Digitale Gefahren sind längst Teil des unternehmerischen Alltags geworden. Besonders mittelständische Firmen sehen sich wachsenden Risiken wie ausgeklügelten IT-Angriffen oder eigenen organisatorischen Schwächen gegenüber.
Wie können Unternehmen diesen Herausforderungen strukturiert begegnen? In diesem Beitrag beleuchten wir häufige Sicherheitslücken in Technik und Organisation, die aktuelle Bedrohungslage sowie Ansätze, mit denen Betriebe ihre Cybersicherheit nachhaltig stärken können.
Organisatorische Schwächen erhöhen die Risiken für Cyber-Angriffe
Nicht selten beginnt die Schwächung der Sicherheitsarchitektur bereits im Inneren des Unternehmens. In zahlreichen Fällen fehlen standardisierte Awareness-Trainings ebenso wie klar geregelte Prozessverantwortlichkeiten, sodass betriebsinterne Abläufe im Fall einer sicherheitsrelevanten Störung nicht strukturiert oder koordiniert gesteuert werden können.
Gleiches gilt für Notfallpläne, die häufig unvollständig sind oder im Ernstfall gar nicht zur Anwendung gelangen. Diese Entwicklung schränkt den Handlungsspielraum erheblich ein.
Obgleich die Bedrohungslage mittlerweile als konstant hoch eingeschätzt wird, verbleibt die durchschnittliche Reaktionsdauer auf Angriffe auf einem zu langsamen Niveau.
Ein Grund hierfür liegt in der unzureichenden Umsetzung etablierter Schutzmechanismen wie Passwortsicherheit, Zugriffsschutz oder einem konsequenten Berechtigungsmanagement. Eine sichere Passwortverwaltung für Unternehmen hilft dabei, diesen Schwachpunkt durch eine zuverlässige Organisation interner Zugriffsrechte auszubessern.
Darüber hinaus zeigt sich eine strukturelle Lücke bei der Zuordnung operativer Verantwortung. Lediglich 20 Prozent der Betriebe beschäftigen einen Chief Information Security Officer, wohingegen nahezu jede zweite Organisation sicherheitsrelevante Aufgaben auf unterschiedliche Fachbereiche verteilt.
Positiv ist zwar der Anstieg zertifizierter Informationssicherheits-Managementsysteme auf nunmehr 40 Prozent, jedoch verbleibt eine Mehrheit der Unternehmen ohne ein geprüftes System gemäß ISO 27001.
Darüber hinaus bestehen vielfach Defizite in grundlegenden Themen wie Datenschutz, dem betrieblichen Umgang mit Gefahrenlagen und den Prinzipien der Informationssicherheit. Dabei stehen den Mitarbeitenden heutzutage zahlreiche Schulungen zur Auswahl, um Wissenslücken zu schließen und sich zur menschlichen Firewall weiterzuentwickeln.
Unternehmen sind oft nicht für zunehmende Sicherheitsrisiken im Internet gewappnet
Viele Unternehmen sehen sich zunehmend digitalen Gefährdungslagen ausgesetzt, die sowohl in ihrer Frequenz als auch in ihrer technischen Raffinesse deutlich zugenommen haben. Besonders mittelständische Unternehmen geraten dabei vermehrt ins Visier automatisierter, KI-gestützter Angriffssysteme.
Laut Erhebungen erlitten 87 Prozent dieser Betriebe innerhalb eines Jahres mindestens einen erfolgreichen Cyberangriff, was sich in einer wirtschaftlichen Schadenssumme von über 289 Milliarden Euro niederschlägt.
Die kontinuierliche Weiterentwicklung solcher Angriffsstrategien zeigt, dass klassische Schutzmechanismen der IT-Sicherheit den heutigen Herausforderungen häufig nicht mehr gewachsen sind. Unternehmen, die über keine spezialisierte IT-Security-Abteilung verfügen, sind dabei besonders vulnerabel, da sie weder über die notwendigen Frühwarnsysteme noch über adäquat geschultes Personal zur unmittelbaren Reaktion verfügen.
Die potenzielle Bedrohungslage wird von einem Großteil der Entscheidungsträger zwar zunehmend erkannt. 77 Prozent stufen das Risiko als hoch ein, jedoch fühlen sich lediglich 39 Prozent ausreichend vorbereitet.
Diese Diskrepanz verweist auf eine erhebliche Sicherheitslücke. Besonders gravierend sind die Auswirkungen im Falle konkreter Betriebsstörungen, die in etwa einem Viertel der dokumentierten Vorfälle auftreten. Auch wenn die technische Infrastruktur oft nicht vollständig ausfällt, können selbst temporäre Unterbrechungen zu Lieferverzögerungen, Reputationsverlust oder rechtlichen Folgeproblemen führen.
Zwar gehen mittlerweile rund 11 Prozent des IT-Budgets in den Bereich Cybersicherheit, jedoch konzentriert sich ein Großteil dieser Mittel noch immer auf technische Schutzmechanismen. Organisationsstrukturen, Prozesse und Personalentwicklung werden dabei vielfach vernachlässigt, obwohl gerade sie eine tragende Rolle für nachhaltige Resilienz spielen.
Ein wachsender Teil der Unternehmen erkennt inzwischen den strategischen Mehrwert von Cyber-Versicherungen. Etwa 60 Prozent haben sich entsprechend abgesichert. Der Effekt reicht jedoch über den reinen Risikoausgleich hinaus.
Viele Policen fordern regelmäßige Audits, dokumentierte Sicherheitsabläufe und verpflichtende Schulungsmaßnahmen. Diese Vorgaben entfalten eine disziplinierende Wirkung und fördern die systematische Stärkung interner Abläufe.
Auch künftige Investitionsentscheidungen folgen dieser Logik. 72 Prozent der Betriebe planen, ihre Sicherheitsausgaben zu erhöhen. Dabei entstehen Chancen, das Risikomanagement nicht nur technisch, sondern auch organisatorisch und personell neu aufzustellen.
Im heutigen digitalen Zeitalter arbeiten Ingenieure mit sensiblen Daten und verwalten kritische Infrastrukturen, was robuste Cybersicherheitspraktiken unerlässlich macht. Im Folgenden finden Sie wichtige Tipps zur Verbesserung der Cybersicherheit, die speziell auf Ingenieure zugeschnitten sind und sicherstellen, dass ihre Systeme vor potenziellen Bedrohungen geschützt bleiben.
Regelmäßige Aktualisierung von Software und Systemen
Für die Aufrechterhaltung der Sicherheit ist es entscheidend, dass Software und Systeme auf dem neuesten Stand sind. Die Hersteller veröffentlichen ständig Patches und Updates, um Schwachstellen zu beheben, die Hacker ausnutzen könnten. Ingenieure sollten ihre Betriebssysteme, Softwareanwendungen und Firmware regelmäßig aktualisieren, um von diesen Sicherheitsverbesserungen zu profitieren. Automatisierte Update-Tools können diesen Prozess vereinfachen und sicherstellen, dass keine kritischen Updates verpasst werden.
Veraltete Software enthält oft bekannte Schwachstellen, die von Cyberkriminellen leicht ausgenutzt werden können. Durch die Einführung eines routinemäßigen Aktualisierungsplans können Ingenieure das Risiko von Cyberangriffen erheblich verringern. Dieser proaktive Ansatz schützt nicht nur sensible Daten, sondern gewährleistet auch das reibungslose Funktionieren von technischen Anwendungen und Tools.
Implementierung starker Passwortrichtlinien
Passwörter sind die erste Verteidigungslinie gegen unbefugten Zugriff. Ingenieure sollten komplexe, eindeutige Passwörter für verschiedene Konten und Systeme verwenden. Die Einführung starker Passwortrichtlinien, die beispielsweise eine Mischung aus Buchstaben, Zahlen und Sonderzeichen vorschreiben, kann die Sicherheit erheblich verbessern. Darüber hinaus ist es wichtig, Passwörter regelmäßig zu ändern und die Wiederverwendung über mehrere Plattformen hinweg zu vermeiden.
Passwort-Manager können Ingenieuren helfen, sichere und eindeutige Passwörter zu verwalten, ohne dass sie sich alle merken müssen. Diese Tools speichern Passwörter sicher und füllen sie bei Bedarf automatisch aus, um den Anmeldeprozess zu vereinfachen und gleichzeitig hohe Sicherheitsstandards zu gewährleisten.
Nutzen Sie VPNs für sichere Verbindungen
Ein virtuelles privates Netzwerk (VPN) ist ein unverzichtbares Hilfsmittel für Ingenieure, vor allem wenn sie aus der Ferne arbeiten oder über ein öffentliches Wi-Fi auf Netzwerke zugreifen. VPNs verschlüsseln Internetverbindungen und schützen die Daten vor potenziellen Abhörern und Hackern. Dies ist besonders wichtig, wenn sensible Informationen übertragen werden oder von außerhalb des Büros auf Unternehmensressourcen zugegriffen wird.
Die Verwendung eines VPN sichert nicht nur die Verbindung, sondern hilft auch dabei, geografische Beschränkungen zu umgehen und auf Ressourcen zuzugreifen, als ob man im Büro wäre. Ein zuverlässiges VPN kann einen entscheidenden Beitrag zur Aufrechterhaltung sicherer und unterbrechungsfreier Arbeitsabläufe leisten. Lernen Sie mehr über die Vorteile von VPNs, bevor Sie sich für dasjenige entscheiden, das Ihre Sicherheits- und Leistungsanforderungen erfüllt.
Führen Sie regelmäßig Sicherheitsschulungen durch
Cybersicherheit ist ein Bereich, der sich ständig weiterentwickelt, und es ist von entscheidender Bedeutung, sich über die neuesten Bedrohungen und bewährten Verfahren auf dem Laufenden zu halten. Ingenieure sollten an regelmäßigen Sicherheitsschulungen teilnehmen, um ihr Wissen auf dem neuesten Stand zu halten. Diese Schulungen können Themen wie Phishing-Angriffe, Social Engineering und sicheres Surfen abdecken.
Unternehmen können dies unterstützen, indem sie Zugang zu Online-Kursen, Workshops und Seminaren bieten. Indem sie sich über die neuesten Cybersicherheitstrends informieren, können Ingenieure sich und ihre Arbeit besser vor neuen Bedrohungen schützen. Kontinuierliche Weiterbildung ist der Schlüssel zur Aufrechterhaltung einer soliden Sicherheitslage.
Implementierung der Multi-Faktor-Authentifizierung (MFA)
Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene, die über Passwörter hinausgeht. Da MFA zwei oder mehr Verifizierungsmethoden erfordert, wird es für unbefugte Benutzer deutlich schwieriger, Zugang zu erhalten. Ingenieure sollten MFA für alle wichtigen Konten und Systeme aktivieren, einschließlich E-Mail, Projektmanagement-Tools und Cloud-Dienste.
Bei der Implementierung von MFA kann etwas verwendet werden, das man kennt (z. B. ein Passwort), etwas, das man hat (z. B. ein Smartphone), oder etwas, das man ist (z. B. ein Fingerabdruck). Dieser mehrschichtige Ansatz stellt sicher, dass selbst wenn ein Faktor kompromittiert wird, der unbefugte Zugriff verhindert wird, was einen zusätzlichen Schutz für sensible technische Daten darstellt.
Sichere Kommunikationskanäle
Sichere Kommunikationskanäle sind für den Schutz vertraulicher Informationen, die zwischen Teammitgliedern ausgetauscht werden, unerlässlich. Ingenieure sollten verschlüsselte Kommunikationstools wie sichere E-Mail-Dienste und Messaging-Apps verwenden, um unbefugten Zugriff und Abfangen von Daten zu verhindern. Die Ende-zu-Ende-Verschlüsselung stellt sicher, dass nur die vorgesehenen Empfänger die Nachrichten lesen können, und schützt sie vor potenziellen Abhörern.
Darüber hinaus sollten sichere File-Sharing-Dienste für die Übertragung vertraulicher Dokumente genutzt werden. Diese Dienste bieten häufig Verschlüsselung und Zugangskontrollen, um sicherzustellen, dass nur befugte Personen auf die freigegebenen Dateien zugreifen können. Die Aufrechterhaltung sicherer Kommunikationskanäle ist für den Schutz von Projektdetails und geistigem Eigentum unerlässlich.
Regelmäßige Sicherheitsprüfungen durchführen
Regelmäßige Sicherheitsaudits sind wichtig, um Schwachstellen zu erkennen und die Einhaltung von Sicherheitsrichtlinien zu gewährleisten. Ingenieure sollten regelmäßige Audits einplanen, um die Wirksamkeit ihrer Sicherheitsmaßnahmen zu bewerten und mögliche Schwachstellen aufzudecken. Diese Audits können intern oder von externen Sicherheitsexperten durchgeführt werden, um eine unvoreingenommene Bewertung zu erhalten.
Sicherheitsaudits sollten die Überprüfung von Zugangskontrollen, Netzwerksicherheit, Softwarekonfigurationen und Reaktionsplänen auf Vorfälle umfassen. Durch frühzeitiges Erkennen und Beseitigen von Schwachstellen können Ingenieure potenzielle Sicherheitsverletzungen verhindern und eine solide Sicherheitslage aufrechterhalten. Kontinuierliche Überwachung und Verbesserung sind der Schlüssel, um Cyber-Bedrohungen einen Schritt voraus zu sein.
Regelmäßige Datensicherung
Datenverluste können durch Cyberangriffe, Hardwareausfälle oder versehentliche Löschungen entstehen. Regelmäßige Datensicherungen sind entscheidend, um sicherzustellen, dass wichtige Informationen im Falle einer Verletzung oder eines Ausfalls wiederhergestellt werden können. Ingenieure sollten eine umfassende Sicherungsstrategie einführen, die automatische Sicherungen, sichere Speicherlösungen und regelmäßige Tests zur Überprüfung der Datenintegrität umfasst.
Es ist wichtig, Backups an mehreren Orten zu speichern, auch außerhalb des Unternehmens oder in einer Cloud, um sie vor physischen Schäden oder Diebstahl zu schützen. Durch regelmäßige Backups können sich Ingenieure schnell von Zwischenfällen erholen und Ausfallzeiten minimieren, um die Kontinuität ihrer Projekte und Abläufe zu gewährleisten.
Entwickeln Sie einen Reaktionsplan für Cybersecurity-Vorfälle
Ein gut definierter Plan für die Reaktion auf einen Zwischenfall ist für den effektiven Umgang mit Sicherheitsverletzungen im Internet unerlässlich. Ingenieure sollten einen umfassenden Plan entwickeln, der die Schritte für den Fall eines Sicherheitsvorfalls beschreibt, einschließlich der Identifizierung der Sicherheitsverletzung, der Eindämmung des Schadens, der Beseitigung der Bedrohung und der Wiederherstellung der betroffenen Systeme.
Regelmäßige Übungen und Simulationen können Ingenieuren helfen, ihre Reaktion zu üben und ihre Bereitschaft für reale Vorfälle zu verbessern. Ein klarer und geübter Plan für die Reaktion auf Vorfälle minimiert die Auswirkungen von Sicherheitsverletzungen und gewährleistet eine schnelle Rückkehr zum normalen Betrieb. Bereitschaft ist der Schlüssel zur Abschwächung der Auswirkungen von Cyberangriffen.
Fördern Sie eine Kultur des Sicherheitsbewusstseins
Die Schaffung einer Kultur des Sicherheitsbewusstseins innerhalb der Entwicklungsteams ist für die Aufrechterhaltung einer starken Sicherheitslage unerlässlich. Die Förderung einer offenen Kommunikation über Cybersicherheitsprobleme, der Austausch von Best Practices und die Anerkennung von Personen, die zu Sicherheitsverbesserungen beitragen, können eine proaktive Sicherheitsmentalität fördern.
Die Führungsebene sollte der Cybersicherheit Priorität einräumen und Ressourcen für kontinuierliche Verbesserungen und Schulungen bereitstellen. Indem sie die Cybersicherheit zu einer gemeinsamen Verantwortung machen, können Unternehmen eine robuste Verteidigung gegen sich entwickelnde Bedrohungen aufbauen und den langfristigen Schutz ihrer technischen Projekte und ihres geistigen Eigentums gewährleisten.
Mit dem Inkrafttreten des neuen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes am 18. Oktober 2024 verfolgt die Europäische Union das Ziel, das Cybersicherheitsniveau in allen Mitgliedstaaten zu vereinheitlichen und zu stärken. Das Gesetz ist ein wesentlicher Schritt in der europäischen Cybersicherheitsstrategie und stellt erhöhte Anforderungen an Unternehmen verschiedener Branchen.
Was genau ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie, die bereits seit Januar 2023 in Kraft ist, spielt eine entscheidende Rolle in der europäischen Sicherheitslandschaft. Sie erfordert von den EU-Mitgliedstaaten, die Richtlinien bis zum 17. Oktober 2024 vollständig umzusetzen. In Deutschland wird erwartet, dass der entsprechende Gesetzesentwurf im April 2024 endgültig verabschiedet wird. Unternehmen, die unter diese Richtlinie fallen, müssen sich verstärkt mit Cyber-Risikomanagement, Incident Response und Business Continuity befassen. Neu ist auch die Ausweitung der Kategorien der betroffenen Organisationen sowie verschärfte Haftungsregeln für das Management.
Wer ist betroffen?
Die NIS-2-Richtlinie erweitert den Kreis der betroffenen Organisationen deutlich. Es wird zwischen besonders wichtigen und wichtigen Einrichtungen unterschieden, wobei besondere Kriterien wie Mitarbeiterzahl, Jahresumsatz und Bilanzsumme eine Rolle spielen. Die Anforderungen betreffen sowohl Organisationen, die bereits unter bestehende Regelungen wie die BSI-Kritisverordnung fallen, als auch solche in neuen Sektoren.
Anforderungen und Implementierung
Unternehmen müssen wirksame Maßnahmen zur Sicherung ihrer IT-Systeme und Prozesse implementieren. Dies beinhaltet Risikoanalysen, Sicherheitsmanagement, Backup-Strategien, Sicherheit in der Lieferkette und die fortlaufende Schulung von Mitarbeitern. Ein mehrstufiges Meldeverfahren für Sicherheitsvorfälle ist ebenso vorgesehen, wie regelmäßige Überprüfungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Haftungs- und Sanktionsverschärfungen
Bei Nichteinhaltung der Anforderungen der NIS-2-Richtlinie drohen empfindliche Bußgelder, die bis zu 10 Millionen Euro bzw. 2 % des weltweiten Gesamtumsatzes erreichen können. Auch die Geschäftsführung kann persönlich haftbar gemacht werden.
Empfehlungen zur Umsetzung
In der verbleibenden Zeit bis zur vollständigen Umsetzung der Richtlinie empfehlen wir die Durchführung einer Gap-Analyse und die Identifizierung konkreter Handlungsfelder zur schrittweisen Verbesserung des Cybersicherheitsniveaus. Unsere Beratungsdienste unterstützen Sie dabei in allen Aspekten – von der Schulung über die rechtliche Beratung bis hin zur technischen Umsetzung.
Zusätzlich bieten wir spezialisierte Dienste in IT- und Cybersecurity an, die Sie auf unserer Website einsehen können: IT- und Cybersecurity Dienste. Die Einhaltung der NIS-2-Richtlinie ist nicht nur eine rechtliche Notwendigkeit, sondern auch ein entscheidender Schritt zur Stärkung der Unternehmenssicherheit und zur Minimierung von Cyber-Risiken. Bitte kontaktieren Sie uns für weitere Informationen und Unterstützung bei der Umsetzung dieser neuen Anforderungen.
Identitätsdiebstahl ist ein ernstzunehmendes Problem in der digitalen Welt. Kriminelle können im Internet leicht persönliche und finanzielle Daten erbeuten, um auf Kosten Ihres Unternehmens Waren zu bestellen oder Verträge abzuschließen. Hier sind sieben bewährte Tipps, mit denen Sie sich und Ihr Unternehmen schützen können:
1. Sparsamer Umgang mit Daten im Netz: Registrieren Sie sich nur auf notwendigen Plattformen und geben Sie nur die unbedingt erforderlichen Informationen an. Überprüfen Sie die Sicherheitsstandards der Webseiten, bevor Sie persönliche Daten preisgeben.
2. Skepsis gegenüber Anfragen nach persönlichen Daten: Seien Sie vorsichtig bei Anfragen per SMS oder E-Mail, die nach sensiblen Informationen fragen. Seriöse Institutionen wie Banken werden diese Daten nie auf unsicheren Kanälen erfragen.
3. Vorsicht bei Links und Anhängen in E-Mails: Klicken Sie nicht auf Links oder öffnen Sie Anhänge in Nachrichten unbekannter Herkunft, um sich vor Phishing und Viren zu schützen.
4. Regelmäßige Updates Ihrer Systeme: Stellen Sie sicher, dass alle Ihre Geräte und Software auf dem neuesten Stand sind, um Sicherheitslücken zu schließen.
5. Einsatz starker Passwörter: Verwenden Sie komplexe Passwörter und ändern Sie diese regelmäßig. Ideal sind Kombinationen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
6. Zwei-Faktor-Authentifizierung: Sichern Sie alle wichtigen Konten zusätzlich mit einer Zwei-Faktor-Authentifizierung ab, um die Sicherheit zu erhöhen.
7. Überprüfen Ihrer E-Mail-Adressen: Nutzen Sie Tools wie den Identity Leak Checker, um zu überprüfen, ob Ihre geschäftlichen E-Mail-Adressen und Passwörter kompromittiert wurden.
Ihr Partner für IT und Cybersicherheit
Als Ihr zuverlässiger Partner bieten wir Ihnen maßgeschneiderte IT- und Cybersicherheitslösungen, die speziell auf die Bedürfnisse Ihres Unternehmens abgestimmt sind. Unser Team steht bereit, um alle Ihre Fragen zu beantworten und Sie bei Ihren IT-Projekten zu unterstützen. Kontaktieren Sie uns jederzeit, wenn Sie Beratung benötigen oder spezifische Dienstleistungen in Anspruch nehmen möchten.
Vertrauen Sie auf unsere Expertise und lassen Sie uns gemeinsam sicherstellen, dass Ihre geschäftlichen Daten und digitalen Ressourcen bestmöglich geschützt sind.
Weitere Ressourcen zur Überprüfung Ihrer Daten
Um zu überprüfen, ob Ihre persönlichen Daten und Passwörter möglicherweise im Internet offengelegt wurden, können Sie die folgenden nützlichen Tools nutzen:
Universität Bonn Leakchecker: Besuchen Sie die Website des Leakcheckers der Universität Bonn unter Leakchecker Uni Bonn, um festzustellen, ob Ihre Informationen kompromittiert wurden.
Hasso-Plattner-Institut Leakchecker: Ebenfalls können Sie das Angebot des Hasso-Plattner-Instituts nutzen. Überprüfen Sie Ihre Daten auf der Seite Leakchecker HPI, um Sicherheitsrisiken frühzeitig zu erkennen.
Wir empfehlen Ihnen, regelmäßig Gebrauch von diesen Diensten zu machen, um die Integrität Ihrer geschäftlichen und persönlichen Informationen zu sichern. Bleiben Sie proaktiv beim Schutz Ihrer digitalen Identität und nutzen Sie die verfügbaren Ressourcen, um Ihre Sicherheit zu gewährleisten.
Einleitung In der digitalen Epoche stehen neben den herkömmlichen Gefahren, wie ein unbefugter Zutritt von Unternehmen, auch virtuelle Cyberattacken präsent, die global geschehen können. Dementsprechend ist die Protektion vor Hackern und Viren vor allem für Unternehmen, bei denen die Störfallverordnung zum Einsatz kommt, von besonderer Relevanz. Um diese neuen Gefahrenquellen (Cyber-Angriffe) einzudämmen, wurden von der Kommission für Anlagensicherheit (KAS) Leitsätze formuliert.
Fragen, mehr Informationen nötig oder Hilfe? Gerne Kontakt aufnehmen zu uns: 📬 Kontaktformular
Die Anwendung der daraus resultierenden Anforderungen ist für Unternehmen nicht immer einfach, allerdings sind Hilfsangebote vorhanden, sodass eine effiziente Methode implementiert werden kann. Im Mittelpunkt des Leitfadens der KAS gegen Angriffe von Nicht-Berechtigten aus dem Jahr 2002 standen Gefahren und Behinderungen technischer Belange, gegenwärtig wurde der Sicherheitsbegriff modifiziert und modernisiert. Das Merkblatt KAS-44, welches seit November 2017 existiert, präsentiert die Anforderungen an die IT-Security jener Unternehmen, bei denen die Störfallverordnung seine Anwendung findet. Konkret zählen zu diesen Branchen Biogasanlagen, Chemiewerke sowie Lagerstätten, welche gefährliche Stoffe enthalten. Industrielle Produktionsanlagen bedürfen eines zusätzlichen Schutzes und sind dementsprechend eine Herausforderung für die IT-Sicherheit. Ein industrieller Betrieb ist aufgrund der Digitalisierung permanent, mit beispielsweise autonomen Anlagen, Digitalisierungsprozessen oder Fernwartungen, verbunden. Dies bietet wiederum Hacker eine potenzielle Angriffsfläche, der sich einen unerlaubten Zugang zu den Betriebsstrukturen verschafft und diese folglich stört. Die Leitsätze des KAS-44 dienen dazu, um ein Verständnis hinsichtlich Bedrohungen zu generieren und somit Betriebe auf etwaige Sicherheitslücken aufmerksam zu machen. Diesbezüglich soll ebenso innerhalb der Führungsschicht eine Sensibilisierung erreicht werden. Dies bezieht sich vorwiegend auf mittelständische Unternehmen, denn Großbetriebe sind sich der Gefahren eher bewusst. Für eben diese Unternehmen sind Hackerangriffe nicht nur eine Image-Schädigung, vielmehr können sich solche zu einem geschäftskritischen Element weiterentwickeln.
Problemstellung, Zielsetzung und Forschungsfrage Die vorliegende Projektarbeit widmet sich einer methodischen Darstellung von Betriebsbereichen, welche der Störfall-Verordnung zugehörig sind, und dem KAS-44 Leitfaden geleiteten Schutz vor Angriffen untergeordnet sind. Zusätzlich zu den organisatorischen Maßnahmen werden technische Mittel für die Zweckerfüllung vorgestellt. Im Fokus stehen sicherheitsrelevante Anlagenteile (SRA) und jene des Bereichs (SRB) sowie der Schutz dieser vor Gefahren für Menschen, Umwelt und Sachschäden. Ebenso geht es um die Sicherung des Zugangs zu gefährlichen Stoffen für Unbefugte. Die Maßnahmen des Leitfadens KAS-44 hinsichtlich der Eingriffe von Unbefugten können allerdings nicht behandelt werden, denn dies würde den Rahmen der Projektarbeit sprengen. Diese Arbeit beschäftigt sich lediglich mit dem Schutz vor cyberphysischen Angriffen und zeigt die Auswirkung des BSI-IT-Grundschutz-Kompendiums auf jene betrieblichen Bereiche, die über sicherungsrelevante Anlagen verfügen. Diesbezüglich werden beide Tätergruppen, sowohl der Innen- als auch der Außentäter charakterisiert. Als Basis der thematischen Bearbeitung wurde der Leitfaden KAS-44, welcher von der Kommission für Anlagensicherheit konzipiert wurde, ausgewählt. Darüber hinaus werden für eine nähere Betrachtung Forschungsliteraturen verwendet. Abbildung 1 zeigt den Ablauf der Projektarbeit, wobei der Leitfaden KAS-44 im Mittelpunkt steht.
Vorgehensweise Die wichtigsten Punkte des KAS-44 Leitfadens werden in den Kapiteln 3 bis 8 behandelt und bieten gleichzeitig eine Deskription der Realisierung der im Leitfaden inkludierten Themen. Kapitel 1 stellt die Herangehensweise vor und im Kapitel 2 werden die grundlegenden Informationen thematisiert. Den Abschluss der Projektarbeit bilden das Kapitel 8, ein Resümee in Kapitel 9 sowie ein Ausblick in Kapitel 10.
Gegenstand der Untersuchung Im Mittelpunkt der Untersuchung stehen eine Projektarbeit mitsamt einer Präsentation der Leitlinien für eine Maßnahmenkonzeption zum Schutz vor cyberphysischen Angriffen und eine Anwendung des BSI-IT-Grundschutz-Kompendiums auf betriebliche Bereiche mit sicherungsrelevanten Anlagen.
Grundlagen Die KAS-44 besteht aus Leitsätzen, die ein Bewusstsein für Bedrohungen schaffen und auf mögliche Sicherheitslücken aufmerksam machen, damit auf der Führungsebene eine Sensibilisierung stattfinden kann. Großkonzerne sind sich den Gefahren bewusst, daher sind es vor allem mittelständische Unternehmen, die sensibilisiert werden sollen. Ein gelungener Angriff ist nicht nur reputationsschädigend, sondern kann ebenso zu einem geschäftskritischen Faktor werden. Ersichtlich wird, dass das Gefahrenpotenzial zunimmt, dies betrifft nicht nur einzelne Attacken, sondern den gesamten IT-Bereich eines Unternehmens, sprich, äußere Faktoren, Firewalls und sogar Schnittstellen. Unternehmen sind gefordert, ihre IT-Sicherheit zu modernisieren, wobei eine Fokussierung auf autonome Anlagen und Prozesse der Industrie 4.0 nicht ausreichend ist. Vielmehr müssen optimale Sicherheitsmaßnahmen definiert werden, welche im gesamten Betrieb verwendet werden, denn ansonsten kann die Schnittstellenproblematik fortwährend bestehen. Bezüglich des Bedarfs an einer Sicherheit für Firewalls und Perimeter sind bis dato nur wenige regulatorische Verfahren vorhanden. Das Information Security Management System (ISMS) ist eine Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Betriebe und Organisationen. Sofern Betriebe der Störfallverordnung zugehörig sind, ist gegenwärtig ein erweitertes ISMS notwendig. In der Realität liegt lediglich eine Basis-IT-Sicherheit vor, sodass aktuelle Bedrohungen nicht erkannt werden. Der folgende Abschnitt stellt Grundlagen vor und gibt Begriffsdefinitionen, die eine Darstellung der grundsätzlichen Pflichten der Betreiber von sicherungsrelevanten Anlagen und Bereiche zeigen, wieder. Begriffserläuterungen in der Störfallverordnung Eine besondere Gefährdung liegt laut dem Leitfaden KAS-44 dann vor: wenn aufgrund eines Angriffs Unbefugter, ein hervorgerufenes Ereignis in einem Betriebsbereich zu ernsten Gefahren für die Menschen werden, wenn Sachschäden außerhalb des Betriebsbereichs im Sinne des BlmSchV auftreten, wenn eine beträchtliche Umweltschädigung da Gemeinwohl gefährdet. Der Betriebsbereich der oberen Klasse beinhaltet Gefahrenstoffe, welche im Anhang 1 der Störfallverordnung (Spalte 5 der Stoffliste) angeführt sind und die verordnete Mengenschwelle erreicht und diese übertrifft. Der Betriebsbereich der unteren Klasse enthält gefährliche Stoffe in jenen Mengen, die in Anhang 1 der Störfallverordnung (Spalte 4 der Stoffliste) erreichen oder übertreffen, allerdings werden die Mengenschwellen (Spalte 5 der Stoffliste) dabei nicht unterschritten.
Rechtliche Rahmenbedingungen Im §3 Abs. 2 der Störfallverordnung ist der Schutz vor Angriffen Unbefugter als Pflicht des Unternehmers rechtlich verankert. Dementsprechend ist der Betreibende in der Pflicht, etwaige Störfälle zu dokumentieren, die entstandenen Konsequenzen zu definieren und Maßnahmen zu treffen, damit diese Ereignisse eingedämmt werden können. Zu diesen Eingriffen zählen also jene Gefahren, die aufgrund eines Zugriff Unbefugter passieren können. Basismaßnahmen Jene Betriebsbereiche, die der Störfallverordnung (12. BlmSchV) unterliegen und die IT- und OT-Systeme1 sowie Anlagen sind intern und extern informationstechnisch verknüpft. Die genannten Systemnetzwerke sind als Angriffspunkte gemäß §3 Abs. 3 Nr. 3 der Störfallverordnung (StörfallV) zu bewerten, denn beabsichtigte Störungen dieses Betriebes, welche über das Netz oder IT-Systeme verursacht werden, können nicht gänzlich vermieden werden. Diesbezüglich wird die Frage nach der IT-Sicherheit bezüglich des Angriffs Unbefugter auf die Betriebsbereiche (ITSecurty1) über vernetzte Systeme sowie Konsequenzen offengelegt. Anzumerken ist, dass es sich hierbei um jene Angriffe über das IT-System handelt, die eine sicherheitstechnische Relevanz (Safety) vorweisen. Schritte, die für die Gewährleistung der IT-Security eingeleitet werden, sollen daher im Sicherheitsmanagementsystem, welches auf Basis des Sicherheitskonzepts nach §8 Abs. 1 der StörfallV vorliegt, realisiert werden. Eine solche Integration der IT-Security innerhalb des Sicherheitsmanagementsystems kann an die ISO-27000-Normenreihe angelehnt werden. Die nachstehenden Leitsätze präsentieren die Anforderungen bezüglich dieser Anwendung auf Betriebsbereiche des §3 Abs. 5a des BImSchG. Die Basismethoden im Sektor der Regelungen für Fremdpersonal und fremdvergeben Dienstleistungen für den Umgang mit Fremdfirmen sind dementsprechend aufgebaut, dass externe Arbeitsvorgänge in einem geeigneten Umfang von internen oder unabhängigen Mitarbeitenden kontrolliert werden. Darin inkludiert sind ebenfalls die vertraglichen Regelungen bezüglich der Datenintegrität sowie das Bewahren des Stillschweigens von Arbeitsresultaten und der transferierten Dokumentation mit den Dienstleistern und Mitarbeitenden. Im Umfeld der Sensibilisierung und Schulung werden eigens dafür verantwortliche Mitarbeiter eingesetzt, um ein zielgruppenorientiertes und risikobasiertes Schulungskonzept gegen Eingriffe Unbefugter zu erhalten und die IT-Sicherheit zu verbessern. Zusätzlich soll ein betriebliches Meldesystem eingeführt werden, um etwaige Vorkommnisse melden zu können. Überdies wird die Basismaßnahme „Reaktion auf neue Schwachstellen und IT-Bedrohung“ verwendet, um die IT-Sicherheit zu gewährleisten und Vorkehrungen zu treffen. Zu diesen Möglichkeiten, um kritische Schwachstellen und IT-Bedrohungen einzudämmen, zählt beispielsweise die Installation von Softwareaktualisierungen, die Fehlerbehebungen inkludieren. Diesbezüglich gilt es zu überprüfen, ob gegenseitige Beeinflussungen aufgrund dieser Aktualisierungen entstehen können und dies wiederum die Wirksamkeit verändert. Die Beurteilung der bereits angeführten Basismaßnahmen wird im anschließenden Kapitel 4 mittels einer Überprüfung der Gefährdungssituation gefällt.
Entscheidung über das Vorliegen einer besonderen Gefährdung Die getroffenen Basismaßnahmen können nur so lange als genügend bezeichnet werden, bis von einer Anlage oder eines Betriebsbereichs eine Gefährdung besteht. Ein Beispiel hierfür ist die Gefährdung für die Menschen, wie Kapitel 2.1 zeigt. Eine Sicherungsanalyse erweist sich dann als nötig, wenn Informationen bezüglich einer besonderen Gefährdung von einem Betriebsbereich gemeldet werden. Das Resultat der Sicherungsanalyse lässt darauf schließen, ob weiterführende Maßnahmen zum Schutze neben den bestehenden Basismaßnahmen getroffen werden müssen. Aus allgemeiner Sicht sind weitere Schutzmaßnahmen notwendig, falls höhere Störfallstoffmengen in Betriebsbereichen der oberen Klasse vorliegen. Das Ausmaß des Schadens kann jedoch wegen spezieller Rahmenbedingungen eingedämmt werden, sodass nur vereinzelt Maßnahmen getroffen werden müssen. Eine solche Vorgehensweise muss mit dem Betreiber und der Behörde abgesprochen werden. Sofern keine besondere Gefährdung vorhanden ist, sind die Basismaßnahmen als genügend zu bewerten und somit kann auf zusätzliche Maßnahmen verzichtet werden. Ist dies nicht möglich, dann wird eine Sicherungsanalyse, wie jene in Kapitel 5, vollzogen.
Sicherungsanalyse Die nach Störfallverordnung (12. BlmSchV) betreffenden Betriebsbereiche, deren IT- und OT-Systeme1 und Anlagen, sind intern und extern informationstechnisch verknüpft. Alle Netzwerke und Systeme sind nach §3 Abs.2 Nr.3 der Störfallverordnung (StörfallV) als Angriffsfläche zu bezeichnen, denn immerhin können vorsätzliche Störungen des bestimmungsgemäßen Betriebes, welche über Netzwerke oder IT-Systeme erfolgen, nicht ausgeklammert werden. Die IT-Sicherheitsfragen widmen sich daher dem Eingriff Unbefugter auf Betriebsbereiche (ITSecurity1) sowie den vernetzten Systemen und deren Konsequenzen. Erwähnt werden muss diesbezüglich, dass nur jene Angriffe, die über IT-Systeme stattfinden, eine sicherheitstechnische Relevanz (Safety) vorweisen. Das Sicherheitsmanagementsystem, welches dem Sicherheitskonzept §8 Abs.1 der StörfallV zugrunde liegt, soll Maßnahmen zur Sicherung der IT-Security festhalten und diese auch anwenden. Dass die IT-Security im Sicherheitsmanagementsystem eingebaut wird, kann in Anlehnung an die ISO-27000-Normreihe, passieren. Die nachstehenden Leitsätze zeigen die Anforderungen hinsichtlich der Anwendung auf Betriebsbereiche gemäß §3 Abs. 5a des BlmSchG.
Bedrohungsanalyse Unter einer Bedrohungsanalyse versteht man einen methodischen und strukturierten Ansatz für eine Identifizierung von möglichen Bedrohungen, für eine Bewertung der Risiken und für eine Priorisierung von Maßnahmen zur vollständigen Eliminierung oder Verringerung dieser. Diesbezüglich werden unterschiedliche Punkte herangezogen und überprüft, welche Betriebsbereiche und Anlagen für den Eingriff Unbefugter bevorzugt werden. Das folgende Kapitel stellt einige dieser Aspekte vor.
IT-Security ist Führungsaufgabe Das leitende Organ trägt für die IT-Security innerhalb der Organisation Verantwortung und verfasst eine IT-Security-Richtlinie für das Unternehmen. Diese ist stets an die sich verändernden inneren und äußeren Rahmenbedingungen anzugleichen. Die IT-Security-Richtlinie umfasst die IT-Security-Ziele der Organisation durch die Führungsposition und ist abhängig von der Organisationsstrategie sowie gesetzlichen Vorgaben. Die Leitung entwickelt dementsprechende Organisationsstrukturen und generiert Vorgänge, um das Erreichen der IT-Security-Ziele zu gewährleisten. Damit einhergehend werden Ressourcen zur Erfüllung dieser von der Leitung geschaffen.
Sensibilisierung und Unterweisung Ein wichtiger Aspekt ist die Kommunikation der IT-Security-Richtlinie an jeden Angestellten des Unternehmens sowie an Dritte, die auf die IT-Security einwirken können. Die Führungsposition ist für die Durchführung der Maßnahmen für eine zielgruppenspezifische Sensibilisierung der Mitarbeitenden und Drittpersonen verantwortlich. Diese Maßnahmen richten sich an Cyberangriffe2 auf Betriebsbereiche sowie an die Konsequenzen auf die funktionale Sicherheit des Unternehmens. Um die betriebliche Security-Kultur zu verbessern, werden kontinuierliche Schulungen für die Maßnahmen und für das Erreichen der Sicherheitsziele durchgeführt, an der ebenso Dritte teilnehmen können. Ebenso wird der Nutzen der Maßnahmen durch eine permanente Überprüfung kontrolliert.
Assest Register und Netzwerkarchitektur §3 Abs.2 Nr.3 der StörfallV besagt, dass der Betrieb Maßnahmen zur Eindämmung und Eliminierung von Störfällen treffen muss und ebenso Eingriffe von Unbefugten miteinbezogen werden müssen. Bezogen auf die IT-Security sind besonders jene Bereiche der Anlagen (Assets), welche eine Manipulation durch Cyberkriminelle eine mittelbare oder unmittelbare Konsequenz auf die funktionale Sicherheit dieser haben, von Bedeutung.
Assets: sicherheitsrelevante Anlagenteile, Komponenten, Bauteile; sicherheitsrelevante Software; alle Netzwerk-Ein- und Ausgangspunkte zu anderen Netzwerken; alle IT-Systeme außerhalb des Produktionsbereiches, von denen eine Kommunikationsbeziehung in den Produktionsbereich aufgebaut werden kann; alle den Betriebsbereich betreffende sicherheitsrelevante Dokumentation.
Für die Sammlung aller Assets ist es notwendig, ein Asset-Register zu erstellen. Ebenso ist es von Relevanz, dass jedes Asset einen eigenen Beauftragten hat und der Schutzbedarf des Assets für den Betriebsvorgang vorhanden ist. Ein Netzwerk-Architekturbild bietet sich an, um die Kommunikationsbeziehungen zwischen den Assets darzustellen, wobei hier alle Übertragungsprotokolle inkludiert werden müssen. Hervorgehoben werden muss, dass sowohl das Asset-Register als auch das Netzwerkarchitekturbild stets auf den neusten Stand gebracht werden müssen, vor allem, wenn Veränderungen innerhalb des Betriebsbereiches auftreten.
IT-Security bei der Errichtung von Anlagen Die IT-Security ist ein essenzieller Faktor jeglicher Errichtungsphasen von Anlagen sowie der Integration in den Betriebsbereichen bis zur Inbetriebnahme und für die Systemfunktionen innerhalb eines Betriebsbereiches. Die Bedingungen der IT-Security sowie deren Richtlinie werden bereits in der Konzeptphase vom Betreiber festgehalten und anschließend vom Systemintegrator3 ausführlich realisiert. Am Schluss jeder Errichtungsphase wird die Durchführung der Bedingungen an die IT-Security vom Systemintegrator in Kooperation mit dem Betreiber verifiziert und validiert. Bevor die Inbetriebnahme vonstattengeht, wird eine IT-Security-Abnahme durch den Betreiber durchgeführt.
Risiko Management beim Betrieb von Anlagen Für eine permanentes Bestehen der IT-Security ist es notwendig, ein Risikomanagement (bspw. in Anlehnung an ISO 27005) zu entwickeln. Im Fokus des Risikomanagements steht die Risikobeurteilung, welche sich aus Risikoidentifizierung, -analyse und -bewertung zusammensetzt. Als Basis der Risikoidentifizierung (auf Grundlage des Asset-Registers) gelten präsente Gefährdungen innerhalb des Betriebsbereichs. Die Risikobeurteilung befasst sich mit der Wirksamkeit der gegebenen Schutzmaßnahmen bezogen auf die gegenwärtigen Risiken. Falls diese Schutzmaßnahmen die vorhandenen Gefahren nicht wirksam verringern, gilt es, Maßnahmen zur effektiven Minderung zu generieren. Die Risikobeurteilung soll permanent erfolgen, vor allem weil stets neue Schwachstellen und Angriffspunkte bei den gegebenen Assets gegeben sind. Sofern neue und kritische Schwachstellen vorliegen, für die neue Angriffswege eingeleitet wurden, muss die Risikobeurteilung für diese Assets abermals durchgeführt werden.
Erkennung von IT-Securityvorfällen §3 Abs.1 der StörfallV besagt, dass Betreiber technische und organisatorische Vorkehrungen zum Schutze erledigen müssen, damit Störfälle vermieden werden. Das prompte Aufspüren von IT-Security-Vorfällen ist eine Bedingung für die Einführung wirksamer Gegenvorkehrungen. Überdies kann eine Analyse von IT-Security-Vorfällen herangezogen werden, um Maßnahmen für eine künftige Vermeidung von Angriffen zu entwickeln. Die Resultate sind wichtig für das Risikomanagement. Das Sicherheitsmanagementsystem muss effektive Maßnahmen für das Erkennen und Melden von IT-Security-Vorfälle generieren.
Maßnahmen nach IT-Securityvorfällen Innerhalb des Sicherheitsmanagementsystems müssen qualifizierte Maßnahmen für eine Erneuerung und Verbesserung der IT-Security nach Vorfällen getroffen werden. In diesem Zusammenhang werden die Mitarbeitenden bezüglich der Maßnahmen in Kenntnis gesetzt. Die Effizienz der Maßnahmen wird permanent im Zuge des Risikomanagements kontrolliert.
Sicherungsmaßnahmen Als Sicherungsmaßnahmen versteht man Methoden und Vorgehensweisen, welche zum Schutz gegen Eingriffe Unbefugter eingesetzt werden. Diese umfassen sowohl organisatorische als auch technische Maßnahmen, welche im nachstehenden Kapitel vorgestellt werden.
Sicherungsmanagement Ein Sicherungsmanagement, welches nach dem Leitfaden KAS-51 für eine Realisierung der Sicherungsziele und deren anschließenden Maßnahmen eingeführt wird, ist empfehlenswert, weil sich die Managementsysteme vormals für den systematischen Gebrauch sowie zur Kontrolle von unternehmensinternen Vorgängen als zuverlässig erwiesen haben. Das Managementsystem, welches für die Sicherung des Unternehmens verwendet wird, sollte diese Prozesse einschließen.
Unternehmenspolitik: Die Unternehmenspolitik befasst sich mit der Selbstverpflichtungserklärung eines Unternehmens, um gemeinsam mit den Mitarbeitenden und den Auftragnehmern eine permanentes und vor allem sicheres Arbeitsumfeld zu ermöglichen. Ebenso sind darin der Schutz vor Verletzungen, Verlusten und Schädigungen aufgrund von Zugriffen Unbefugter sowie Konsequenzen für die Umwelt und die Umgebung inkludiert.
Dokumentation: Überdies ist es wichtig, dass das Sicherungsmanagementsystem überprüfbar und kontrollierbar sein sollte, diesbezüglich muss sowohl ein Soll/Ist-Vergleich als auch eine Deskription des Soll-Zustandes vollzogen werden. Allerdings ist an dieser Stelle zu erwähnen, dass eine ausführliche Dokumentation als Angriffsfläche für Unbefugte gelten kann und dies stellt wiederum den Schutzmechanismus in Frage. Dementsprechend ist ein Zugang aller Personen, bei denen ein Zugriff nicht unbedingt notwendig ist, einzugrenzen und zu vermeiden.
Organisation und Verantwortlichkeit: Das Unternehmen ist in der Pflicht, dass Verfahren zum Erkennen von Sicherheitsrisiken eingeläutet und Sicherungsmaßnahmen eingeführt werden. Überdies muss ein Mitteilungssystem vorhanden sein, damit das Management sofort von etwaigen Sicherheitsvorfällen in Kenntnis gesetzt wird.
Kommunikation und Schulung: Schulungen dienen dazu, um die Mitarbeitenden mit Fachkompetenzen zu betrauen und um eine Bewusstwerdung der gegebenen Sicherheitsrisiken zu erreichen. Darüber hinaus ist ein Informationsaustausch von Relevanz, damit Sicherungsvorfälle und Erkenntnisse der Sicherungstechnik gemeldet werden und dementsprechend die Maßnahmen beachtet werden.
Festlegung der Sicherungsprozesse: Prozesse des Unternehmens, in denen die Sicherung im Fokus steht, müssen stets fixiert, bewahrt und überlegt sein.
Diesbezüglich müssen die nachfolgenden Prozesse vollzogen werden:
Kontraktoren Überwachung: Die mit dem Unternehmen geschäftlich verbunden Kontraktoren müssen in die Sicherheitsrichtlinien und -prozesse des Unternehmens inkludiert werden. Planung und Errichtung von Anlagen: Hier müssen die Sicherungsanforderungen des Unternehmens abgedeckt sein, welche ebenfalls aufbewahrt werden müssen.
Veränderungsmanagement: Konsequenzen und Änderungen der Gefahrensituation bzw. der Sicherungslage sind exakt zu kontrollieren. Etwaige Maßnahmen sind durchzuführen und ebenso zu belegen.
Notfallmanagement: Ein Notfallmanagement ist für Sicherungsnotfälle und für die Eindämmung notwendig und das Personal muss dementsprechend eine Schutzkleidung erhalten. Eine Krisenabwehrorganisation sollte im Vorfeld entstehen. Um eine Verringerung des Risikos und das Erkennen von etwaigen Sicherungsproblemen zu erreichen, ist es notwendig, eine offene Kommunikation mit Ämtern und Gleichgesinnten zu pflegen.
Betrieb und Wartung von Sicherungseinrichtungen: Ein weiterer wichtiger Punkt sind die Wartungen, welche regelmäßig durchgeführt werden sollten, um auf dem technischen Status Quo zu sein. Dementsprechend sollte die Sicherungstechnik innerhalb des Betriebes vorhanden sein.
Überwachungsmaßnahmen: Ebenso muss das Sicherungsmanagementsystem in regelmäßigen Intervallen kontrolliert werden.
Korrektur- und Vorbeugungsmaßnahmen: Diesbezügliche Sicherungsfälle müssen untersucht und behoben werden. Aus dem Resultat der Vorfalluntersuchung können präventive Maßnahmen für künftige Situationen abgeleitet werden, die wiederum dokumentiert werden müssen. Zur Etablierung des Sicherungsmanagements und zum Schutz vor Eingriffe Unbefugter ist der Plan-Do-Check-Act (PDCA) Zyklus (Abbildung 7) wichtig. Die vier Punkte sorgen für eine ständige Verbesserung der Sicherungsmaßnahmen gegen Eingriffe Unbefugter und sind für die Konzipierung und für das Einleiten von Schutzkonzepten relevant.
Nachstehend werden die relevanten Punkte des PDCA-Zyklus für den Schutz vor Eingriffe Unbefugter vorgestellt. Als Basis wird der Leitfaden KAS-44 verwendet.
Plan: Der erste Zyklusbereich ‚Plan‘ umfasst die Einführung und Festlegung der Grundmaßnahmen der jeweiligen Betriebsbereiche für den Schutz vor Eingriffen. Sofern eine spezielle Gefahr vorhanden ist, wird zusätzlich zu den bestehenden Grundmaßnahmen eine Gefahrenanalyse ausgeführt. Anschließend werden weitere Schutzmaßnahmen getroffen und eingeleitet. Do: Hier findet eine Integration der erforderlichen Maßnahmen in den Betriebsbereichen statt. Diesbezüglich müssen die Maßnahmen schriftlich hinterlegt werden und es ist eine Anweisung anzufertigen, welche die Umsetzungsmaßnahme darstellt und auf eine bindende Durchführung abzielt. Darüber hinaus müssen die festgelegten Maßnahmen mit dem nötigen Pflichtbewusstsein und mit den Berechtigungen realisiert werden. In diesem Abschnitt finden Mitarbeiterschulungen statt. Ebenso müssen Prüfungsintervalle festgehalten werden, in denen die realisierten Maßnahmen eine Wiederholungskontrolle bestehen müssen. Check: Des Weiteren gilt es zu kontrollieren, ob die getroffenen Maßnahmen den gewünschten Zweck erreichen. Dementsprechend kann das System zum Schutz vor Eingriffen Unbefugter einen Stress-Test absolvieren, in dem Fehler und Hindernisse erkannt werden. Zusätzlich sind Befragungen der Mitarbeitenden der sicherungsrelevanten Betriebsbereiche geeignet, um über deren vorhandenes Wissen und über Verhaltensregeln Kenntnisse zu erlangen. Aus diesen Erhebungen kann der Kenntnissachstand des Personals aufgezeigt werden. Act: Die Ergebnisse aus dem Check werden dazu verwendet, um diese im gegebenen Maßnahmenkonzept zu realisieren. Das Maßnahmenkonzept wird durch das fortwährende Verbesserungsmanagement verbessert und es werden Fehler berichtigt.
Schutz vor cyberphysischen Angriffen Eine Verbindung aus organisatorischen und technischen Maßnahmen, die bei jedem Einzelfall eingesetzt werden können, sind hier zu nennen. Einige hilfreiche Punkte, welche zu einer Verbesserung der Datensicherheit beitragen, werden folglich vorgestellt.
Nur ein starkes Passwort, ist ein gutes Passwort: Dies ist insofern relevant, da deshalb nicht alle Zugänge automatisch gefährdet sind, falls ein Konto gehackt wird. Natürlich ist es schwierig, sich unterschiedliche und vor allem schwierige Passwörter zu merken, allerdings sind auch hier Lösungen vorhanden. Softwaretools, wie beispielsweise KeePass dienen zur Vereinfachung von Passworterstellung und -verwaltung. Mithilfe von KeePass werden alle Zugänge in einer verschlüsselten Datei gesichert und überdies werden automatische Einträge von Zugangsdaten in die Anmeldemasken von Webseiten gespeichert, sodass komplexe Passwörter benutzt werden können.
Updates und Patches: Es ist ebenso ratsam, einen Viren- und Spamschutz zu verwenden, denn nur ein gegenwärtiger Schutz, ist auch ein guter. Daher lohnt es sich einen Blick auf den Aktualisierungsstatus der Sicherheitslösungen zu werfen. Cloudbasierte Erkennungstechnologien sind ein geeignetes Mittel, um Zero-Day Exploits bzw. Cyberattacken aufzuspüren. Dabei handelt es sich um Angriffe, die erst aufkeimen und deshalb sind klassische, musterbasierte Verfahren an dieser Stelle unbrauchbar.
Doppelt hält besser: Doppelt hält besser und das gilt ebenso für den Schutz vor cyberphysischen Angriffen, denn somit können Bedrohungen schneller erkannt und beseitigt werden. Der ergänzende Schutz wirkt sich nicht negativ auf das Budget des Unternehmens aus, sondern ist stattdessen für den Schutz von geschäftskritischen Daten ein Muss.
Das Vier-Augen-Prinzip: Das Vier-Augen-Prinzip ist für die Integration automatisierter Mechanismen beim E-Mail-Verkehr hilfreich, um das Versenden geschäftskritischer Daten einzudämmen. Hier zu nennen sind bestimmte Dateiformate, wie Excel-Dateien, die Kundendaten umfassen oder Textformate, welche der Kreditkartennummer ähnlich sind, solche Faktoren werden automatisch erfasst und noch vor dem Versenden blockiert. Nach einer umfassenden Vier-Augen-Prüfung einer anderen Person ist es möglich, die E-Mail zu versenden. Dieses Prozedere ist insofern wichtig, weil es über den weiteren Bestand des Unternehmens entscheidet. Ein Datendiebstahl hat erhebliche finanzielle Schäden zur Folge, wie auch langwierige Image-Schädigungen.
Verschlüsseln will gelernt sein: Im Bereich der elektronischen Kommunikation sind Man-In-the-Middle-Attacken keine Seltenheit, um einen Zugriff zu vertraulichen Inhalten zu erreichen. Dementsprechend ergibt sich die Frage, weshalb Unternehmen nur oberflächlich vor derartigen Angriffen gesichert sind. Das Stichwort lautet Verschlüsselung, wobei im Allgemeinen zwischen zwei Arten unterschieden werden muss: Verschlüsselung des Transportweges. Diesbezüglich ist das https-Protokoll zu erwähnen, welches in zeitgemäßen Sicherheitslösungen zumeist vorhanden ist. Verschlüsselung der zu übertragenden Daten. Im E-Mail-Sektor sind Verfahren, wie S/Mime oder PGP zu nennen.
Vorsicht beim Social Media: Zumeist werden Daten mit einem Post-it am Monitor hinterlassen, was als Angriffsfläche für potenzielle Datendiebe dient. Anzumerken ist, dass nicht immer ein Mitarbeiter für den Datendiebstahl verantwortlich gemacht werden kann, denn sofern externe Besucher im Unternehmen auftauchen, können auch diese ein Risiko bilden. Ein weiteres Risiko ist das fehlende Sperren des Rechners, dementsprechend kann hier das sicherste Passwort keine Garantie sein, um für eine umfassende Sicherheit zu sorgen.
Phishing-Mails erkennen: Um Phishing-Mails zu erkennen, sollte man sich folgende Fragen stellen: Existiert eine Geschäftsbeziehung zum Absender? Verweist der Link auf die richtige Plattform (Impressum und Browser-Leiste kontrollieren)? Sind Rechtschreibfehler in der E-Mail vorhanden?
Gehirn einschalten und nur danach klicken: Solange der Dateianhang nicht angeklickt wurde, kann der darin enthaltene Virus oder Trojaner nicht auf den Rechner übertragen werden. Gegenwärtige Lösungen für eine Vermeidung von Malware in E-Mails bieten Fingerprints an. Diese sind für eine Analysen von Mustern in Dateitypen, z.B. wenn sich ein Virus im exe-Format als PDF-Datei ausweist, wichtig.
Mobil und sicher zugleich: Ein Schutz des Mobilgeräts mittels eines Passworts ist ebenso essenziell und darüber hinaus sollten Tools für eine Fernwartung bzw. -löschung eingesetzt werden.
Sensibilisierung für das Thema: Bei einer Neuinstallation sollten Hinweise der Betriebsvereinbarung vorhanden sein, die über den Datenschutz und die genauen Richtlinien im Unternehmen, die Passwortstärke, Änderungsfrequenz, Sicherung des Geräts etc. Auskunft geben. Nur aufgeklärte Mitarbeiter können den gegenwärtigen Gefahren und Cyberattacken entgegenwirken. Obwohl die Intensität von Cyberangriffen kontinuierlich steigt, sind Unternehmen diesen Attacken nicht ohne Schutz ausgesetzt. Faktoren, wie organisatorische Maßnahmen und eine gewisse Scharfsinnigkeit, behindern mögliche Angriffe. Das Schutzniveau verbessert sich durch IT-Sicherheitslösungen, die eine schnelle Reaktion auf eine Bedrohung ermöglichen. Dementsprechend werden Mitarbeitende als potenzielle Gefahrenquelle ausgenommen. Wesentliche Mechanismen können nur eingeschränkt umgangen werden und somit können geschäftskritische und firmeninterne Daten auch zukünftig vor Cyberattacken geschützt werden.
BSI-IT-Grundschutz-Kompendium Das IT-Grundschutz-Kompendium ist die Basis des IT-Grundschutzes. Gemeinsam mit den BSI-Standards dient es jedem, der sich detailliert mit der Informationssicherheit auseinandersetzen möchte. Im Mittelpunkt des IT-Grundschutz-Kompendiums sind die IT-Grundschutz-Bausteine, welche sich mit den Themen rund um die wichtigsten Sicherheitspunkten beschäftigen. Zunächst werden im primären Abschnitt der IT-Grundschutz-Bausteine potenzielle Gefahren und anschließend Sicherheitsanforderungen vorgestellt. Grundsätzlich sind diese IT-Grundschutz-Bausteine in zehn verschiedene Bereiche gesplittet, welche die Applikation (APP), die industrielle IT (IND) und das Sicherheitsmanagement (ISMS) umfassen. Das IT-Grundschutz-Kompendium wird im Februar jedes Jahres in einer aktualisierten Auflage präsentiert. Das BSI gibt das gesamte Jahr über Entwürfe von Bausteinen preis, die dann von den Verbrauchern kommentiert werden können. Vor der Anfertigung der Bausteine wurde eine Risikobewertung für jene Bereiche, die einen normalen Schutzbedarf benötigen, vollzogen. Die vorhandenen Anforderungen in den Bausteinen zeigen den Status Quo der Technik. Die IT-Grundschutz-Bausteine müssen einen mehrstufigen Reaktionsprozess absolvieren, bevor sie in einer Veröffentlichung des IT-Grundschutz-Kompendiums berücksichtigt werden. Hier befinden sich die IT-Grundschutz-Bausteine im Status eines Community Drafts und können wiederum binnen vier Wochen kommentiert werden. Nach Fristende der Kommentierung verweilen die Drafts auf dieser Seite, bis eine neue Auflage vorliegt. Diesbezüglich muss beachtet werden, dass die IT-Grundschutz-Bausteine im Status eines Drafts nicht zertifizierungsrelevant sind und Community Drafts zusätzlich verändert, werden können. Sofern die IT-Grundschutz-Bausteine als Final Drafts vorhanden sind, gelten die Texte als beständig und werden dementsprechend in der folgenden Veröffentlichung des IT-Grundschutz-Kompendiums erwähnt. Jede Bemerkung wird im BSI überprüft und ebenfalls im veröffentlichten IT-Grundschutz-Kompendiums berücksichtigt. Formate der Edition Druckwerk, PDF-Datei und HTML-Version werden einmal jährlich erneuert. Gegenwärtig ist in der Fassung des IT-Grundschutzes der Erstellungsprozess der Bausteine im Mittelpunkt. Künftig können IT-Grundschutz-Anwender und Interessenten des Fachs früher ihre Expertenmeinung und ihr Knowhow erläutern.
Notwendigkeit für Sicherheitsprüfungen Gemäß des Leitfades KAS-51 werden Sicherheitsüberprüfungen nach SÜG i.V.m §10a SÜFV notwendig, sofern das zuständige Amt diese auf Basis der Beurteilung des Unternehmers als notwendig einstuft. Eine solche Bewertung erfolgt auf Basis der vollzogenen organisatorischen oder technischen Maßnahmen. Dementsprechend ist der Betreiber dazu verpflichtet nach §3 Abs. 2 Nr.3 StörfallV, die Sorge zu tragen, dass eine Verhinderung der Störfälle durch Unbefugte ermöglicht wird und nach §9 Abs. 1 Nr.2 StörfallV die Bedrohungen, welche aus Störfällen hervorgehen, sowie potenzielle Störfälle auszuforschen und Maßnahmen zur Eindämmung solcher Vorfälle zu präsentieren, welche für die Eingrenzung von Schäden an die Umwelt und an die Bevölkerung dienen. Der Betreiber muss daher, wenn technische und organisatorische Maßnahmen zur Eliminierung eines Eingriffs Unbefugter nicht ausreichen, prüfen, ob Sicherheitskontrollen in den sicherheitsrelevanten Bereichen durchgeführt werden müssen. Diese Sicherheitsüberprüfungen sind ein Beitrag, um die Gefahren eines internen Täters, welcher sich mit den sensiblen Daten beschäftigt, einzudämmen. Dieser Angestellte könnte beispielsweise Verbindungen zum islamistischen oder anderen extremistischen Milieu haben und ein Sicherheitsrisiko für den sicherheitsrelevanten Bereich darstellen. Der Betreibende hat die Aufgabe, eine Sicherheitskontrolle der Mitarbeiter klar zu formulieren und darf nicht willkürlich Mitarbeitende überprüfen. Eine derartige Kontrolle wird durch die Polizei und vom Verfassungsschutz ausgeführt.
Diskussion der Ergebnisse Diese vorliegende Projektarbeit versteht sich als eine Überblicksdarstellung der Maßnahmen für den Schutz vor Angriffen auf sicherheitsrelevante Betriebsbereiche und Anlagenteile durch Unbefugte. Deutlich wird, dass es sich hierbei um einen umfassenden Bereich handelt und es zusätzlich zu den technischen Maßnahmen, eine Einbeziehung von organisatorischen Maßnahmen, wie beispielswiese ein wirkungsvolles und zielfokussiertes Sicherheitsmanagement bedarf, das wiederum eine tragende Rolle zum Schutz vor Angriffen innehat. Erwähnt werden muss, dass dieses System eine ständige Anpassung benötigt und technische Maßnahmen kontinuierliche kontrolliert und adaptiert werden müssen.
Fazit Die Etablierung eines Schutzes vor Attacken von Unbefugten für sicherungsrelevante Anlagenteile und Betriebsbereiche ist komplex. Allgemein ist es wichtig, die im Leitfaden KAS-44 und KAS-51 vorgestellten Basismaßnahmen im Betrieb zu definieren und zu realisieren. Ebenso sind für Betriebsbereiche der oberen Klasse erweitere Schutzmaßnahmen notwendig und diese werden über eine Gefahren- und Bedrohungsanalyse erkannt. Zusätzlich zu den technischen Maßnahmen ist die Etablierung eines Sicherungsmanagementsystems von Relevanz, welches für die regelmäßige Kontrolle und Adaption der Effizienz der integrierten Schutzmaßnahmen benötigt wird. Ebenso ist der PDCA-Zyklus als Veränderungsmanagementsystem anzuführen.
Quellenverzeichnis
Bruder, Jürgen (o. J.): Schutz für industrielle Anlagen gemäß KAS-44: Wie Gefahren erkannt und Systeme effektiv vor Cyber-Angriffen geschützt werden können. | DIGITALE WELT | Das Wirtschaftsmagazin zur Digitalisierung. Online verfügbar unter: URL: https://digitaleweltmagazin.de/2019/09/09/schutz-fuer-industrielle-anlagen-gemaess-kas-44-wie-gefahren-erkannt-und-systeme-effektiv-vor-cyber-angriffen-geschuetzt-werden-koennen/ [11.04.2021] Erstellung von Bausteinen (o. J.): Online verfügbar unter: URL: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Drafts/Veroeffentlichungsworkflow/veroeffentlichungsworkflow.html?nn=128382 [11.04.2021] Mengenschwelle: 12. BimSchV (Störfallverordnung) (o. J.): Online verfügbar unter: URL: https://www.knauber-lng.de/mengenschwelle.html [11.04.2021] Schluss mit Cyberattacken: Top 10 Tipps für mehr IT-Sicherheit (o. J.): Online verfügbar unter: URL: https://www.gbs.com/de/ebook-schluss-mit-cyberattacken [11.04.2021] Titel: BSI – Lerneinheit 6.1: Anforderungen (o. J.): Online verfügbar unter: URL: https://www.google.com/imgres [11.04.2021]
Als Dankeschön für Ihre Bewertung pflanzen wir einen Baum in Ihrem Namen.hier klicken
CO2-Neutrale Website
Was noch?
🌳💚 Unsere Betriebsräume werden mit Öko-Strom versorgt, unser Bankkonto liegt bei der Umweltbank Triodos und unser Kaffee ist Fairtrade. Seit 2022 verzichten wir auf Papierrechnungen. Wir bemühen uns ständig, nachhaltiger und ressourcenschonender zu arbeiten.
