Beim Stöbern durch Beiträge und in Unterhaltungen zum Thema OT-Security stolpern wir immer wieder über Aussagen, die uns skeptisch stimmen. Drei davon wollen wir in diesem Artikel in Relation zur Realität setzen, um Ihren differenzierten Blick auf die Gesamtsituation zu stärken.
Ein zertifiziertes ISMS muss her, damit sind Sie sicher!
Das Informationssicherheits-Management-System (ISMS) wird häufig als Allheilmittel in der IT-Sicherheit dargestellt. Vor allem Berater empfehlen oftmals eine Zertifizierung nach ISO 27001 und setzen diese dabei mit einem definitiven Sicherheitsgewinn gleich. Zugegeben, ein ISMS nach der Norm einzuführen ist ein hervorragender Weg, IT-Sicherheit aus Management-Sicht in Unternehmen zu verankern. Unter Umständen sind Sie sogar gesetzlich dazu verpflichtet, ein ISMS in Ihrem Unternehmen zu betreiben. Doch eine Zertifizierung nach ISO 27001 ist nicht gleichbedeutend mit realer Sicherheit.
Ein ISMS bedeutet im Allgemeinen nur eine Ansammlung der Sicherheitsdokumentation und Einführung gewisser Prozesse zum Umgang mit IT-Sicherheit in Ihrem Unternehmen. Dabei gilt es aber, den Unterschied zwischen der sogenannten „Checklisten-Sicherheit“ und tatsächlich implementierter und gelebter Sicherheit zu beachten. So kann durch die alleinige Nutzung von Segment-Firewalls oder Netzwerk-Monitoring-Systemen ein gewisser Erfüllungsgrad erreicht werden, ob diese sauber und sinnvoll konfiguriert wurden, ist damit allerdings nicht unbedingt abgedeckt.
Gefährlich ist hier vor allem die „gefühlte Sicherheit“, die durch die oberflächliche Einführung eines ISMS entsteht. Hierbei kann es vorkommen, dass die Umsetzung der minimal erforderlichen Anforderungen zum Maximum dessen wird, was in die Sicherheitsplanung aufgenommen wird. Eine Zertifizierung ist aus Sicherheitssicht nicht unbedingt notwendig, hat aber unter Umständen positive Auswirkungen auf Kunden- und Partnerbeziehungen.
Unsere Empfehlung: Nutzen Sie ein ISMS in Ihrem Unternehmen, um Ihre IT-Sicherheit strukturiert zu verbessern. Behalten Sie dabei jedoch stets die „echte“ Sicherheit im Fokus und lassen Sie sich nicht von Häkchen in Checklisten blenden. Ein grüner Haken auf dem Papier trotz Schwächen im Hintergrund hat noch nie digitale Störfälle oder Angreifer davon abgehalten, realen Schaden anzurichten.
Nur teure Maßnahmen helfen wirklich weiter!
„IT-Sicherheit ist teuer!“ und „Was gut ist, darf auch etwas kosten!“, oder? Natürlich bedingt vor allem die Entwicklung sicherer Produkte und ausgefeilter Konzepte hohe Investitionssummen. Diese lassen sich meist auch rechtfertigen und erzeugen ein messbar höheres Sicherheitsniveau, als billig hergestellte Produkte und schnell durchgeführte Leistungen. Aber müssen Sie wirklich gleich zu Beginn der Einführung von IT-Sicherheitsmaßnahmen in Ihrem Unternehmen zu Unsummen greifen?
Nein, müssen Sie nicht. Oftmals reichen einfache und kostengünstige Maßnahmen aus, um bereits eine ordentliche Steigerung der IT-Sicherheit in Ihrem Unternehmen zu erreichen. Hierzu gehört unter anderem:
Verantwortliche Stelle für IT-Sicherheit im Automationsbereich
Diese leitet und überwacht Projekte zur Verbesserung des Schutzniveaus und übernimmt und fördert aktiv die Kommunikation zu diesem Thema.
Asset-Inventar
Ein Asset-Inventar bildet Ihre aktuelle Infrastruktur möglichst vollständig ab, inklusive Software-Ständen und aktiven Applikationen.
Überblick der Netzwerkkommunikation
Prüfen Sie dazu die Datenflüsse in Ihrem Automationsnetz und ob Ihre Firewalls nur den wirklich nötigen Verkehr zulassen
Patch-Management
Nutzen Sie Wartungsfenster, um Ihre Systeme so gut wie möglich auf aktuellem Stand zu halten, indem Sie Patches einspielen.
Notfall-Plan
Denken Sie über einen Notfall-Plan und ein geeignetes Konzept zur Systemsicherung und -wiederherstellung nach. Gerade bei einem Ransomware-Befall haben Sie damit für das Schlimmste vorgesorgt
Sensibilisierung des Personals
Sprechen Sie mit dem Management und Teamleitern über IT-Sicherheit und die Notwendigkeit, dass diese das Thema beim Personal fokussieren und für Sensibilisierung sorgen.
Kommunikation zwischen IT und Technik
Fördern Sie die interdisziplinäre Kommunikation zwischen IT und Technik, indem Sie mit Schlüsselpersonen das Thema IT-Sicherheit bei einer Tasse Kaffee zum Gespräch bringen. Formulieren Sie dabei Ihre Perspektive und Ihre Wünsche und Bedenken offen und sachlich.
Security By Design
Betrachten Sie den Aspekt IT-Sicherheit bereits bei der Anlagenplanung und Beschaffung. Damit erzeugen Sie einen langfristigen Investitionsschutz, der Sie davor bewahrt, in ein paar Jahren vor einem größeren Problem zu stehen.
Umgang mit mobilen Geräten und Datenträgern
Organisieren Sie einen sicherheitskritischen Umgang mit Wechselmedien wie USB-Sticks. Hier helfen klare Richtlinien zum Umgang mit privaten oder gefundenen Datenträgern und Sensibilisierungsmaßnahmen.
Sie sehen, es gibt bereits einige Maßnahmen, die nur einen geringen finanziellen Invest benötigen, aber dennoch gravierende Verbesserungen zur Folge haben können. Teure Maßnahmen benötigen Sie gegebenenfalls zum Schutz Ihrer wichtigsten Unternehmenswerte und Prozesse. Deren Notwendigkeit sollte sich aber aus einer Risikoanalyse ergeben. Mehr hierzu im nächsten Punkt.
Unsere Empfehlung: Verschaffen Sie sich gerade bei den ersten Schritten einen internen Überblick, durch welche Methoden Sie mit wenig Aufwand viel Effekt erzielen. Hier kann auch die Unterstützung eines unabhängigen Beraters helfen, der einen erfahrenen externen Blick einbringt.
Sie brauchen explizit Maßnahme „X“!
Viele Hersteller und Dienstleister stellen ihre Lösung(en) als einzig wahre Wunderwaffe dar, die alle Ihre Probleme löst. Hierbei wird allerdings meist verschwiegen, dass wirksame IT-Sicherheit nicht allein durch selektive Maßnahmen funktioniert. Nach dem Konzept der tiefgestaffelten Verteidigung gibt es nicht nur die drei Säulen Personal, Technische Umsetzung und Sicherheitsorganisation zu beachten, sondern auch möglichst viele verschiedene Maßnahmen umzusetzen.
Aussagen wie „Allein eine Firewall mit Deep-Packet-Inspection kann Ihnen helfen“ oder „Sie benötigen unbedingt eine SIEM-Lösung“ sind mit Vorsicht zu genießen. Selbstverständlich haben diese Technologien ihre berechtigten Anwendungsfälle. Doch muss es dafür auch eine vertretbare Anforderung in Ihrem Unternehmen geben.
Hier hilft Ihnen eine risikobasierte Herangehensweise an die Thematik. Dabei werden Ihre individuellen Anforderungen betrachtet und genau die Maßnahmen ausgewählt, die den größten Effekt haben. Gleichzeitig schützt Sie dieses Vorgehen vor überflüssigen Investitionen und verringert somit die entstehenden Gesamtkosten. Wirksame IT-Sicherheit ist aufgrund ihrer sehr dynamischen Natur niemals eine einmalige Investition, sondern ein gelebter Prozess.
Unsere Empfehlung: Investieren Sie in eine risikobasierte und regelmäßig stattfindende Risikoanalyse. Hierdurch sparen Sie sich langfristig Kosten und steigern das Sicherheitsniveau effektiv.
Fazit
Auf den ersten Blick erscheinen viele Aussagen zur industriellen IT-Sicherheit als schlüssig. Lassen Sie davon allerdings nicht vorschnell Ihr Meinungsbild beeinflussen. Überprüfen Sie Aussagen, die Ihnen eigenartig erscheinen oder von denen Sie glauben, sie wurden nur aus Marketinggründen oder zur Verkaufsförderung gemacht. Am besten, Sie lassen sich solche Punkte nochmals mit unabhängigen Quellen verifizieren.
Der Industrial Security Guide zum schnellen Einstieg
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!