In drei Schritten zum Cyberschutz

Cybersicherheit bei Siemens

Betrifft mich nicht, ging doch bisher auch ohne und gerade jetzt ist ein ganz schlechter Zeitpunkt für das Software-Update: Viele kleine und mittelständische Betriebe nehmen die Abwehr von Hackern auf die leichte Schulter. Dabei ist ein guter Schutz überlebenswichtig – und dabei gar nicht unerreichbar. Die Charter of Trust hat einen Drei-Stufen-Plan entwickelt. 

SPS Dialogue

Nehmen Sie am 26. November an der Podiumsdiskussion im Rahmen des @SPS Dialogs teil und tauschen Sie sich direkt mit den Experten aus.

13:25 - 13:45 Uhr CET (20 Minuten)

Podiumsdiskussion: Die Bedeutung von Cybersicherheit für kleine und mittlere Unternehmen

Cybersicherheit stellt für alle Unternehmen eine reale Bedrohung dar, nicht nur für große. Tatsächlich werden kleine und mittlere Unternehmen (KMUs) zunehmend als „leichte“ Ziele gesehen, da sie nicht über die Ressourcen und die Expertise verfügen, auf die große Unternehmen zu ihrem Schutz zurückgreifen können. Wir erklären, wie KMUs in drei Schritten ihre Cybersicherheit verbessern können. Für weitere Informationen, kostenlose Registrierung und Termine besuchen Sie uns auf siemens.com/sps-dialog

Warum geraten kleine und mittelständische Unternehmen (KMU) immer wieder ins Visier von Hackern – und bemerken es erst, wenn es zu spät ist? Welches Risiko tragen die Mitarbeiter? Und: Wie profitieren Unternehmen, wenn sie mehr in ihren Schutz vor Eindringlingen aus dem Web investieren? Diese und weitere Fragen haben die ersten vier Beiträge der Serie „Cybersecurity in kleinen und mittleren Unternehmen“ beantwortet. Bleibt in diesem fünften und letzten Beitrag die wichtigste Frage: Was kann man tun? Wie schafft es ein Betrieb, sich mit begrenzten Ressourcen gegen die allermeisten Angriffe zu wappnen? „Mit einem ganzheitlichen Sicherheitskonzept“, empfiehlt Christian Haas, Referent im Lernlabor Cybersicherheit des Fraunhofer IOSB in Karlsruhe. Gute Cybersicherheit sei in KMUs oft ein Organisationsproblem: Unklare Zuständigkeiten, kein Knowhow zu Cybersicherheit in der Produktion, Priorität allein auf Stückzahlen, um nur einige zu nennen. Das IT-Sicherheitslabor möchte das ändern. Dort können Betriebe Hackerangriffe durchspielen und mit Hilfe der so gewonnenen Expertise die eigene Produktions-IT besser absichern. 

Bis zum großen Knall

Doch das tun die wenigsten. Viele Unternehmen seien sich der Gefahren gar nicht bewusst, beklagt Ernst Esslinger. „Cybersicherheit in der Industrie ist wie ein Damoklesschwert.“ Esslinger ist Direktor für Methoden und Werkzeuge bei Homag, einem Hersteller von Holzbearbeitungsmaschinen in Schopfloch. Homag-Maschinen sind voll vernetzt, weil die Möbelindustrie das heute verlangt: Wenn Kunden online einen Kleiderschrank konfigurieren, werden automatisch die Produktionsdaten für die Maschinen erzeugt, die die Bretter sägen und Löcher bohren. Bei der Sicherheit gebe es noch Luft nach oben. Der Maschinenbau-Ingenieur war Koordinator im Forschungsprojekt IUNO, das Konzepte zur IT-Sicherheit für Industrie 4.0 untersucht hat und vom Bundesministerium für Bildung und Wirtschaft gefördert wurde. Auch Siemens war einer der Partner. IUNO hat Sicherheitslösungen für vier Anwendungsfälle entwickelt, allerdings werde das Thema Security derzeit kaum nachgefragt, so Esslinger. Die Ausreden sind bekannt: Die Betriebe glauben, dass sie nicht interessant seien für Hacker. Oder dass die Installation einer Firewall ausreiche. Und Updates für Maschinen mache man später, denn gerade jetzt könne man sich keinen Stillstand leisten. „Aber irgendwann kommt der große Knall“, warnt Esslinger.

 

Wie Fraunhofer-Forscher Christian Haas sieht auch Ernst Esslinger in den Betrieben weniger technische als vielmehr organisatorische Hürden sowie mangelndes Bewusstsein. Zu diesem Schluss ist auch die Charter of Trust gekommen, die Siemens mit internationalen Unternehmen und Forschungspartnern 2018 gestartet hat. Die Initiative hat einen Maßnahmenkatalog mit drei Phasen entwickelt, der genau dort ansetzt.

Phase I: Eine Kultur für Cybersicherheit etablieren

Cybersicherheit geht alle Mitarbeiter an – zuallererst das Management. Das zieht sich allzu gerne aus der Affäre, indem es die erforderlichen Maßnahmen an die IT-Abteilung delegiert. Stattdessen sollten Führungskräfte das Thema zur Chefsache erklären und Verantwortung übernehmen. Erste Maßnahme: eine Risikobewertung. Das höchste Risiko dürfte von den eigenen Mitarbeitern ausgehen. Laut Kaspersky, Anbieter von Security-Software, sind mehr als 80 Prozent aller Sicherheitsvorfälle auf menschliches Fehlverhalten zurückzuführen. Klassiker sind betrügerische Mails und simple Passwörter. Hier helfen nur regelmäßige Schulungen. „Die sind auch deshalb wichtig, damit ein Betrieb nachweisen kann, dass er im Sinne der Datenschutzgrundverordnung alle erforderlichen Maßnahmen ergriffen hat“, betont Markus Schließ, Fachanwalt für IT-Recht in Stuttgart. 

Phase II: Maßnahmen ergreifen und verankern

Die Bedrohungslage ist bekannt – nun geht es an konkrete organisatorische Maßnahmen. KMU sollten Datenschutz, Sicherheitsrichtlinien, physische Sicherheit, Datenintegrität und Zugangsverwaltung auf den Prüfstand stellen und optimieren sowie mit der Durchführung von Schulungsmaßnahmen beginnen. Diese Maßnahmen empfiehlt auch die Charter of Trust, die Siemens in seine AGBs für Lieferanten übernommen hat. Damit nicht genug: Gerade Unternehmen, die digitale und vernetzte Produkte und Dienstleistungen anbieten, müssen Cybersicherheit als Bestandteil dieser Produkte einbauen, Stichwort: Security by Design – von der Entwicklung über den Betrieb des Produkts bis zum Service. Eng verwandt damit ist Security by Default: Alle Schutzmaßnahmen sollen schon bei der Auslieferung in Kraft sein, etwa starke Passwörter statt des häufig noch üblichen „0000“. 

Cyberschutz ist kein Produkt, in das man einmal investiert und das man dann vergessen kann. Es ist vielmehr ein ständiger Prozess.

Phase III: Maßnahmen kommunizieren und Vorbild sein

Tue Gutes und rede darüber. Diese Empfehlung gilt auch für Maßnahmen zur Cybersicherheit. Gemeint ist nicht bloß PR, sondern der Nachweis des eigenen Sicherheitsstatus über Zertifizierungen wie zum Beispiel IEC 62443 oder ISO 27001. Unternehmen, die als gutes Beispiel vorangehen, ermuntern andere, dies nachzuahmen. Das ist wichtig, weil Cyberangriffe weder an Unternehmens- noch an Landesgrenzen halt machen. Entsprechend sind Maßnahmen zur Cybersicherheit immer im Kontext zu sehen, etwa über Lieferketten hinweg oder zum Beispiel mit Dienstleistern, die später die Wartung für das Produkt übernehmen.

 

Hat ein Betrieb die drei Phasen durchlaufen, ist er gut vor Hackern geschützt – aber nicht für alle Zeiten. Denn Kriminelle denken sich immer neue fiese Angriffsmethoden aus. Cyberschutz ist daher kein Produkt, in das man einmal investiert und das man dann vergessen kann. Es ist vielmehr ein ständiger Prozess, der stete Aufmerksamkeit erfordert, der aber gerade deshalb umso nachhaltiger schützt.

 

Darin liegt auch eine Chance: Gute Cybersicherheit ist die Basis für Veränderung und neue digitale Geschäftsmodelle. In der Möbelbranche gibt es die schon, siehe die Online-Konfiguration individueller Möbel. Doch viele andere Branchen stünden erst am Anfang, meint Ernst Esslinger von Homag. Und das müsse sich seiner Meinung bald ändern: „Um den Anschluss an die vielen Möglichkeiten der digitalen Welt nicht zu verlieren, kann ich nur eines empfehlen: mehr tun für die Cybersicherheit.“

 

Wenn Sie wissen möchten, für welche Cyberrisiken kleine und mittelständische Unternehmen anfällig sind und was Sie dagegen tun können – auch mit Hilfe von Siemens –, klicken Sie hier.

 

Was kleine und mittlere Unternehmen tun können, um sich vor Cyberrisiken zu schützen, erklärt unsere Reihe mit fünf Beiträgen. Die Reihe geht der Frage nach, warum kleinere Unternehmen häufiger von Angriffen betroffen sind und welche Rolle die Mitarbeiter spielen. Und die Beiträge geben Tipps, wie sich Betriebe mit überschaubarem Aufwand vor Angriffen schützen und dies als Teil ihrer Geschäftsstrategie nutzen können – etwa mit konkreter Hilfe von Siemens. Sobald ein neuer Artikel im 2-Wochen-Turnus erscheint, wird er auch in diesem Beitrag verlinkt.

 

Teil 1: Luft nach oben

Teil 2: Die Früchte hängen zu tief

Teil 3: Schwachstelle Mensch?

Teil 4: Digitalisieren - aber sicher