Beim Stöbern durch Beiträge und in Unterhaltungen zum Thema Industrial Security stolpern wir immer wieder über Aussagen, die uns skeptisch stimmen. Drei davon wollen wir in diesem Artikel in Relation zur Realität setzen, um Ihren differenzierten Blick auf die Gesamtsituation zu stärken.

Ein zertifiziertes ISMS muss her, damit sind Sie sicher!

Das Informationssicherheits-Management-System (ISMS) wird häufig als Allheilmittel in der IT-Sicherheit dargestellt. Vor allem Berater empfehlen oftmals eine Zertifizierung nach ISO 270001 und setzen diese dabei mit einem definitiven Sicherheitsgewinn gleich. Zugegeben, ein ISMS nach der Norm einzuführen ist ein hervorragender Weg, IT-Sicherheit aus Management-Sicht in Unternehmen zu verankern. Unter Umständen sind Sie sogar gesetzlich dazu verpflichtet, ein ISMS in Ihrem Unternehmen zu betreiben. Doch eine Zertifizierung nach ISO 27001 ist nicht gleichbedeutend mit realer Sicherheit.

Ein ISMS bedeutet im Allgemeinen nur eine Ansammlung der Sicherheitsdokumentation und Einführung gewisser Prozesse zum Umgang mit IT-Sicherheit in Ihrem Unternehmen. Dabei gilt es aber den Unterschied zwischen der sogenannten „Checklisten-Sicherheit“ und tatsächlich implementierter und gelebter Sicherheit zu beachten. So kann durch die alleinige Nutzung von Segmentfirewalls oder Netzwerkmonitoring-Systemen ein gewisser Erfüllungsgrad erreicht werden, ob diese sauber und sinnvoll konfiguriert wurden ist damit allerdings nicht unbedingt abgedeckt.

Gefährlich ist hier vor allem die „gefühlte Sicherheit“, die durch die oberflächliche Einführung eines ISMS entsteht. Hierbei kann es vorkommen, dass die Umsetzung der minimal erforderlichen Anforderungen zum Maximum dessen wird, was in die Sicherheitsplanung aufgenommen wird. Eine Zertifizierung ist aus Sicherheitssicht nicht unbedingt notwendig, hat aber unter Umständen positive Auswirkungen auf Kunden- und Partnerbeziehungen.

Unsere Empfehlung: Nutzen Sie ein ISMS in Ihrem Unternehmen, um Ihre IT-Sicherheit strukturiert zu verbessern.  Behalten Sie dabei jedoch stets die „echte“ Sicherheit im Fokus und lassen Sie sich nicht von Häkchen in Checklisten blenden. Ein grüner Haken auf dem Papier trotz Schwächen im Hintergrund hat noch nie digitale Störfälle oder Angreifer davon abgehalten, realen Schaden anzurichten.

Nur teure Maßnahmen helfen wirklich weiter!

„IT-Sicherheit ist teuer!“ und „Was gut ist, darf auch etwas kosten!“, oder? Natürlich benötigt vor allem die Entwicklung sicherer Produkte und ausgefeilter Konzepte hohe Investitionssummen. Diese lassen sich meist auch rechtfertigen und erzeugen ein messbar höheres Sicherheitsniveau als billig hergestellte Produkte und schnell durchgeführte Leistungen. Aber müssen Sie gleich zu Beginn der Einführung von IT-Sicherheitsmaßnahmen in Ihrem Unternehmen zu Unsummen greifen?

Nein, müssen Sie nicht. Oftmals reichen einfache und kostengünstige Maßnahmen aus, um bereits eine ordentliche Steigerung der IT-Sicherheit in Ihrem Unternehmen zu erreichen. Hierzu gehört unter anderem:

Diese leitet und überwacht Projekte zur Verbesserung des Schutzniveaus und übernimmt und fördert aktiv die Kommunikation zu diesem Thema.

Ein Asset-Inventar bildet Ihre aktuelle Infrastruktur möglichst vollständig ab, inklusive Software-Ständen und aktiven Applikationen.

Prüfen Sie dazu die Datenflüsse in Ihrem Automatisierungsnetz und ob Ihre Firewalls nur den wirklich nötigen Verkehr zulassen.

Nutzen Sie Wartungsfenster, um Ihre Systeme so gut wie möglich auf aktuellem Stand zu halten, indem Sie Patches einspielen.

Denken Sie über einen Notfall-Plan und ein geeignetes Konzept zur Systemsicherung und -wiederherstellung nach. Gerade bei einem Ransomware-Befall haben Sie damit für das Schlimmste vorgesorgt.

Sprechen Sie mit dem Management und Team-Leitern über IT-Sicherheit und die Notwendigkeit, dass diese das Thema beim Personal fokussieren und für Sensibilisierung sorgen.

Fördern Sie die interdisziplinäre Kommunikation zwischen IT und Technik, indem Sie mit Schlüsselpersonen das Thema IT-Sicherheit bei einer Tasse Kaffee zum Gespräch bringen. Formulieren Sie dabei Ihre Perspektive und Ihre Wünsche und Bedenken offen und sachlich.

Betrachten Sie den Aspekt IT-Sicherheit bereits bei der Anlagenplanung und Beschaffung. Damit erzeugen Sie einen langfristigen Investitionsschutz, der Sie davor schützt, in ein paar Jahren vor einem größeren Problem zu stehen.

Organisieren Sie einen sicherheitskritischen Umgang mit Wechselmedien wie USB-Sticks. Hier helfen klare Richtlinien zum Umgang mit privaten oder gefundenen Datenträgern und Sensibilisierungsmaßnahmen.

Sie sehen, es gibt bereits einige Maßnahmen, die nur einen geringen finanziellen Invest benötigen, aber dennoch gravierende Verbesserungen zur Folge haben können. Teure Maßnahmen benötigen Sie gegebenenfalls zum Schutz Ihrer wichtigsten Unternehmenswerte und Prozesse. Deren Notwendigkeit sollte sich aber aus einer Risikoanalyse ergeben. Mehr hierzu im nächsten Punkt.

Unsere Empfehlung: Verschaffen Sie sich gerade bei den ersten Schritten einen internen Überblick, durch welche Methoden Sie mit wenig Aufwand viel Effekt erzielen. Hier kann auch die Unterstützung eines unabhängigen Beraters helfen, der einen erfahrenen externen Blick einbringt.

Sie brauchen genau Maßnahme „X“!

Viele Hersteller und Dienstleister stellen ihre Lösung(en) als einzig wahre Wunderwaffe dar, die alle Ihre Probleme löst. Hierbei wird allerdings oftmals verschwiegen, dass wirksame IT-Sicherheit nicht allein durch selektive Maßnahmen funktioniert. Nach dem Konzept der tiefgestaffelten Verteidigung gibt es nicht nur die drei Säulen „Personal“, „Technische Umsetzung“ und „Sicherheitsorganisation“ zu beachten, sondern auch möglichst viele verschiedene Maßnahmen umzusetzen.

Aussagen wie „Allein eine Firewall mit Deep-Packet-Inspection kann Ihnen helfen“ oder „Sie benötigen unbedingt eine SIEM-Lösung“ sind mit Vorsicht zu genießen. Selbstverständlich haben diese Technologien ihre berechtigten Anwendungsfälle. Doch muss es dafür auch eine vertretbare Anforderung in Ihrem Unternehmen geben.

Hier hilft Ihnen eine risikobasierte Herangehensweise an die Thematik. Dabei werden Ihre individuellen Anforderungen betrachtet und genau die Maßnahmen ausgewählt, die den besten Effekt haben. Gleichzeitig schützt Sie dieses Vorgehen vor überflüssigen Investitionen und verringert somit die entstehenden Gesamtkosten. Wirksame IT-Sicherheit ist aufgrund ihrer sehr dynamischen Natur niemals eine einmalige Investition, sondern ein gelebter Prozess.

Unsere Empfehlung: Investieren Sie in eine risikobasierte und regelmäßig stattfindende Risikoanalyse. Hierdurch sparen Sie sich langfristig Kosten und steigern das Sicherheitsniveau effektiv.

Fazit

Auf den ersten Blick erscheinen viele Aussagen zur industriellen IT-Sicherheit als schlüssig. Lassen Sie davon allerdings nicht vorschnell Ihr Meinungsbild beeinflussen. Überprüfen Sie Aussagen, die Ihnen komisch erscheinen oder von denen Sie glauben, sie wurden nur aus Marketing-Gründen oder zur Verkaufsförderung gemacht. Am besten sie lassen sich solche Punkte nochmals mit unabhängigen Quellen verifizieren.

Falls Ihnen einmal eine „komische“ Aussage über den Weg läuft können Sie uns gerne über das Kontaktformular nach unserer Meinung fragen. Wir helfen Ihnen bei der Klärung!