Risiken ermitteln und minimieren – IT-Sicherheit nachhaltig steigern

Anzeige

Ohne Risikoanalyse, Risikobewertung und ein kontinuierliches Risikomanagement bei der IT-Sicherheit kommt kein Unternehmen aus, egal in welcher Branche es tätig ist. Nur wer die Schwachstellen kennt, kann gezielte Sicherheitsmaßnahmen implementieren. In vielen Branchen gibt es darüber hinaus noch weitere Vorschriften zu beachten.

Kenne deine Sicherheitsrisiken: Das ist der Ausgangspunkt für Unternehmen aller Branchen, um ihr Sicherheitsbewusstsein zu schärfen und das IT-Sicherheitsniveau dauerhaft zu verbessern. Sie müssen zunächst einmal feststellen welche IT-, OT- und IoT-Komponenten sich in ihren Bürogebäuden sowie den Produktionsumgebungen befinden; zu den OT-Komponenten zählen etwa Programmable Logic Controller (PLC), Engineering Workstations oder SCADA-Systeme, zu IoT-Komponenten gehören Sensoren von Produktionsanlagen und Gebäudesteuerungen oder Zutrittskontrollsysteme und Überwachungskameras. Sobald Komponenten über IP- oder über andere Verbindungsprotokolle mit der Außenwelt kommunizieren, sind sie durch Cyberattacken gefährdet.

Um einen Basisschutz bei der IT-Sicherheit zu erzielen, sollten Unternehmen alle Komponenten im Netzwerk kennen und eine Risikoanalyse durchführen. Sie zeigt auf, wo welche Schwachstellen und Sicherheitslücken vorhanden sind. Auf Basis der Risikobewertung werden dann Schutzniveau und Schutzmaßnahmen festgelegt. Mit einer guten Basisarbeit in der IT-Sicherheit wie der Netzwerksegmentierung mit Firewalls, Spam- und Virenschutz und vor allem einem regelmäßigen Patch-Management können Unternehmen ein gutes Schutzniveau erzielen. Zusätzlich zu dem notwendigen Basisschutz gibt es in einigen Branchen weitergehende Anforderungen an die IT-Sicherheit.

Anforderungen in Branchen mit Compliance-Vorgaben. Betreiber sogenannter Kritischer Infrastrukturen (KRITIS), beispielsweise in den Bereichen Energie- und Wasserversorgung, Finanz- und Versicherungswesen oder Öffentlicher Transport und Verkehr, werden vermehrt Ziel von Cyberangriffen. Das BSI etwa berichtet über eine deutliche Zunahme: Allein im zweiten Halbjahr 2018 gingen 157 Meldungen über IT-Sicherheitsvorfälle ein. Im gesamten Jahr 2017 waren es lediglich 145, das entspricht mehr als einer Verdoppelung. Und das sind nur die erkannten und gemeldeten Angriffe. Das IT-Sicherheitsgesetz schreibt vor, dass Betreiber kritischer Infrastrukturen verpflichtet sind, ein Mindestniveau an IT-Sicherheit nach dem Stand der Technik zu gewährleisten; die entsprechenden Maßnahmen müssen sie alle zwei Jahre über Sicherheitsaudits, Prüfungen und Zertifizierungen nachweisen. Zudem gibt es im IT-Sicherheitsgesetz konkrete Umsetzungsfristen: Ein Teil der Betreiber musste die Erfüllung der Anforderungen bis spätestens 3. Mai 2018 nachweisen, andere hatten damit noch Zeit bis zum 30. Juni 2019. Des Weiteren sind im IT-Sicherheitsgesetz Schwellwerte definiert, die festlegen, welche Unternehmen sich an die Vorgaben halten müssen.

Zusätzliche Herausforderungen, unabhängig von der Erfüllung der Vorgaben aus dem IT-Sicherheitsgesetz, ergeben sich vor allem bei Infrastrukturkomponenten und SCADA-Systemen. In den Bereichen Energieerzeugung und -verteilung, der Gas- und Wasserversorgung und der Verkehrsleittechnik nutzen Unternehmen und Verkehrsgesellschaften Industrial Control Systems (ICS) zur Prozessabwicklung und -automatisierung. Solche Systeme sind zunehmend denselben Cyberrisiken ausgesetzt wie die herkömmliche Office-IT. Untereinander kommunizieren die ICS über verschiedene Netzprotokolle und Technologien. 

Langjährig im Einsatz befindliche Komponenten arbeiten mit proprietären Protokollen, andere nutzen zur Kommunikation Technologien wie Ethernet, TCP/IP, WLAN oder GSM sowie UMTS. Diese Protokolle wurden nicht unter dem Aspekt Security by Design entwickelt und bieten daher keinen oder nur einen unzureichenden Schutz. Darüber hinaus ist es bei Bekanntwerden von Schwachstellen nicht ohne weiteres möglich, Patches einzuspielen. Eine Lösung für solche Fälle kann die Netzwerksegmentierung bieten, um den Zugriff für Unbefugte bereits auf der Netzwerkebene auszuschließen. Eine weitere, kurzfristig wirksame Maßnahme ist der Einsatz von Endpoint-Protection-Software für Engineering Workstations und SCADA-Server-Systeme, um die Rechner vor Malware und Cyberangriffen zu schützen.

 

Ohne Risikoanalyse, Risikobewertung und einem kontinuierlichem Risikomanagement bei der IT-Sicherheit kommt kein Unternehmen aus, egal in welcher Branche es tätig ist.

 

Auch Teile der Pharmabranche gehören, wenn es um regulatorische Themen wie Produktqualität und Patientensicherheit geht, in den Geltungsbereich des IT-Sicherheitsgesetzes. Im Mittelpunkt stehen hier die Produktionsanlagen und die zugehörigen Steuersysteme. Für die Produktionssysteme gelten zudem die Good Manufacturing Practices (GMP). Dabei handelt es sich um Regeln zur Qualitätssicherung bei der Produktion von Arzneimitteln und Wirkstoffen und damit geht es auch um Patientensicherheit.

Die Pharmaproduzenten haben es hier mit ähnlichen Herausforderungen wie die Betreiber kritischer Infrastrukturen zu tun: ein Infrastrukturmix aus alten und neueren Anlagen, die untereinander kommunizieren, aber nur schwer oder kaum auf einen aus der Office-IT-Welt gewohnten Sicherheitsstandard zu bringen sind. 

Nachholbedarf in puncto IT-Sicherheit besteht etwa bei der Fernwartung, die Lieferanten von Pharmaunternehmen fordern. Sie erhalten einen Zugang zu einem gut gesicherten Netzwerk. In einigen Fällen nutzen die Lieferanten auch die Services eines Cloud-Providers. In diesem Fall kann es sich als sehr schwierig erweisen, die GMP-Anforderung zur vollständigen Nachvollziehbarkeit aller kritischen Aktivitäten zu erfüllen. Generell gilt: Pharmaunternehmen müssen ihre Produktionsanlagen, die zugehörigen Steuersysteme und ihre konventionelle IT besser schützen. Denn wenn es zu einem erfolgreichen Cyberangriff kommt, kann der Schaden beträchtlich sein. So befiel im Sommer 2017 der WannaCry-Virus bei Pharmafirmen nicht nur Office-, sondern auch Fertigungsrechner und brachte die Produktion zum Stillstand. Durch Ausfälle bei Produktion und Vertrieb verzeichnete der US-Pharmakonzern Merck eigenen Angaben zufolge einen Umsatzverlust von 135 Millionen US-Dollar. Und das sind »nur« Ransomware-Angriffe. Der Schaden durch einen gezielten Angriff, der Teile des Produktionsprozesses verändert, kann noch viel gravierender im Hinblick auf Schadenersatzforderungen und Reputationsschäden sein. 

IT-Sicherheitsgesetz erfüllen reicht nicht aus. Die Erfüllung der Anforderungen aus dem IT-Sicherheitsgesetz sowie die Berücksichtigung weiterer branchenspezifischer Regeln sind ein wichtiger Schritt für mehr Sicherheit. Zusätzlich zu den Unternehmen in Branchen, die unter das IT-Sicherheitsgesetz fallen, sind aber auch die Hersteller von PLCs, SCADA-Systemen, Aktoren und Sensoren gefordert. Bei der Neuentwicklung von Produkten müssen sie das Security-
by-Design-Prinzip verfolgen. Bereits bei der Analyse der fachlichen Anforderungen müssen die mit einem Produkt verbundenen Sicherheitsrisiken berücksichtigt werden – im idealen Fall auch solche, die im weiteren Lebenszyklus auftreten könnten. Nur durch eine Kombination aus einem optimalen Basisschutz, der Erfüllung branchenspezifischer Vorgaben und dem Einsatz von Produkten, die nach dem Security-by-Design-Prinzip entwickelt wurden, können Unternehmen auf Dauer die IT-Sicherheit nachhaltig steigern.



Christian Koch,
Director GRC und IoT/OT bei der
Security Division von NTT Ltd.
Illustrationen: © PAIartist/shutterstock.comNTT Security

 

Security-by-Design – Direkt in Chips eingebettete Geräteidentitäten speziell für IoT-Anwendungen

Security-by-Design, also Sicherheit schon in der Entwicklungsphase zu berücksichtigen, ist kein neues Konzept. Dabei werden Sicherheitsüberlegungen und bewährte Verfahren so früh wie möglich im Entwicklungsprozess eines IoT-Produkts, einer Anwendung oder einer Netzwerkentwicklung bedacht um Schwachstellen zu vermeiden. Mit diesem Konzept werden Geräteidentitäten erstellt und die Datenintegrität ebenso geschützt wie die Kommunikationsprozesse. So arbeiten IoT-Nutzer, seien…

Cyber-Security-Risiken werden größer

Studie von Deloitte und dem Institut für Demoskopie Allensbach beleuchtet zum neunten Mal die Cyber-Risiken in Deutschland. Nach Einschätzung von Top-Entscheidern aus Politik und Wirtschaft haben die Gefahren erneut zugenommen: Erstmals wird die Manipulation der öffentlichen Meinung durch Fake News als höchstes Sicherheitsrisiko für die Bevölkerung eingestuft. Cyber-Risiken für Unternehmen steigen: 28 Prozent werden täglich…

Marktanteile der IT-Security-Anbieter 2017

Symantec, Avira und McAfee verlieren Marktanteile. Kaspersky und Sophos gewinnen im Vergleich zum Vorjahr Anteile hinzu. Das zeigt die jüngste von ama veröffentliche Marktstrukturanalyse Security 2017. Ein Blick in die Marktstrukturanalyse Security 2017 offenbart im Vorjahresvergleich beeindruckende Verschiebungen bei den Ranglistenplätzen. Beispielsweise erreicht McAfee, seit längerer Zeit Erstplatzierter in der ama-Rangliste der Top-Neun, mit 18,1…

Security Services & Solutions: Vergleich der IT-Security-Anbieter für Deutschland

Der neue Anbietervergleich der ISG Information Services Group gibt Anwender- und Anbieterunternehmen aktuelle Einblicke in den deutschen IT-Security-Markt. Entsprechend der vielfältigen Bedrohungen deckt er ein differenziertes Themenspektrum ab. Dazu zählen neben bewährten Basisthemen auch zukunftsweisende präventive Technologien sowie IT-Security-Dienstleistungen. Über 80 Anbieter wurden bewertet. »Wannacry und KRACK haben es in jüngster Zeit wieder gezeigt: IT-Security…

Der Security-Aufschwung lässt auf sich warten

Seit 2014 untersucht die Studie Security Bilanz Deutschland die Situation der IT- und Informationssicherheit in mittelständischen Unternehmen und öffentlichen Verwaltungen. Die 2017er Neuauflage zeigt einmal mehr, dass es um die IT-Sicherheit weiterhin nicht gut bestellt ist und sich die Unternehmen von Jahr zu Jahr einer größeren Gefährdung ausgesetzt sehen.   Die Verschlechterung der Selbsteinschätzung der…

Hosting oder Cloud? – Keine Frage des Hypes, sondern des Anspruchs

Immer wieder stehen Unternehmen vor der Frage, wie sie ihre IT-Infrastruktur erweitern sollten. Gerade der Mittelstand mit beschränkten IT-Personal- und Budget-Ressourcen sucht nach idealen Lösungen. Oft ist die Entscheidung zwischen Hosting und Cloud zu treffen. Es gilt, die jeweiligen Vorteile der beiden Optionen zu ergründen und für was sich die eine mehr als die andere eignet.

232 Artikel zu „Risikomanagement“

Cybersicherheit und Risikomanagement – Prognosen für 2020

Der ständige, voranschreitende technische Wandel, der vor allem von der digitalen Transformation vorangetrieben wird, bringt zwar viele Vorteile und Innovationen für den Menschen mit sich, jedoch entstehen digitale Risiken, die vor ein paar Jahren noch in weiter Ferne, wenn nicht sogar unbekannt waren. Gerade in Zeiten des Wandels lohnt es sich, den Blick nach vorne…

In fünf Schritten zum ganzheitlichen Risikomanagement

Ein kompakter Leitfaden für die Durchführung von Risikoanalysen verhilft Unternehmen in fünf einfachen Schritten die Voraussetzungen für ein nachhaltiges Informationssicherheitsmanagement zu schaffen und die Weichen für eine bereichsübergreifende Risikominimierung zu stellen.   Cyberattacken auf Daten und Systeme der Unternehmen nehmen rasant zu – und bedeuten in Zeiten strenger Compliance-Vorgaben und hoher Bußgelder ein erhebliches finanzielles…

Vorausschauendes Risikomanagement mit ISO 9001:2015: Gefahr erkannt, Gefahr gebannt

Im Jahr 2015 wurde die Qualitätsnorm 9001:2008 der International Organization for Standardization (ISO) revidiert und es folgte der Beschluss, eine neue Version der Richtlinie auszuarbeiten. Am 14. September 2018 endet die Übergangsfrist für Unternehmen: Bis dahin müssen sie die neue Zertifizierung ISO 9001:2015 vorweisen, alte Zertifikate verlieren ihre Gültigkeit. Die Norm beschäftigt sich neuerdings auch…

Professionelles Risikomanagement in Projekten: Risiken in Projekten erkennen und bewältigen

Ein guter Projektleiter ist sich folgender Tatsache bewusst: »Risiken sind vollkommen normal.« Denn jedes Projekt birgt individuelle Risikopotenziale. Aussprüche wie »ein gutes Projekt hat keine Risiken« sind schlichtweg falsch. Für ein gelungenes Projekt ist der professionelle Umgang mit den vorhandenen Risiken aber entscheidend. Hier hilft das Risikomanagement bei der Identifizierung der Risiken, bei der Bewertung…

Praxistipps für das IT-Risikomanagement

Häufig fehlt es an etablierten Strategien und es werden mögliche Gefahren nicht systematisch ermittelt. Das IT-Risikomanagement in den Unternehmen weist nach einer kürzlich durchgeführten Untersuchung durch das Beratungshaus Carmao häufig erhebliche Schwächen auf. So besteht hierfür beispielsweise nur in etwas mehr als jedem dritten Fall eine etablierte Strategie und wird eine Ermittlung möglicher Gefahren vielfach…

Status Quo des Risikomanagements

Nicht erst seit den letzten wirtschaftlichen Turbulenzen und Währungskrisen rückt das Risikomanagement immer mehr in den Fokus des Unternehmensmanagements. Schon immer sind Unternehmen vielfältigen Risiken ausgesetzt, die es zu erkennen, bewerten und kontrollieren gilt. Die Komplexität im Risikomanagement erfordert daher grundsätzlich eine technologische Unterstützung. Das dies noch nicht in allen Unternehmen vollständig umgesetzt ist, erscheint…

Banken fehlen Daten und Analysetools für effektives Risikomanagement

Über die Hälfte der Führungskräfte im Privatkunden-, Geschäfts- und Investmentbanking verfügt nach eigener Aussage nicht über ausreichendes Datenmaterial, um ein solides Risikomanagement umzusetzen. Das ist das Ergebnis der Studie »How Big Data Can Help Banks Manage Risk«, die von der Economist Intelligence Unit (EIU) durchgeführt und von der SAP SE gesponsert wurde. Die Studie untersucht,…