Eine erfolgreiche Geschäftstätigkeit ist in Industrieunternehmen eng mit der Anlagenverfügbarkeit verknüpft. Die zunehmende Digitalisierung macht vernetzte über das Internet erreichbare Anlagen anfällig für Cyberangriffe und Störfälle. Eine wirksame Absicherung von IT-Infrastrukturen in Produktionsumgebungen hängt auch von einem angemessenen Umgang mit erkannten Schwachstellen ab. Dabei gewinnen Computersicherheits-Ereignis- und Reaktionsteams wie etwa ein CERT an Bedeutung.
Security-Anforderungen in Supply Chains
Heutzutage sind Produktionsprozesse auf geringe Fertigungstiefen ausgelegt und in arbeitsteiligen Lieferketten organisiert. Eine komplexe Supply Chain basiert auf einer verlässlichen Produktqualität und auf der Liefertreue für zugelieferte Komponenten, Systeme, Stoffe und anderer Bestandteile. Die Vernetzung zwischen den einzelnen Unternehmen in der Wertschöpfungskette schafft neben vielen Vorteilen auch Abhängigkeiten. Das Potential für Gefahren wächst, nicht nur hinsichtlich der physikalischen Verbindungen zwischen den firmenübergreifenden Netzwerken.
Ein wirksames Management von Sicherheitslücken und der wachsenden Bedrohung durch Cyberangriffe wird zunehmend vertraglicher Bestandteil bei Geschäftsabschlüssen. Dabei bleibt es nicht bei Kann-Lösungen, denn Globalisierung und einschlägige EU-Richtlinien erhöhen den Takt.
CERT, PSIRT & Co als Kundenanforderung
In einigen Marktsegmenten ist ein CERT, ein CSIRT oder ein PSIRT kein Trend mehr, auf den Unternehmen beginnen sich einzustellen. Ein Computersicherheits-Ereignis- und Reaktionsteam ist bereits Bestandteil der kundenseitigen Einkaufskonditionen. Es zeichnet sich ab, dass in vielen Branchen die Auftragsvergabe künftig an die Security-Kompetenz eines Unternehmens gekoppelt sein wird.
Größere Unternehmen haben meist Spielraum für Ressourcen und den Aufbau von Security-Know-how. Für kleine und mittlere Unternehmen (KMU), ist es dagegen oft schwierig, einen praktikablen Einstieg in das Thema zu finden und damit ihre Geschäftsgrundlage nachhaltig auf sich verändernde Anforderungen auszurichten.
Um welche Anforderung geht es konkret, wenn ein CERT, ein CSIRT oder ein PSIRT gefordert ist?
Die Aufgaben eines CERT
Ein Computer Emergency Response Team besteht aus einer Gruppe von Security-Experten, die auf Sicherheitslücken und Cybersecurity-Vorfälle adäquat reagieren können. Relevante Informationen werden vorbeugend an betroffene Personenkreise verteilt und entsprechend verarbeitet. Ein Vorfall soll möglichst vermieden werden oder dessen Auswirkungen begrenzt bleiben. Dabei spielen Awareness, Organisation und Prozesse eine wichtige Rolle, ebenso wie Sicherheitsaspekte bei der Produktentwicklung.
Die Aufgaben eines CERT können durch ein internes oder externes Team erbracht werden. Sie betreffen nicht den operativen Betrieb. Vielmehr geht es um eine angemessene Unterstützung und Beratung der Betroffenen sowohl präventiv als auch im konkreten Szenario eines Sicherheitsvorfalls.
Was macht ein PSIRT?
Ein Product Security Incident Response Team agiert im Unternehmen bei potenziellen oder eingetretenen Sicherheitsproblemen im Zusammenhang mit den eigenen Produkten. Es fungiert als zentrale Anlaufstelle des Herstellers für Meldungen über Sicherheitslücken in einem Produkt, die jemand von außen an das Unternehmen gibt.
Eine Meldung kann durch eigene Kunden erfolgen, die bei der Nutzung der Produkte auf Sicherheitslücken stoßen, oder durch Behörden, die Kenntnis von Schwachstellen gewonnen haben und diese an betroffene Hersteller weiterleiten. Schwachstellen sind auch über bestimmte Suchmaschinen im Internet auffindbar und werden gezielt von sogenannten Whitehats (Sicherheitsforscher ohne finanzielles Interesse) aufgespürt. Diese Personen oder Gruppen tragen mit der Meldung an betroffene Hersteller dazu bei, Sicherheitslücken rechtzeitig zu schließen, bevor sie von Cyberkriminellen für Angriffe genutzt werden können.
Eine adäquate Reaktion des Herstellers auf eine Meldung ist aus verschiedenen Gründen wichtig. Zunächst gilt es, negative Folgen zu vermeiden, die durch eine Sicherheitslücke im eigenen Produkt für Kunden entstehen können, und zwar auch im Hinblick auf Schadenersatzansprüche. Dabei kommt es wesentlich auf die Geschwindigkeit an, mit der reagiert wird. Es geht aber auch um Vertrauen im Markt. Wird bekannt, dass ein Unternehmen auf eine Meldung nicht oder nur unzureichend reagiert hat, und kommt es in diesem Zusammenhang zu Störfällen und Schäden, kann dies den Ruf des Herstellers massiv beschädigen.
Auf Meldungen von Sicherheitslücken richtig reagieren
Das festzulegen und zu organisieren ist gar nicht so einfach. Wo im Unternehmen landet eine Meldung über eine Sicherheitslücke in einem Produkt und was passiert mit dieser Meldung? Ist die Sicherheitslücke kritisch oder stellt sie gar kein Problem dar? Wer im Unternehmen muss an der Beseitigung einer konkreten Sicherheitslücke mitarbeiten? Sind auch zugekaufte Produkte betroffen, die zum Beispiel in ein Software-Produkt integriert werden?
Es braucht entsprechende organisatorische Voraussetzungen und definierte Prozesse, um Meldungen richtig beurteilen und sie im Unternehmen angemessen behandeln zu können. Die Kompetenz schließt ein ausreichendes Wissen über schützenswerte Assets und Daten ein und gründet auf einer fundierten Expertise.
Der Fokus eines CSIRT
Ein Computer Security Incident Response Team agiert mit dem Fokus auf Sicherheitslücken, die IT-Infrastrukturen und Applikationen in einem Unternehmen betreffen. Die dort organisierten Experten erarbeiten konkrete Lösungsstrategien bei IT-Sicherheitsvorfällen. Außerdem verfassen sie Warnungen und Lösungsansätze für bekannte Sicherheitslücken und wirken koordinierend bei IT Security-Themen im Unternehmen mit.
Vorteile eines spezialisierten Notfall-Teams
Security-Kompetenz schafft Vertrauen
Unternehmen, die einen professionellen Ansatz beim Umgang mit Sicherheitslücken und Vorfällen zeigen, gelten am Markt als vertrauenswürdig und verlässlich. Das gilt auch, wenn das CERT noch nicht Bestandteil der Einkaufskonditionen Ihrer Kunden sein sollte. Ein CERT kann ein Wettbewerbsvorteil sein, wenn Ihr Unternehmen einer Branche angehört, in der ein proaktiver Umgang mit Security ein Zukunftsthema ist, das bei Mitbewerbern noch nicht priorisiert wird. Außerdem kann sich kaum ein Unternehmen leisten, seine Reputation zu beschädigen, weil es auf Sicherheitsmeldungen unzureichend reagiert und möglicherweise Behörden darüber in Kenntnis gesetzt werden.
Eine proaktive Kommunikation mit Betroffenen und Kunden über Schwachstellen in den eigenen Produkten hilft bei der Risikobewertung. Das ist letztlich kein Sonderfall, von dem nur ein einziges Unternehmen betroffen wäre. Schwachstellen treten überall auf. Die Frage, wie man damit umgeht, ist entscheidend für die Kundenbindung und Zufriedenheit und kann die eigene Marktposition festigen.
Anforderung von Versicherungen: hoher Reifegrad für Security
Auch Versicherungen passen ihre Konditionen an Risiken im Markt an und fordern die aktive Mitwirkung des Versicherungsnehmers bei der Vermeidung von Schadensfällen. Ein CERT erhöht den Reifegrad eines Unternehmens hinsichtlich Security und wirkt sich positiv auf die Risikobewertung durch Versicherungsgesellschaften aus. Dies hat besondere Relevanz für Cybersecurity-Versicherungen, die für finanzielle Schäden haften sollen, die durch Cyberangriffe für ein Unternehmen entstehen.
Sich auf künftige Anforderungen rechtzeitig vorbereiten
Wenn Sie erst dann anfangen, an wirksamen Security-Prozessen zu arbeiten, wenn Ihre Kunden diese in den Vertragskonditionen fordern, kann es zu spät sein. Sie sollten rechtzeitig einen guten Einstieg in dieses Thema finden, um ihre Wettbewerbsfähigkeit nachhaltig zu sichern. Es geht darum, Awareness jetzt in konkretes Handeln umzusetzen.
Security kostet Geld, auch wenn sie fehlt
Investitionen in ein professionelles Management von Sicherheitslücken und in die Realisierung von Security-Maßnahmen sind Voraussetzungen für nachhaltiges unternehmerisches Handeln. Bedenken Sie, dass auch Produktionsausfälle und Konventionalstrafen im Schadensfall Geld kosten, ebenso wie entgangene Aufträge.
Unternehmensübergreifende CERTs und ihr Mehrwert
Für Unternehmen, die Ressourcen für ein Security-Expert-Team oder Security-Incident-Team nicht intern aufbauen und unterhalten können, gibt es eine Alternative. Die Teilnahme an einem unternehmensübergreifenden CERT ist ein valider Ansatz, um Sicherheitslücken kompetent zu managen.
Schwarmintelligenz für einen smarten Einstieg nutzen
Ein unternehmensübergreifendes CERT besteht aus vielen teilnehmenden Partnern, die hinsichtlich Security in derselben Situation sind. Alle haben dieselbe Aufgabe, nämlich Sicherheit für ihre IT-Infrastrukturen und für ihre Produkte zu gewährleisten. Und sie alle sind von der zunehmenden Cyberkriminalität und von Störfällen gleichermaßen betroffen.
Einige dieser Unternehmen, die Marktteilnehmer sind, arbeiten schon länger an Security-Themen mit und verfügen über ein umfangreiches Wissen. Dieses Praxiswissen wird auf der Plattform geteilt und bietet Unternehmen, die noch neu in dem Thema sind, einen einfachen Einstieg. Dabei liegt der Fokus auf guten Inhalten und nicht auf Marketingsprüchen. Komplexe Aufgaben sind einfacher zu bewältigen, wenn man sie gemeinsam angeht und nicht jeden Teil der Lösung selbst liefern muss.
Ressourcen wirtschaftlich sinnvoll einsetzen
Experimente mit eigenen Ressourcen und Prozessen können kostspielig sein und am Ende das Ziel verfehlen, wenn man nicht weiß, welcher Plan der richtige ist. Es kann sinnvoller und kostengünstiger sein, auf die kostenpflichtige Mitgliedschaft bei einem unternehmensübergreifenden CERT zu setzen. Damit können Sie schnell über die benötigte passgenaue Expertise verfügen. Ein solches CERT kümmert sich um Meldungen zu Sicherheitslücken in Produkten, bewertet den Kontext und schätzt das Risiko vor dem Hintergrund des Einsatzszenarios des betreffenden Produktes ein. Die Erfahrung aus Vorfällen und Sicherheitslücken in zahlreichen Unternehmen ist eine wertvolle Wissensbasis für Best-Practice-Maßnahmen und konkrete Handlungsempfehlungen.
Eine Schwachstelle betrifft selten ein Unternehmen allein. Ein Austausch zwischen den Betroffenen und mit dem CERT führt schneller zu praktikablen Lösungen, die das CERT als Advisory (Warnmeldung) veröffentlichen kann.
Sichere Entwicklungsprozesse und Produktpflege
Bekanntermaßen ist ein Bug, der im Entwicklungsprozess behoben werden kann, sehr viel günstiger zu eliminieren als einer, der erst beim Kunden auftaucht. Aber nicht nur die Kosten sind für nachhaltige Entwicklungsprozesse relevant, sondern auch die Sicherheit der Produkte. Als Guideline für einen sicheren Produktentwicklungsprozess dient grundsätzlich der Teil 4.1 aus der Normenreihe IEC62443.
Ein unternehmensübergreifendes CERT verfügt über weitreichende Expertise für eine beratende Begleitung von Entwicklungsprozessen. Experten können dabei unterstützen, erforderliche Sicherheitsaspekte im Entwicklungsprozess zu berücksichtigen, beispielsweise wenn es bei Predictive-Maintenance-Lösungen um einen sicheren Datentransfer in die Cloud geht.
In unserem Live-Interview haben wir Andreas Harner vom CERT@VDE, gefragt, wie das spezialisierte Security-Notfall-Team des VDE, einer gemeinnützigen Organisation, arbeitet. Außerdem hat uns interessiert, wie die CERT-Plattform im Bereich Industrieautomation funktioniert. Die spannenden Einblicke, die er gewährt, können Sie in der Aufzeichnung des Interviews verfolgen.
Starten Sie in den Aufbau eines CERT!
Der Weg zum CERT führt über den Willen zur Risikoanalyse und einen kleinen Anfang. Dieser besteht beispielsweise darin, eine Person zu benennen, die als Ansprechpartner, Stabstelle und Schnittstelle zur Entwicklung und zum Produktmanagement fungiert.
Wichtig ist, dass Sie aktiv werden. Oftmals führt die Umsetzung einfacher Maßnahmen bereits zu einer spürbaren Wirkung und diese kann wiederum Motivation für nächste Schritte sein.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
