Andrea Carcano, Mitbegründer von Nozomi Networks, erläutert, warum der Schutz von cyber-physischen Systemen für jedes Unternehmen mit kritischer Infrastruktur oberste Priorität haben sollte und wieso Sicherheit immer noch hinterherhinkt
Wie in vielen Bereichen des Risikomanagements braucht es meist eine Krise, um den notwendigen Druck für Veränderungen aufzubauen. Cybersicherheit bildet da keine Ausnahme. Eine aktuelle Umfrage von Nozomi Networks und Newsweek Vantage unter 400 C-Level Führungskräften aus dem Bereich kritische Infrastrukturen hat ergeben, dass zwar annähernd neun von zehn (88 Prozent) der Befragten ihre Informationstechnologie (IT) bereits mit betrieblichen Systemen (OT) integriert haben oder dieser Prozess zumindest im Gange ist. Allerdings räumten die Befragten auch ein, dass die Integration von Cybersicherheit und physischer Sicherheit hinterherhinkt. Sieht man sich die Ergebnisse für die Unternehmen an, denen es bereits gelungen ist, beide Bereiche zu integrieren, kam der Anstoss oft von aussen. Auf die Frage, was sie zu diesen Veränderungen motiviert habe, antworten fast zwei Drittel (64 Prozent) der C-Level-Führungskräfte, dass erst eine Sicherheitsverletzung den Handlungsimpuls gegeben habe.
Cyberangriffe auf kritische Infrastrukturen nehmen zahlenmässig zu und werden zusehends komplexer. Pipelines, Stromnetze, Telekommunikationsnetze, Häfen, Staudämme, Banken und Gesundheitssysteme – sie alle sind anfällig. Die zunehmende Integration von IT-, OT- und physischen Systemen ist ein wichtiger Faktor, um festzustellen, was genau sie anfällig macht. Wenn Unternehmen mit kritischer Infrastruktur Schwachstellen in solchen Integrationen beheben, reagieren diese Firmen dabei zu 70 Prozent auf die Unterschiede zwischen Cybersystemen und physischen Systemen, auch wenn sich die konkreten Massnahmen voneinander unterscheiden.
Diese Daten sind einerseits ermutigend, aber es bleibt ein Befund: Viele dieser Unternehmen (fast ein Drittel) haben noch Arbeit vor sich, wenn es darum geht, einen ganzheitlichen Ansatz zur Sicherung von cyber-physischen Systemen zu implementieren.
Hindernisse auf dem Weg zu einem ganzheitlichen Ansatz
Die weltweite Umfrage kommt zu dem Schluss, dass es im Wesentlichen drei Wirkfaktoren gibt, die einem ganzheitlichen Sicherheitsansatz im Wege stehen: unternehmensinterne, technische und externe Gründe. Das wichtigste Hindernis sind die unterschiedlichen Einschätzungen von IT- und OT-Abteilung dazu, was genau schützenswert ist. Beispielsweise konzentriert sich die IT traditionell auf die Datensicherheit. Ein erfolgreicher Cyberangriff hat vielleicht den Diebstahl von sensiblen Daten oder von geistigem Eigentum zur Folge, gepaart mit den finanziellen Auswirkungen. Im Gegensatz dazu konzentriert sich die OT auf betriebliche Kontinuität und Ausfallsicherheit. Diese gegenläufigen Interessen führen wiederum zu unterschiedlichen Prioritäten im Risikomanagement.
Technische Hindernisse für einen ganzheitlichen Ansatz liegen in den Unterschieden zwischen IT- und OT-Betriebsumgebungen begründet. Zudem erstreckt sich die Expertise der beiden Abteilungen traditionell auf unterschiedliche Bereiche und auch die Art der Sicherheitsbedrohungen, mit denen beide Seiten sich konfrontiert sehen, ist nicht deckungsgleich.
Das vielleicht grösste externe Hindernis für einen ganzheitlichen Ansatz bei cyber-physischen Systemen ist der Mangel an geeigneten Standards beziehungsweise deren Einhaltung. Es gibt kaum ausreichende Leistungsmessungen für konkurrierende Sicherheitslösungen, und es fehlen etablierte IT-Standards. Dieser Mangel wirkt sich angesichts eines mangelnden Bewusstseins für OT-Standards nur um so gravierender aus.
Ganzheitlicher Sicherheitsansatz für cyber-physische Systeme
88 Prozent der befragten Unternehmen haben entweder ihre IT-, OT-, IoT- und physischen Systeme bereits integriert oder der Integrationsprozess ist im Gange. Ein erfreuliches Ergebnis. Dennoch haben die weitaus meisten Organisationen Probleme, einen ganzheitlichen Cybersicherheitsansatz zu verfolgen und praktisch umzusetzen.
Die wichtigste Erkenntnis der Studie: Ein ganzheitlicher Ansatz scheitert nicht am technisch möglichen, sondern am kulturell machbaren. Um die kulturellen Hürden zu überwinden, ist es wichtig, ein übergreifendes Team und übergreifende Schulungen aufzubauen. Der «Faktor Mensch» ist nicht zu unterschätzen. Im Idealfall hat man das richtige Team mit der richtigen Mentalität zusammengestellt, um funktionsübergreifend zusammenzuarbeiten.
Eine andere Kultur
Zugegeben, ohne Krise ist es nicht einfach, die bestehende Kultur, eingefahrene Denkgewohnheiten und traditionelle Geschäftspraktiken zu verändern. Der Widerstand gegen kulturelle Veränderungen ist eines der grössten Hindernisse. Um eine möglichst breite Zustimmung zu bekommen, konzentriert man sich am besten auf die folgenden Bereiche:
Cyber-physische Standards anheben und anwenden – wo immer möglich
Es gibt einige Standards für Cybersicherheit von Automatisierungs- und Steuerungssystemen, die universell akzeptiert werden sollten. Die Tatsache, dass es unterschiedliche Standards gibt, ist kein Grund für Anwender und Anbieter, sie nicht anzuwenden. Gleiches gilt für die Zertifizierung. Derzeit können Ingenieure ohne ein einschlägiges Zertifikat an der Sicherheit von Steuerungssystemen arbeiten. Wenn Projektmanager ein Zertifikat benötigen, um an solchen Projekten zu arbeiten, macht es wenig Sinn, diese Bestimmung zu ignorieren, wenn es an die Cybersicherheit geht.
Die richtige Reihenfolge
Richten Sie für die cyber-physische Sicherheit eine gute Governance-Struktur mit klaren Verantwortungsbereichen ein. Quellen wie zum Beispiel das Cybersecurity Framework des US Nationales Institute for Standards and Technologybeschreiben einen systematischen Ansatz mit Verweisen auf geltende Standards für jeden einzelnen Schritt. Schulen Sie alle Mitarbeiter gründlich in Bezug auf ihre cyber-physischen Verantwortlichkeiten. Entwerfen Sie die Richtlinien und Verfahren des Unternehmens so, dass sie mit denjenigen übereinstimmen, die sich auf die Cybersicherheit beziehen, und umgekehrt. Entscheiden Sie erst dann, in welche Technologien Sie investieren wollen, um die jeweils anderen Elemente optimal zu unterstützen.
Fehlerkultur
Unternehmen neigen dazu, diejenigen zu sanktionieren, die Fehler machen. Stattdessen sollten man Mitarbeiter zu einer Fehlerkultur ermuntern. Sowohl, wenn tatsächlich ein Sicherheitsverstoss passiert ist, als auch, wenn ein Fehler beobachtet wird, der potenziell zu einer Cybersicherheitsverletzung führen kann. Fehlverhalten ist eine Gelegenheit zu lernen, wie man Dinge besser macht.
Cyber-physische Sicherheit und physische Sicherheit
Die Sicherheit von Mitarbeitern und Umwelt hat Priorität und gehört in den Verantwortungsbereich jeden Unternehmens. Es gibt keinen Grund, warum man beim Thema Cybersicherheit anders verfahren sollte.
Cyber-physische Sicherheit im Prozess
Unternehmen müssen sich von der immer noch herrschenden Denkweise verabschieden, Cybersicherheit sei quasi abgeschlossen, wenn man ein ganzheitliches Programm implementiert hat. Die Sicherheit von Systemen muss genauso kontinuierlich aktualisiert werden, wie Verhaltensweisen von Mitarbeitern sich anpassen müssen. Das liegt in der Natur der Sache sich ständig weiterentwickelnder Bedrohungen und neu auftauchender Schwachstellen.
Man braucht nicht zwangsläufig eine Katastrophe, um Veränderungen anzuregen. Insbesondere Unternehmen mit kritischer Infrastruktur sehen sich wachsenden Risiken für ihre cyber-physischen Systeme gegenüber. Jetzt ist es an der Zeit, auf Veränderungen zu drängen.
