„Kein CERT – kein Auftrag!“ – Security als Faktor für Ihre Wettbewerbsfähigkeit

Inhaltsverzeichnis

    Für Industrieunternehmen ist die Anlagenverfügbarkeit ein wesentlicher Faktor für eine erfolgreiche Geschäftstätigkeit. Die zunehmende Digitalisierung macht vernetzte, über das Internet erreichbare Anlagen anfällig für Cyberangriffe und Störfälle, so dass die wirksame Absicherung von IT-Infrastrukturen in Produktionsumgebungen immer mehr an Bedeutung gewinnt.

    Heutzutage sind Produktionsprozesse auf geringe Fertigungstiefen ausgelegt und in arbeitsteiligen Lieferketten organisiert. Eine komplexe Supply Chain basiert auf verlässlicher Produktqualität und Liefertreue für zugelieferte Komponenten, Systeme, Stoffe, etc. Diese Vernetzung zwischen Unternehmen der Wertschöpfungskette, schafft neben vielen Vorteilen auch Abhängigkeiten und beinhaltet ein Potential für Gefahren, nicht nur hinsichtlich der physikalischen Verbindungen zwischen den firmenübergreifenden Netzwerken.

    So rückt mit der Absicherung der eigenen Anlagenverfügbarkeit auch die Frage, wie Partner und Lieferanten mit Schwachstellen umgehen, in den Fokus betriebswirtschaftlicher Entscheidungen. Ein wirksames Management von Sicherheitslücken und der wachsenden Bedrohung durch Cyberangriffe wird zunehmend vertraglicher Bestandteil bei Geschäftsabschlüssen. Dabei bleibt es nicht bei Kann-Lösungen, denn Globalisierung und einschlägige EU-Richtlinien erhöhen den Takt.

    CERT, PSIRT & Co als Kundenanforderung

    In einigen Marktsegmenten ist ein CERT, ein CSIRT oder ein PSIRT kein Trend mehr, auf den Unternehmen beginnen sich einzustellen, sondern bereits Bestandteil der kundenseitigen Einkaufskonditionen. Es zeichnet sich ab, dass in vielen Branchen die Auftragsvergabe künftig an die Security-Kompetenz eines Unternehmens gekoppelt sein wird.

    Während größere Unternehmen mehr Spielraum für Ressourcen und den Aufbau von Security-Know-how haben, ist es für KMU, kleine und mittlere Unternehmen, oft schwierig, einen praktikablen Einstieg in das Thema zu finden und damit ihre Geschäftsgrundlage nachhaltig auf sich verändernde Anforderungen auszurichten.

    Um welche Anforderung geht es konkret, wenn ein CERT, ein CSIRT oder ein PSIRT gefordert ist?

    Die Aufgaben eines CERT

    Ein Computer Emergency Response Team besteht aus einer Gruppe von Security-Experten, die auf Sicherheitslücken und Cybersecurity-Vorfälle adäquat reagieren können. Neben der reaktiven Aufgabe verfolgt ein CERT auch einen präventiven Ansatz, in dem relevante Informationen vorbeugend an betroffene Personenkreise verteilt und verarbeitet werden, so dass ein Vorfall möglichst vermieden wird oder dessen Auswirkungen begrenzt werden können. Dabei spielen Awareness, Organisation und Prozesse eine wichtige Rolle, ebenso wie Sicherheitsaspekte bei der Produktentwicklung.

    Die Aufgaben eines CERT können durch ein internes oder externes Team erbracht werden. Sie betreffen nicht den operativen Betrieb, sondern bestehen in der Unterstützung und Beratung der Betroffenen sowohl präventiv als auch im konkreten Szenario eines Sicherheitsvorfalls.

    Was macht ein PSIRT?

    Ein Product Security Incident Response Team agiert im Unternehmen im Hinblick auf potenzielle Sicherheitsprobleme oder Vorfälle im Zusammenhang mit den eigenen Produkten. Es fungiert als zentrale Anlaufstelle des Herstellers für Meldungen über Sicherheitslücken in einem Produkt, die jemand von außen an das Unternehmen gibt. Eine Meldung kann durch eigene Kunden erfolgen, die bei der Nutzung der Produkte auf Sicherheitslücken stoßen, oder durch Behörden, die Kenntnis von Schwachstellen gewonnen haben und diese an betroffene Hersteller weiterleiten. Schwachstellen sind auch über bestimmte Suchmaschinen im Internet auffindbar und werden gezielt von sogenannten Whitehats (Sicherheitsforscher ohne finanzielles Interesse) aufgespürt. Diese Personen oder Gruppen tragen mit der Meldung an betroffene Hersteller dazu bei, dass man Sicherheitslücken rechtzeitig schließen kann, bevor sie von Cyberkriminellen für Angriffe genutzt werden können.

    Eine adäquate Reaktion des Herstellers auf eine Meldung ist in verschiedener Hinsicht wichtig. Zunächst gilt es, negative Folgen zu vermeiden, die durch eine Sicherheitslücke im eigenen Produkt für den Kunden entstehen können, und zwar auch im Hinblick auf Schadenersatzansprüche. Dabei kommt es wesentlich auf die Geschwindigkeit an, mit der man reagiert. Es geht aber auch um Vertrauen im Markt. Wird bekannt, dass ein Unternehmen auf eine Meldung nicht oder nur unzureichend reagiert hat und kommt es in diesem Zusammenhang zu Störfällen und Schäden, kann der Ruf des Herstellers massiv beschädigt werden.

    Auf Meldungen von Sicherheitslücken richtig reagieren

    Das festzulegen und zu organisieren ist gar nicht so einfach. Wo im Unternehmen landet eine Meldung über eine Sicherheitslücke in einem Produkt und was passiert mit dieser Meldung? Ist die Sicherheitslücke kritisch oder stellt sie gar kein Problem dar? Wer im Unternehmen muss an der Beseitigung einer konkreten Sicherheitslücke mitarbeiten? Sind auch zugekaufte Produkte betroffen, die z.B. in ein Software-Produkt integriert werden?

    Es braucht entsprechende organisatorische Voraussetzungen und definierte Prozesse, um Meldungen richtig beurteilen und sie im Unternehmen entsprechend behandeln zu können. Die Kompetenz schließt ein ausreichendes Wissen über schützenswerte Assets und Daten ein und gründet auf einer fundierten Wissensbasis.

    Der Fokus eines CSIRT

    Ein Computer Security Incident Response Team agiert mit dem Fokus auf Sicherheitslücken, die IT-Infrastrukturen und Applikationen in einem Unternehmen betreffen. Sie erarbeiten konkrete Lösungsstrategien bei IT-Sicherheitsvorfällen, verfassen Warnungen und Lösungsansätze für bekannte Sicherheitslücken und wirken koordinierend bei IT Security-Themen im Unternehmen mit.

    Vorteile eines spezialisierten Notfall-Teams

    Ein professioneller Umgang mit Sicherheitslücken schafft Vertrauen

    Unternehmen, die einen professionellen Ansatz beim Umgang mit Sicherheitslücken und Vorfällen zeigen, gelten am Markt als vertrauenswürdig und verlässlich, auch wenn das CERT noch nicht Bestandteil der Einkaufskonditionen Ihrer Kunden sein sollte. Ein CERT kann ein Wettbewerbsvorteil sein, wenn Ihr Unternehmen einer Branche angehört, in der ein proaktiver Umgang mit Security ein Zukunftsthema ist, das bei Mitbewerbern noch nicht priorisiert wird. Andererseits kann sich kaum ein Unternehmen leisten, seine Reputation zu beschädigen , weil es auf Sicherheitsmeldungen unzureichend reagiert und möglicherweise Behörden darüber in Kenntnis gesetzt werden.

    Eine proaktive Kommunikation mit Betroffenen und Kunden über Schwachstellen in den eigenen Produkten hilft bei der Risikobewertung und ist letztlich kein Sonderfall, von dem nur ein einziges Unternehmen betroffen wäre. Schwachstellen treten überall auf. Die Frage, wie man damit umgeht, ist entscheidend für die Kundenbindung und Zufriedenheit und kann die eigene Marktposition festigen.

    Anforderungen von Versicherungen: Reifegrad für Security erhöhen

    Auch Versicherungen passen ihre Konditionen an Risiken im Markt an und fordern die aktive Mitwirkung des Versicherungsnehmers bei der Vermeidung von Schadensfällen. Ein CERT erhöht den Reifegrad eines Unternehmens hinsichtlich Security und wirkt sich positiv auf die Risikobewertung durch Versicherungsgesellschaften aus. Dies hat besondere Relevanz für Cybersecurity-Versicherungen, die für finanzielle Schäden haften sollen, die durch Cyberangriffe für ein Unternehmen entstehen.

    Sich auf künftige Anforderungen rechtzeitig vorbereiten

    Wenn Sie erst dann anfangen, an wirksamen Security-Prozessen zu arbeiten, wenn Ihre Kunden diese in die Vertragskonditionen fordern, kann es zu spät sein. Sie sollten rechtzeitig einen guten Einstieg in dieses Thema finden, um ihre Wettbewerbsfähigkeit nachhaltig zu sichern. Es geht darum, Awareness jetzt in konkretes Handeln umzusetzen.

    Security kostet Geld, auch wenn sie fehlt

    Ob es um Produktionsausfälle, Konventionalstrafen im Schadensfall geht oder um Aufträge, die nur in Zusammenhang mit nachweislich vorhandenen Security-Prozessen erteilt werden – Geld für das professionelle Management von Sicherheitslücken und die Realisierung von Security-Maßnahmen zu investieren, ist eine Voraussetzung für nachhaltiges unternehmerisches Handeln.

    „Ein Auto wäre ohne Airbag und Sicherheitsgurt billiger, aber niemand würde so ein Auto kaufen oder gar fahren wollen!“ (Andreas Harner, CERT@VDE)

    Unternehmensübergreifende CERTs und ihr Mehrwert

    Für Unternehmen, die Ressourcen für ein Security-Expert-Team oder Security-Incident-Team nicht intern aufbauen und unterhalten können, ist die Teilnahme an einem unternehmensübergreifenden CERT ein valider Ansatz, um Sicherheitslücken zu managen.

    Schwarmintelligenz nutzen für einen schnellen professionellen Einstieg

    Ein unternehmensübergreifendes CERT besteht aus vielen teilnehmenden Partnern, die hinsichtlich Security in derselben Situation sind: alle haben dieselbe Aufgabe, nämlich Sicherheit für ihre IT-Infrastrukturen und für ihre Produkte zu gewährleisten und sie sind von denselben Bedrohungen betroffen, der zunehmenden Cyberkriminalität und Störfällen. Einige dieser Unternehmen, die Marktteilnehmer sind, arbeiten schon länger an Security-Themen mit und verfügen über ein umfangreiches Wissen. Dieses Praxiswissen wird auf der Plattform geteilt, so dass Unternehmen, die noch neu in dem Thema sind, einen einfachen Einstieg finden können. Dabei liegt der Fokus auf guten Inhalten und nicht auf Marketingsprüchen. Aufgaben sind einfacher zu bewältigen, wenn man sie gemeinsam angeht und nicht jeden Teil der Lösung selbst liefern muss.

    Ressourcen wirtschaftlich sinnvoll einsetzen, um eine eine nachhaltige Lösung zu erhalten

    Experimente mit eigenen Ressourcen und Prozessen können kostspielig sein und am Ende das Ziel verfehlen, wenn man nicht weiß, welcher Plan der richtige ist. Es kann sinnvoller und kostengünstiger sein, statt eigener Ressourcen auf die kostenpflichtige Mitgliedschaft bei einem unternehmensübergreifenden CERT zu setzen und dafür schnell über die passgenaue Expertise verfügen zu können, die das eigene Unternehmen benötigt. Ein solches CERT kümmert sich um Meldungen zu Sicherheitslücken in Produkten, bewertet den Kontext und schätzt das Risiko vor dem Hintergrund des Einsatzszenarios des betreffenden Produktes ein. Dabei ist die Erfahrung aus Vorfällen und Sicherheitslücken in zahlreichen Unternehmen eine wertvolle Wissensbasis, um Best-Practice-Maßnahmen und konkrete Handlungsempfehlungen auszusprechen. Eine Schwachstelle betrifft selten ein Unternehmen allein. Ein Austausch zwischen den Betroffenen und mit dem CERT führt schneller zu praktikablen Lösungen, die vom CERT als Advisory (Warnmeldung) veröffentlicht werden kann.

    Unterstützung für sichere Entwicklungsprozesse und Produktpflege

    Bekanntermaßen ist ein Bug, der im Entwicklungsprozess behoben werden kann, sehr viel günstiger zu eliminieren als ein Bug, der erst beim Kunden auftaucht. Aber nicht nur die Kosten sind für nachhaltige Entwicklungsprozesse relevant, sondern auch die Sicherheit der Produkte. Als Guideline für einen sicheren Produktentwicklungsprozess dient grundsätzlich der Teil 4.1 aus der Norm IEC62443.

    Ein unternehmensübergreifendes CERT verfügt über weitreichende Expertise für eine beratende Begleitung von Entwicklungsprozessen. Experten können dabei unterstützen, erforderliche Sicherheitsaspekte im Entwicklungsprozess zu berücksichtigen, z.B. für den sicheren Datenverkehr bei Predictive-Maintenance-Lösungen in die Cloud.

    In unserem Live-Interview erklärt Andreas Harner vom CERT@VDE wie das spezialisierte Security-Notfall-Team des VDE, einer gemeinnützigen Organisation, arbeitet und wie die CERT-Plattform im Bereich Industrieautomation funktioniert.

    Vimeo

    Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von Vimeo.
    Mehr erfahren

    Video laden

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie die wichtigsten Erkenntnisse und Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung