Wie Kritis-Unternehmen sich für Cyberangriffe rüsten können

"Das wesentliche ist, dass wir nicht nur betriebswirtschaftlich, sondern volkswirtschaftlich denken", fasst Marius Feldmann, COO des Cloudproviders Cloud & Heat Technologies, die Ergebnisse der Gesprächsrunde zur Cybersicherheit in Unternehmen kritischer Infrastruktur (Kritis) zusammen: "Und dass wir die Herausforderungen langfristig angehen. Die Bedrohungen sind nicht akut, sie sind andauernd."

Vorangegangen war eine rund einstündige Diskussion von Kritis-Vertretern, Hard- und Softwareanbietern sowie IT-Dienstleistern über die Herausforderungen, denen sich Unternehmen in Deutschland im allgemeinen und Kritis-Unternehmen insbesondere angesichts der Digitalisierung und der Bedrohung durch Cyberangriffe stellen müssen. Moderiert wurde die Runde durch Holger Berens, Vorstandsvorsitzender des Bundesverbands für den Schutz Kritischer Infrastrukturen (BSKI). 

Tatsächlich seien in vielen Unternehmen die veralteten oder ganz fehlenden Sicherheitssysteme ein großes Problem. Verbunden mit dem Digitalisierungsdruck und der zunehmenden Vernetzung der Anlagen entstehe hier eine kritische Situation, sagte Feldmann. Dabei sei es wichtig, sich darüber im Klaren zu sein, dass es hundertprozentige Sicherheit nicht geben kann, ergänzte Sönke Pingel, Full Kritis Service der EnBW. Was man aber tun könne und müsse, sei Prozesse zur Detektion und Reaktion sowohl im Bereich der IT als auch der OT zu etablieren, zu planen und angemessene Modelle zu entwickeln. 

Cyberlagen durchspielen, Abläufe standardisieren

Auch für Kritis-Anbieter sei es dabei durchaus legitim, auf externe Anbieter und auf Cloud-Lösungen zurückzugreifen. In vielen Fällen seien Cloud-Dienste dabei sogar besser gesichert als lokale Lösungen. Wobei man sich immer bewusst sein müsse, so Clouddienstleister Feldmann, dass Integrationsprozesse aufwändig und kostenintensiv, ein Wechsel des Betreibers mithin schwierig sei. Die Entscheidung für einen IT-Partner oder einen Cloud-Anbieter müsse daher immer langfristig gedacht werden. Und: gerade weil in Kritis-Unternehmen viele technisch herausfordernde Schnittstellen zu managen seien, für die Fachkenntnis benötigt werde, sei Kompetenz im eigenen Haus auch dann noch wichtig, wenn man mit externen Dienstleistern zusammenarbeitet. 

Dabei gelte für die gesamte Lieferkette wie auch für jeden einzelnen Mitarbeiter, dass sich jeder jederzeit der Risiken bewusst und dafür geschult sein müsse, angemessen zu reagieren. Das sei essenziell, so Sönke Pingel: Kommunikationswege üben, Cyber-Lagen durchspielen, Abläufe standardisieren: Nur so könne man im Ernstfall angemessen reagieren. 

Die gesamte Infrastruktur müsse immer wieder auf den Prüfstand, sagte Roland Goll, Leiter Technical Sales der Infrastructure Solutions Group (ISG) bei Lenovo Deutschland. "Ich muss mir alles anschauen: Wie gehe ich mit Informationen um, mit Phishing-Mails, wie erkenne ich Angriffe? Dann kommt der Security-Check. Was hindert mich daran, mir Profis zu holen, die versuchen, auf meine Systeme zu kommen? So erkennt man die blinden Flecken."

Auch Backup und Recovery seien Themen, die momentan bei vielen Unternehmen eine sehr große Rolle spielte, Hier müsse man Lösungen finden, dass alle Daten jederzeit aktuell und sicher sind und problemlos wieder zur Verfügung stehen können.

Katz- und Maus-Spiel

Diskussionen gab es in der Runde darüber, welche Rolle der "Faktor Mensch" als potenzielle Fehlerquelle im Entwicklungs- und Konfigurationsprozess spielt. Kai Martius, CTO derSsecunet Security Networks GmbH, plädierte für weitestgehende Standardisierung und Automatisierung der Prozesse. Feldmann hingegen mahnte zur Differenzierung. Im Bereich der Lösungsfindung werde man immer Menschen brauchen, in der Anwendung aber gebe es tatsächlich noch sehr viel Potenzial, die Sicherheit durch Automatisierung zu erhöhen. 

Der gesetzliche Rahmen, so Markus Holzbrecher-Morys, der als Geschäftsführer IT der Deutschen Krankenhausgesellschaft die Kritis-Unternehmen repräsentierte, sei grundsätzlich schon jetzt ausreichend, die Umsetzung an vielen Stellen aber noch schwierig. Sich mit guten Konzepten und guten Partnern gut aufzustellen und anhaltende Prozesse zu entwickeln, das sei die Herausforderung der Zukunft: "Letztlich ist es ein Katz- und Maus-Spiel, bei dem es darauf hinausläuft, Schwachstellen selber zu finden, bevor die anderen sie entdecken."