraunhofer AISEC

Alle Bilder anzeigen (3)


Das könnte Sie auch interessieren

Verwandte Artikel

Fraunhofer AISEC (Institut für Angewandte und Integrierte Sicherheit), WEKA FACHMEDIEN GmbH