Was wäre aus Unternehmenssicht der schlimmstmögliche Vorfall? Genau mit dieser Frage sollte die Thematik angegangen werden. Um das Risiko zu verringern, lassen sich das Schadensausmaß und die Eintrittswahrscheinlichkeit reduzieren. Ein Virus/Trojaner befällt die Systeme großflächig und zerstört Programme und Daten? Hier empfiehlt es sich im ersten Schritt, den maximalen Schaden einzuschränken. Die Verantwortlichen im Unternehmen sollten sich also überlegen, wie sie Sicherungen erzeugen und die Systeme im Zweifel wiederherstellen können. Ein Befall lässt sich zudem besser eingrenzen, wenn Netzwerke getrennt sind und die Kommunikation durch Firewalls limitiert wird.

Anschließend kann die Eintrittswahrscheinlichkeit verringert werden, indem sich die Verantwortlichen Gedanken machen, wie ein Vorfall auftreten könnte. ­Viren und Trojaner verbreiten sich häufig durch E-Mails oder den Besuch von Webseiten. Deshalb sollten das Büronetz und die Produktion so gut wie möglich vonein­ander separiert und das Internet-Surfen aus der Fertigung unterbunden werden. Wenn der Einsatz von USB-Sticks unumgänglich ist, bietet sich die Verwendung von speziell für diesen Zweck reservierten Exemplaren an. Da sich trotz aller Vorsicht doch ein Schadensfall ereignen kann, erweist sich im ersten Schritt dessen Begrenzung als wichtig.

Was ist nun die nächste wesentliche Bedrohung und wie setzt sich das Szenario fort? Durch die Beantwortung dieser Fragen erhöht sich das Sicherheitsniveau des Unternehmens schnell und die Mitarbeiter machen sich durch das schrittweise Vorgehen mit dem Thema vertraut. Sie werden dabei erkennen, dass eine langfristige Verbesserung und kontinuierliche Steigerung ein systematisches Vorgehen erfordern. Zu diesem Zweck sollte ein entsprechendes Informationssicherheitsmanagementsystem (ISMS) aufgebaut werden, welches die Bemühungen unterstützt – allerdings erst als zweiter Schritt, damit sich der Einstieg in die IT-­Security vereinfacht. Ferner müssen Aufwand und Nutzen stets gegeneinander abgewogen werden. Je perfekter die Maßnahmen auf die Bedrohungen abgestimmt sind, desto wahrscheinlicher verteuert sich der finanzielle Aufwand überproportional. Daher sollte das Unternehmen realistische Ziele verfolgen, die sich am Risiko orientieren. Wenn eine Schutzmaßnahme mehr kostet, als der erwartete Schaden verursacht, ist das Risiko besser zu akzeptieren.

Verbände und Behörden wollen Unternehmen bei der Erhöhung des Sicherheitsniveaus helfen und stellen deshalb Veranstaltungen und Unterlagen zur Verfügung. Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht regelmäßig die „Top 10 Bedrohungen und Gegenmaßnahmen“ [1] mit kondensierten Handlungsempfehlungen. Darüber hinaus bieten Unternehmen Seminare zum Einstieg und zur Vertiefung des Themas an. Außerdem zeigt sich die Inanspruchnahme von Beratungen als zweckdienlich – insbesondere, wenn Fachwissen zur Security nicht einfach zugänglich ist. Der Berater sollte jedoch aus der Automatisierungsbranche kommen, sodass er eine gemeinsame Sprache spricht und die Besonderheiten dieses Bereichs kennt.

Literatur

[1] Industrial Control System Security: Top 10 Bedrohungen und ­Gegenmaßnahmen 2019. Bonn: Bundesamt für Sicherheit in der Informationstechnik, 2019.

www.phoenixcontact.de/security

Dr.-Ing. Lutz Jänicke (Product & Solution Security Officer, Corporate Technology & Value Chain bei der Phoenix Contact GmbH & Co. KG in Blomberg)

Ähnliche Beiträge