Eine erfolgreiche Geschäftstätigkeit ist in Industrieunternehmen eng mit der Anlagenverfügbarkeit verknüpft. Die zunehmende Digitalisierung macht vernetzte, über das Internet erreichbare Anlagen anfällig für Cyberangriffe und Störfälle, eine wirksame Absicherung von IT-Infrastrukturen in Produktionsumgebungen gewinnt deswegen immer mehr an Bedeutung.
Heutzutage sind Produktionsprozesse auf geringe Fertigungstiefen ausgelegt und in arbeitsteiligen Lieferketten organisiert. Eine komplexe Supply Chain basiert auf einer verlässlichen Produktqualität und auf der Liefertreue für zugelieferte Komponenten, Systeme, Stoffe und anderer Bestandteile. Die Vernetzung zwischen den einzelnen Unternehmen in der Wertschöpfungskette schafft neben vielen Vorteilen auch Abhängigkeiten und beinhaltet ein Potential für Gefahren, nicht nur hinsichtlich der physikalischen Verbindungen zwischen den firmenübergreifenden Netzwerken.
So rückt mit der Absicherung der eigenen Anlagenverfügbarkeit auch die Frage, wie Partner und Lieferanten mit Schwachstellen umgehen, in den Fokus betriebswirtschaftlicher Entscheidungen. Ein wirksames Management von Sicherheitslücken und der wachsenden Bedrohung durch Cyberangriffe wird zunehmend vertraglicher Bestandteil bei Geschäftsabschlüssen. Dabei bleibt es nicht bei Kann-Lösungen, denn Globalisierung und einschlägige EU-Richtlinien erhöhen den Takt.
CERT, PSIRT & Co als Kundenanforderung
In einigen Marktsegmenten ist ein CERT, ein CSIRT oder ein PSIRT kein Trend mehr, auf den Unternehmen beginnen sich einzustellen, sondern bereits Bestandteil der kundenseitigen Einkaufskonditionen. Es zeichnet sich ab, dass in vielen Branchen die Auftragsvergabe künftig an die Security-Kompetenz eines Unternehmens gekoppelt sein wird.
Während größere Unternehmen mehr Spielraum für Ressourcen und den Aufbau von Security-Know-how haben, ist es für kleine und mittlere Unternehmen (KMU), oft schwierig, einen praktikablen Einstieg in das Thema zu finden und damit ihre Geschäftsgrundlage nachhaltig auf sich verändernde Anforderungen auszurichten.
Um welche Anforderung geht es konkret, wenn ein CERT, ein CSIRT oder ein PSIRT gefordert ist?
Die Aufgaben eines CERT
Ein Computer Emergency Response Team besteht aus einer Gruppe von Security-Experten, die auf Sicherheitslücken und Cybersecurity-Vorfälle adäquat reagieren können. Relevante Informationen werden vorbeugend an betroffene Personenkreise verteilt und entsprechend verarbeitet, so dass ein Vorfall möglichst vermieden wird oder dessen Auswirkungen begrenzt werden können. Dabei spielen Awareness, Organisation und Prozesse eine wichtige Rolle, ebenso wie Sicherheitsaspekte bei der Produktentwicklung.
Die Aufgaben eines CERT können durch ein internes oder externes Team erbracht werden. Sie betreffen nicht den operativen Betrieb, sondern bestehen in der Unterstützung und Beratung der Betroffenen sowohl präventiv als auch im konkreten Szenario eines Sicherheitsvorfalls.
Was macht ein PSIRT?
Ein Product Security Incident Response Team agiert im Unternehmen im Hinblick auf potenzielle Sicherheitsprobleme oder Vorfälle im Zusammenhang mit den eigenen Produkten. Es fungiert als zentrale Anlaufstelle des Herstellers für Meldungen über Sicherheitslücken in einem Produkt, die jemand von außen an das Unternehmen gibt. Eine Meldung kann durch eigene Kunden erfolgen, die bei der Nutzung der Produkte auf Sicherheitslücken stoßen, oder durch Behörden, die Kenntnis von Schwachstellen gewonnen haben und diese an betroffene Hersteller weiterleiten. Schwachstellen sind auch über bestimmte Suchmaschinen im Internet auffindbar und werden gezielt von sogenannten Whitehats (Sicherheitsforscher ohne finanzielles Interesse) aufgespürt. Diese Personen oder Gruppen tragen mit der Meldung an betroffene Hersteller dazu bei, Sicherheitslücken rechtzeitig zu schließen, bevor sie von Cyberkriminellen für Angriffe genutzt werden können.
Eine adäquate Reaktion des Herstellers auf eine Meldung ist aus verschiedenen Gründen wichtig. Zunächst gilt es, negative Folgen zu vermeiden, die durch eine Sicherheitslücke im eigenen Produkt für den Kunden entstehen können, und zwar auch im Hinblick auf Schadenersatzansprüche. Dabei kommt es wesentlich auf die Geschwindigkeit an, mit der reagiert wird. Es geht aber auch um Vertrauen im Markt. Wird bekannt, dass ein Unternehmen auf eine Meldung nicht oder nur unzureichend reagiert hat und kommt es in diesem Zusammenhang zu Störfällen und Schäden, kann der Ruf des Herstellers massiv beschädigt werden.
Auf Meldungen von Sicherheitslücken richtig reagieren
Das festzulegen und zu organisieren ist gar nicht so einfach. Wo im Unternehmen landet eine Meldung über eine Sicherheitslücke in einem Produkt und was passiert mit dieser Meldung? Ist die Sicherheitslücke kritisch oder stellt sie gar kein Problem dar? Wer im Unternehmen muss an der Beseitigung einer konkreten Sicherheitslücke mitarbeiten? Sind auch zugekaufte Produkte betroffen, die zum Beispiel in ein Software-Produkt integriert werden?
Es braucht entsprechende organisatorische Voraussetzungen und definierte Prozesse, um Meldungen richtig beurteilen und sie im Unternehmen entsprechend behandeln zu können. Die Kompetenz schließt ein ausreichendes Wissen über schützenswerte Assets und Daten ein und gründet auf einer fundierten Expertise.
Der Fokus eines CSIRT
Ein Computer Security Incident Response Team agiert mit dem Fokus auf Sicherheitslücken, die IT-Infrastrukturen und Applikationen in einem Unternehmen betreffen. Sie erarbeiten konkrete Lösungsstrategien bei IT-Sicherheitsvorfällen, verfassen Warnungen und Lösungsansätze für bekannte Sicherheitslücken und wirken koordinierend bei IT Security-Themen im Unternehmen mit.
Vorteile eines spezialisierten Notfall-Teams
Ein professioneller Umgang mit Sicherheitslücken schafft Vertrauen
Unternehmen, die einen professionellen Ansatz beim Umgang mit Sicherheitslücken und Vorfällen zeigen, gelten am Markt als vertrauenswürdig und verlässlich, auch wenn das CERT noch nicht Bestandteil der Einkaufskonditionen Ihrer Kunden sein sollte. Ein CERT kann ein Wettbewerbsvorteil sein, wenn Ihr Unternehmen einer Branche angehört, in der ein proaktiver Umgang mit Security ein Zukunftsthema ist, das bei Mitbewerbern noch nicht priorisiert wird. Außerdem kann sich kaum ein Unternehmen leisten, seine Reputation zu beschädigen, weil es auf Sicherheitsmeldungen unzureichend reagiert und möglicherweise Behörden darüber in Kenntnis gesetzt werden.
Eine proaktive Kommunikation mit Betroffenen und Kunden über Schwachstellen in den eigenen Produkten hilft bei der Risikobewertung und ist letztlich kein Sonderfall, von dem nur ein einziges Unternehmen betroffen wäre. Schwachstellen treten überall auf. Die Frage, wie man damit umgeht, ist entscheidend für die Kundenbindung und Zufriedenheit und kann die eigene Marktposition festigen.
Anforderungen von Versicherungen: Reifegrad für Security erhöhen
Auch Versicherungen passen ihre Konditionen an Risiken im Markt an und fordern die aktive Mitwirkung des Versicherungsnehmers bei der Vermeidung von Schadensfällen. Ein CERT erhöht den Reifegrad eines Unternehmens hinsichtlich Security und wirkt sich positiv auf die Risikobewertung durch Versicherungsgesellschaften aus. Dies hat besondere Relevanz für Cybersecurity-Versicherungen, die für finanzielle Schäden haften sollen, die durch Cyberangriffe für ein Unternehmen entstehen.
Sich auf künftige Anforderungen rechtzeitig vorbereiten
Wenn Sie erst dann anfangen, an wirksamen Security-Prozessen zu arbeiten, wenn Ihre Kunden diese in den Vertragskonditionen fordern, kann es zu spät sein. Sie sollten rechtzeitig einen guten Einstieg in dieses Thema finden, um ihre Wettbewerbsfähigkeit nachhaltig zu sichern. Es geht darum, Awareness jetzt in konkretes Handeln umzusetzen.
Security kostet Geld, auch wenn sie fehlt
Egal ob es um Produktionsausfälle geht, um Konventionalstrafen im Schadensfall oder um Aufträge, die nur in Zusammenhang mit nachweislich vorhandenen Security-Prozessen erteilt werden – in ein professionelles Management von Sicherheitslücken und in die Realisierung von Security-Maßnahmen zu investieren, ist eine Voraussetzung für nachhaltiges unternehmerisches Handeln.
„Ein Auto wäre ohne Airbag und Sicherheitsgurt billiger, aber niemand würde so ein Auto kaufen oder gar fahren wollen!“ (Andreas Harner, CERT@VDE)
Unternehmensübergreifende CERTs und ihr Mehrwert
Für Unternehmen, die Ressourcen für ein Security-Expert-Team oder Security-Incident-Team nicht intern aufbauen und unterhalten können, ist die Teilnahme an einem unternehmensübergreifenden CERT ein valider Ansatz, um Sicherheitslücken zu managen.
Schwarmintelligenz nutzen für einen schnellen professionellen Einstieg
Ein unternehmensübergreifendes CERT besteht aus vielen teilnehmenden Partnern, die hinsichtlich Security in derselben Situation sind: alle haben dieselbe Aufgabe, nämlich Sicherheit für ihre IT-Infrastrukturen und für ihre Produkte zu gewährleisten. Und sie alle sind von der zunehmenden Cyberkriminalität und von Störfällen gleichermaßen betroffen. Einige dieser Unternehmen, die Marktteilnehmer sind, arbeiten schon länger an Security-Themen mit und verfügen über ein umfangreiches Wissen. Dieses Praxiswissen wird auf der Plattform geteilt, so dass Unternehmen, die noch neu in dem Thema sind, einen einfachen Einstieg finden können. Dabei liegt der Fokus auf guten Inhalten und nicht auf Marketingsprüchen. Komplexe Aufgaben sind einfacher zu bewältigen, wenn man sie gemeinsam angeht und nicht jeden Teil der Lösung selbst liefern muss.
Ressourcen wirtschaftlich sinnvoll einsetzen, um eine nachhaltige Lösung zu erhalten
Experimente mit eigenen Ressourcen und Prozessen können kostspielig sein und am Ende das Ziel verfehlen, wenn man nicht weiß, welcher Plan der richtige ist. Es kann sinnvoller und kostengünstiger sein, statt eigener Ressourcen auf die kostenpflichtige Mitgliedschaft bei einem unternehmensübergreifenden CERT zu setzen und dafür schnell über die benötigte passgenaue Expertise verfügen zu können. Ein solches CERT kümmert sich um Meldungen zu Sicherheitslücken in Produkten, bewertet den Kontext und schätzt das Risiko vor dem Hintergrund des Einsatzszenarios des betreffenden Produktes ein. Dabei ist die Erfahrung aus Vorfällen und Sicherheitslücken in zahlreichen Unternehmen eine wertvolle Wissensbasis, um Best-Practice-Maßnahmen und konkrete Handlungsempfehlungen auszusprechen. Eine Schwachstelle betrifft selten ein Unternehmen allein. Ein Austausch zwischen den Betroffenen und mit dem CERT führt schneller zu praktikablen Lösungen, die vom CERT als Advisory (Warnmeldung) veröffentlicht werden kann.
Kompetente Unterstützung für sichere Entwicklungsprozesse und Produktpflege
Bekanntermaßen ist ein Bug, der im Entwicklungsprozess behoben werden kann, sehr viel günstiger zu eliminieren als ein Bug, der erst beim Kunden auftaucht. Aber nicht nur die Kosten sind für nachhaltige Entwicklungsprozesse relevant, sondern auch die Sicherheit der Produkte. Als Guideline für einen sicheren Produktentwicklungsprozess dient grundsätzlich der Teil 4.1 aus der Normenreihe IEC62443.
Ein unternehmensübergreifendes CERT verfügt über weitreichende Expertise für eine beratende Begleitung von Entwicklungsprozessen. Experten können dabei unterstützen, erforderliche Sicherheitsaspekte im Entwicklungsprozess zu berücksichtigen, beispielsweise wenn es bei Predictive-Maintenance-Lösungen um einen sicheren Datentransfer in die Cloud geht.
In unserem Live-Interview haben wir Andreas Harner vom CERT@VDE, gefragt, wie das spezialisierte Security-Notfall-Team des VDE, einer gemeinnützigen Organisation, arbeitet und wie die CERT-Plattform im Bereich Industrieautomation funktioniert. Die spannenden Einblicke, die er gewährt, können Sie in der Aufzeichnung des Interviews verfolgen.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
