In drei Schritten zum Cyberschutz

Warum geraten kleine und mittelständische Unternehmen (KMU) immer wieder ins Visier von Hackern – und bemerken es erst, wenn es zu spät ist? Welches Risiko tragen die Mitarbeiter? Und: Wie profitieren Unternehmen, wenn sie mehr in ihren Schutz vor Eindringlingen aus dem Web investieren? Diese und weitere Fragen haben die ersten vier Beiträge der Serie „Cybersecurity in kleinen und mittleren Unternehmen“ beantwortet. Bleibt in diesem fünften und letzten Beitrag die wichtigste Frage: Was kann man tun? Wie schafft es ein Betrieb, sich mit begrenzten Ressourcen gegen die allermeisten Angriffe zu wappnen? „Mit einem ganzheitlichen Sicherheitskonzept“, empfiehlt Christian Haas, Referent im Lernlabor Cybersicherheit des Fraunhofer IOSB in Karlsruhe. Gute Cybersicherheit sei in KMUs oft ein Organisationsproblem: Unklare Zuständigkeiten, kein Knowhow zu Cybersicherheit in der Produktion, Priorität allein auf Stückzahlen, um nur einige zu nennen. Das IT-Sicherheitslabor möchte das ändern. Dort können Betriebe Hackerangriffe durchspielen und mit Hilfe der so gewonnenen Expertise die eigene Produktions-IT besser absichern. 

Doch das tun die wenigsten. Viele Unternehmen seien sich der Gefahren gar nicht bewusst, beklagt Ernst Esslinger. „Cybersicherheit in der Industrie ist wie ein Damoklesschwert.“ Esslinger ist Direktor für Methoden und Werkzeuge bei Homag, einem Hersteller von Holzbearbeitungsmaschinen in Schopfloch. Homag-Maschinen sind voll vernetzt, weil die Möbelindustrie das heute verlangt: Wenn Kunden online einen Kleiderschrank konfigurieren, werden automatisch die Produktionsdaten für die Maschinen erzeugt, die die Bretter sägen und Löcher bohren. Bei der Sicherheit gebe es noch Luft nach oben. Der Maschinenbau-Ingenieur war Koordinator im Forschungsprojekt IUNO, das Konzepte zur IT-Sicherheit für Industrie 4.0 untersucht hat und vom Bundesministerium für Bildung und Wirtschaft gefördert wurde. Auch Siemens war einer der Partner. IUNO hat Sicherheitslösungen für vier Anwendungsfälle entwickelt, allerdings werde das Thema Security derzeit kaum nachgefragt, so Esslinger. Die Ausreden sind bekannt: Die Betriebe glauben, dass sie nicht interessant seien für Hacker. Oder dass die Installation einer Firewall ausreiche. Und Updates für Maschinen mache man später, denn gerade jetzt könne man sich keinen Stillstand leisten. „Aber irgendwann kommt der große Knall“, warnt Esslinger.

Wie Fraunhofer-Forscher Christian Haas sieht auch Ernst Esslinger in den Betrieben weniger technische als vielmehr organisatorische Hürden sowie mangelndes Bewusstsein. Zu diesem Schluss ist auch die Charter of Trust gekommen, die Siemens mit internationalen Unternehmen und Forschungspartnern 2018 gestartet hat. Die Initiative hat einen Maßnahmenkatalog mit drei Phasen entwickelt, der genau dort ansetzt.

Cybersicherheit geht alle Mitarbeiter an – zuallererst das Management. Das zieht sich allzu gerne aus der Affäre, indem es die erforderlichen Maßnahmen an die IT-Abteilung delegiert. Stattdessen sollten Führungskräfte das Thema zur Chefsache erklären und Verantwortung übernehmen. Erste Maßnahme: eine Risikobewertung. Das höchste Risiko dürfte von den eigenen Mitarbeitern ausgehen. Laut Kaspersky, Anbieter von Security-Software, sind mehr als 80 Prozent aller Sicherheitsvorfälle auf menschliches Fehlverhalten zurückzuführen. Klassiker sind betrügerische Mails und simple Passwörter. Hier helfen nur regelmäßige Schulungen. „Die sind auch deshalb wichtig, damit ein Betrieb nachweisen kann, dass er im Sinne der Datenschutzgrundverordnung alle erforderlichen Maßnahmen ergriffen hat“, betont Markus Schließ, Fachanwalt für IT-Recht in Stuttgart. 

Die Bedrohungslage ist bekannt – nun geht es an konkrete organisatorische Maßnahmen. KMU sollten Datenschutz, Sicherheitsrichtlinien, physische Sicherheit, Datenintegrität und Zugangsverwaltung auf den Prüfstand stellen und optimieren sowie mit der Durchführung von Schulungsmaßnahmen beginnen. Diese Maßnahmen empfiehlt auch die Charter of Trust, die Siemens in seine AGBs für Lieferanten übernommen hat. Damit nicht genug: Gerade Unternehmen, die digitale und vernetzte Produkte und Dienstleistungen anbieten, müssen Cybersicherheit als Bestandteil dieser Produkte einbauen, Stichwort: Security by Design – von der Entwicklung über den Betrieb des Produkts bis zum Service. Eng verwandt damit ist Security by Default: Alle Schutzmaßnahmen sollen schon bei der Auslieferung in Kraft sein, etwa starke Passwörter statt des häufig noch üblichen „0000“. 

Tue Gutes und rede darüber. Diese Empfehlung gilt auch für Maßnahmen zur Cybersicherheit. Gemeint ist nicht bloß PR, sondern der Nachweis des eigenen Sicherheitsstatus über Zertifizierungen wie zum Beispiel IEC 62443 oder ISO 27001. Unternehmen, die als gutes Beispiel vorangehen, ermuntern andere, dies nachzuahmen. Das ist wichtig, weil Cyberangriffe weder an Unternehmens- noch an Landesgrenzen halt machen. Entsprechend sind Maßnahmen zur Cybersicherheit immer im Kontext zu sehen, etwa über Lieferketten hinweg oder zum Beispiel mit Dienstleistern, die später die Wartung für das Produkt übernehmen.

Hat ein Betrieb die drei Phasen durchlaufen, ist er gut vor Hackern geschützt – aber nicht für alle Zeiten. Denn Kriminelle denken sich immer neue fiese Angriffsmethoden aus. Cyberschutz ist daher kein Produkt, in das man einmal investiert und das man dann vergessen kann. Es ist vielmehr ein ständiger Prozess, der stete Aufmerksamkeit erfordert, der aber gerade deshalb umso nachhaltiger schützt.

Darin liegt auch eine Chance: Gute Cybersicherheit ist die Basis für Veränderung und neue digitale Geschäftsmodelle. In der Möbelbranche gibt es die schon, siehe die Online-Konfiguration individueller Möbel. Doch viele andere Branchen stünden erst am Anfang, meint Ernst Esslinger von Homag. Und das müsse sich seiner Meinung bald ändern: „Um den Anschluss an die vielen Möglichkeiten der digitalen Welt nicht zu verlieren, kann ich nur eines empfehlen: mehr tun für die Cybersicherheit.“

Wenn Sie wissen möchten, für welche Cyberrisiken kleine und mittelständische Unternehmen anfällig sind und was Sie dagegen tun können – auch mit Hilfe von Siemens –, klicken Sie hier.