Weltweit steigt für Unternehmen das Risiko, Opfer von Cyberangriffen zu werden. Diese führen nicht nur zu einem materiellen, sondern auch zu einem Imageschaden. Mit einer Kraftanstrengung hat Siemens im Laufe der vergangenen Jahre die Datensicherheit im eigenen Unternehmen auf ein ganz neues Niveau gehoben – und mit seinem Cybersecurity Improvement Program (CSIP) Maßstäbe in punkto Cybersicherheit gesetzt.
Die Bedrohung durch Cyberattacken über das Internet ist heute so groß wie nie. Einer Studie der University of Maryland zufolge erfolgt auf der Welt im Durchschnitt alle 39 Sekunden ein Hackerangriff, also insgesamt 2.244 Mal am Tag. Meldungen, dass Unternehmen Opfer von großen Attacken wurden, gehören nahezu schon zum Alltag.
Als großem Hersteller von Steuerungstechnik für Industrieanlagen ist Siemens dieses Risiko sehr bewusst. Das Unternehmen versteht sich als fokussierter Technologiekonzern und Treiber der Digitalisierung. Neben der Steuerungstechnik gibt es hier eine ganze Reihe von Beispielen. Zumal das Unternehmen seine Technik nicht nur verkauft, sondern auch selber nutzt.
1986 wurde ein erstes kleines Team für Datensicherheit aufgestellt. Heute zählen zur Cybersecurity-Mannschaft bei Siemens rund 1300 Experten. Doch in einem großen Unternehmen wie Siemens mit vielen verschiedenen Abteilungen und Dependancen ist es eine Herausforderung, flächendeckend für eine adäquate Sicherheit zu sorgen. Auch mit Blick auf die zunehmenden Gefahren aus dem Internet, hat der damalige Leiter der IT-Revision Bernd Bauer deshalb vor einigen Jahren zusammen mit seinen Kollegen risikobasierend die riesige IT-Struktur und die Produkte in Audits selektiv getestet. „Wir haben uns gewissermaßen in die eigene Firma gehackt und dabei durchaus noch Schwachstellen entdeckt“, erzählt Bernd Bauer.
Das Team stellte beispielsweise fest, dass Mitarbeiter nach wie vor schwache Passwörter benutzten – ein potentielles Einfallstor für Angreifer. Das Problem: Hat ein Angreifer erst einmal Zugang zum IT-System, dann kann er sich darin problemlos ausbreiten, weitere Zugänge von Mitarbeitern ausspionieren und so in weitere Bereiche vordringen – Lateral Movement nennen Fachleute diese Hacking-Strategie. Das Team fand immer wiederkehrende Ursachen für verschiedene erfolgreiche Hacks. Bei Angriffen war jedoch nicht erkennbar, woher diese kamen. Die sogenannte Operationelle Technik (OT) in den Fabriken und Produktionsstandorten hinkte der Informationstechnik in Sachen Sicherheit und Stand der Technik hinterher. Zudem fehlte es an Transparenz, wer im Detail für technische Einrichtungen oder einzelne Server zuständig war – um im Falle eines Angriffs schnell reagieren zu können.
Siemens entschied daher, der Datensicherheit noch einmal einen Schub zu versetzen. So wurde CSIP aufgesetzt, das Cybersecurity Improvement Program. Bernd Bauer wechselte die Seiten. Statt wie bisher Schwachstellen zu suchen, übernahm er die Leitung des Programms – mit dem Ziel, die identifizierten Probleme siemensweit so gut es geht zu eliminieren. Der Umfang des dreijährigen Programms war beachtlich. Aufgeteilt auf insgesamt 39 verschiedene Projekte arbeiteten mehr als 700 Mitarbeiter an verschiedenen Aspekten. Das gemeinsame Ziel war es, bei der Cybersicherheit einen ganz neuen Reifegrad zu erreichen – dazu gehören sichere Cloudtechnologien, ein noch besserer Schutz von Einrichtungen und Anlagen vor Angriffen und allgemein ein besserer Überblick über die Sicherheitslage.
Drei Jahre später ist CSIP nun abgeschlossen. Und mit dem Programm ist es Siemens gelungen, nicht nur neue Cybersicherheit-Services aufzusetzen, sondern auch zahlreiche vermeintliche Lücken durch eine ganze Reihe an Maßnahmen zu schließen. Ein Beispiel: Passwörter. Hier wurde mit CSIP eine Schwarze Liste (Blacklist) aufgesetzt, die verhindert, dass Mitarbeiter einfache Passwörter wie Siemens123 benutzen. Sie gibt ebenfalls an, wie ein starkes Passwort auszusehen hat. Das macht schwache Passwörter fortan technisch unmöglich. Um zu verhindern, dass Mitarbeiter Software auf den eigenen Arbeitsplatzrechner aufspielen und so im Zweifelsfall unbeabsichtigt Schadsoftware gleich mit, wurden die Zugriffsrechte auf ein Minimum reduziert. Nur noch etwa ein Fünftel der Belegschaft hat jetzt Administratoren-Rechte.
Transparenz als Schlüssel zu mehr Sicherheit
Die Cybersicherheits-Experten haben zudem neue Detection-Agents installiert, die sehr schnell ungewöhnliche Vorgänge im System wahrnehmen – etwa Zugriffe auf bestimmte Speicherbereiche in Windows. Dank dieser Agents lässt sich ein Angriff heute bestenfalls innerhalb weniger Minuten identifizieren und abwehren. Eine Herausforderung für Bernd Bauer und seine Gruppe war auch, dass Siemens über rund 70.000 Datenserver verfügt, auf denen technische Informationen, Buchhaltungs- oder auch Kundendaten gespeichert sind. Für viele Server war früher nur schwer ersichtlich, zu welcher Abteilung sie gehörten, welchen Zweck sie erfüllten oder wer für sie zuständig war. Das machte es schwierig, bekannte Schwachstellen zu schließen, und „das wäre für den Fall eines Angriffs ein echtes Problem gewesen“, sagt Bernd Bauer, „weil wir Sicherheitsleute einen betroffenen Server dann nicht einfach hätten abschalten können. Wir hätten nicht genau gewusst, was dann hätte passieren können. Wir hätten schlimmstenfalls eine Produktionslinie lahmlegen können.“
Ziel von CSIP war es, bei der Cybersicherheit einen ganz neuen Reifegrad zu erreichen.
Daher gehörte zu CSIP vor allem auch, für Transparenz in der IT-Landschaft zu sorgen – für Asset Transparency. Heute wissen die Cybersicherheit-Experten viel besser, welcher Server welchem Geschäftsbereich untersteht und wer im Notfall zu kontaktieren ist. Bauers Team sorgt hier doppelt für Sicherheit: Es minimiert auch die sogenannte Schatten-IT, die oft direkt vom Geschäft und nicht von der IT-Organisation betrieben wird. Andernfalls können die zentralen Cybersecurity-Maßnahmen nicht greifen. Hierzu laufen bereits Projekte, die diese Lücke schließen werden.
Sicherheit in unseren Fabriken
Siemens verfügt über Dutzende von Produktionsstandorten, in denen Maschinen Teile für Kraftwerke, Komponenten für Computertomografen oder Elektromotoren fertigen. Solche Maschinenparks haben eine Lebensdauer von vielen Jahren und damit oftmals ältere Software-Versionen und IT-Infrastruktur.
Diese auszutauschen oder auch nur zu aktualisieren kann schwierig sein, wenn dafür die Produktion stoppen muss und Fertigungslinien stillstehen. „Diese sogenannte operationelle Technik – OT – hinkt deshalb oftmals den IT-Umgebungen hinterher und kann besonders anfällig für Hackerangriffe sein“, sagt Bernd Bauer. Die Methoden, die sich für IT bewährt haben, sollen nun auch in die OT-Umgeben übertragen werden. Deshalb hat sein Team zusammen mit den Geschäftsbereichen verschiedene Services entwickelt, um auch für die Fabriken ein hohes Schutzniveau zu erreichen. Dazu gehören Asset-Transparenz, das Erkennen und Beheben von Schwachstellen, sowie diverse Fähigkeiten, um Angriffe zu erkennen.
Führerschein für Mitarbeiter
Um das Bewusstsein der Siemens-Mitarbeiter für Cyberrisiken zu schärfen, werden sie jetzt mindestens einmal jährlich zu Schulungen verpflichtet. Je nach Rolle werden unterschiedliche Trainings mit angepasstem Tiefgang durchgeführt. Kollegen ohne Administratoren-Rechte wurden beispielsweise darin geschult, sichere Passwörter anzulegen und allgemein auf Cybergefahren zu achten. Administratoren erhalten ein intensiveres Training, beispielsweise zum Betrieb von Servern. Das Wissen wird anschließend auch mit einem Test abgeprüft „Die Kollegen erhalten damit einen Cybersecurity-Führerschein“, sagt Bernd Bauer. Darüber hinaus soll es künftig eine Art TÜV-Plakette für die IT-Infrastruktur geben, die den Sicherheitsstand widerspiegelt. Führungspersonen aus den verschiedenen Bereichen können die aktuelle Sicherheits-Situation künftig zudem über Dashboards abrufen. Damit haben sie stets einen Überblick, um gegebenenfalls Maßnahmen ergreifen zu können.
„Die Digitalisierung und die Cybersicherheit sind zwei Seiten derselben Medaille. Mit CSIP haben wir gezeigt, wie sich ein Technologie-Unternehmen diesen Risiken aus eigener Kraft stellen kann“, sagt Cedrik Neike, Vorstandsmitglied der Siemens AG. „Wir betreiben heute Cybersicherheits-Hygiene auf hohem Niveau und setzen damit einmal mehr Maßstäbe.“ Die immensen Vorteile der Digitalisierung lassen sich eben nur nutzen, wenn man ihre Risiken minimiert.
Abonnieren Sie unseren Newsletter
Bleiben Sie auf dem Laufenden: Alles was Sie über Elektrifizierung, Automatisierung und Digitalisierung wissen müssen.
