Über die eigene Security spricht man nicht gerne. Schon gar nicht, wenn die von einem Incident gebeutelt wurde. Für die Angreifer dagegen ist es ein Geschäftsmodell, Angriffspunkte in kriminellen Netzwerken transparent zu machen. Sind übergreifende Kommunikation und Vernetzung also der zentrale Schlüssel, um hier dagegen halten zu können?
Zwischen Unternehmen und Organisationen, aber genauso zwischen IT und OT?
Dazu baten wir gemeinsam mit unserem Co-Host T-Systems eine Reihe hochkarätiger Digital Executives zum Erfahrungs- und Gedankenaustausch im Video Panel:
Alexander Aldrian (KNAPP AG), Michael Böhm (T-Systems), Christopher Ehmsen (T-Systems), Manfred Ofner (Prinzhorn Holding), Christoph Schacher (Wienerberger AG), Thomas Strieder (ANDRITZ AG), Alexander Wörndl-Aichriedler (PALFINGER Group), Thomas Zapf (VERBUND) und Martin Zwettler (RHI Magnesita).
Den Startimpuls für die Diskussion in Form von aktuellen Trends, Facts und – leicht provokanten – Fragestellungen lieferte Christopher Ehmsen, Cyber-Security-Experte unseres Co-Hosts T-Systems Alpine. Moderiert wurde die Diskussion von Michael Dvorak, Herausgeber DIGBIZ LEADER Media & CIO GUIDE/CDO GUIDE.
„Ich bin davon überzeugt, dass Security nicht bremst oder trennt, sondern im Gegenteil auf allen Ebenen – Menschen, Prozesse und Technologie – zu einem verbindenden Element wird.“
„Ich bin davon überzeugt, dass Security nicht bremst oder trennt, sondern im Gegenteil auf allen Ebenen – Menschen, Prozesse und Technologie – zu einem verbindenden Element wird.“
„IT und Informationssicherheit sind Themen, die jeden betreffen und zentral gesteuert werden müssen. Deshalb verfolgen wir hier den Weg der Transparenz und haben ein zentrales ISMS, ein Informationssicherheitsmanagementsystem, aufgebaut, sowie ein übergreifendes Security Board. IT- und OT-Security Themen werden in diesem Board übergreifend geklärt.
Das ist umso wichtiger, wenn ein Unternehmen – so wie die KNAPP Gruppe in den letzten Jahren sehr rasch auf über 40 Tochterunternehmen an über 50 Standorten – gewachsen ist. Bei M&As ist die Erwartungshaltung an die IT die sichere und schnelle Integration von neuen Tochterunternehmen und Standorten in die IT und Prozesslandschaft. Um diese zu ermöglichen, bedarf es detaillierter Analysen, Zeit, Verständnis und guter Kommunikation. Da ist es besonders wichtig ist, dass die IT möglichst früh in den Prozess der Akquisition und Integration eingebunden wird.“
Schliessen„Ich kenne nur wenige Unternehmen, die noch nicht Opfer eines Cyber Incidents waren.“
„Ich kenne nur wenige Unternehmen, die noch nicht Opfer eines Cyber Incidents waren.“
„Auch wenn jetzt Betroffene damit in die Öffentlichkeit gehen, ist es noch immer ein Tabuthema, sich dazu zu bekennen. Zugleich beobachten wir verstärkt wie in Cyber-kriminellen Netzwerken im Darknet dagegen recht offen kommuniziert wird … und zum Beispiel mit potenziellen Angriffspunkten wie Admin-Passwörtern gehandelt und Geld verdient wird. Um solche Bedrohungen möglichst frühzeitig zu erkennen, gilt es auch selbst übergreifend zu kommunizieren. Wir selbst partizipieren zum Beispiel am intensiven Informationsaustausch der deutschen Telekom mit dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik.
Die Bereiche der IT und der OT sind durch die Digitalisierung viel durchgängiger geworden, die Abhängigkeiten viel deutlicher. Auf der Infrastrukturebene, auf der Software- und Applikationsebene und genauso auf der User-Ebene. Für die Security gilt das besonders. Dementsprechend sinnvoll und wichtig ist es, die Verantwortlichkeiten übergreifend an einer Stelle zu bündeln.“
Schliessen„Die Digitalisierung macht es letztlich einfach unmöglich, die Bereiche IT und OT getrennt zu halten.“
„Die Digitalisierung macht es letztlich einfach unmöglich, die Bereiche IT und OT getrennt zu halten.“
„Verantwortliche mit IT-Erfahrung tun sich in der Regel wesentlich einfacher, mit diesem Umstand umzugehen und etwa zu erkennen, ob eine Technologie und eine Lösung auch sinnvoll für einen Anwendungsfall in der Produktion eingesetzt werden können. Nicht zuletzt durch die Pandemie haben viele Ansätze, die man in der IT schon gewohnt ist, auch verstärkt in der OT Einzug gehalten, beispielsweise haben die Fernwartungszugriffe auf der Produktionsseite stark zugenommen.
In der OT ist dieses Zusammenwachsen noch eine größere Herausforderung – für die meisten Produktionsverantwortlichen hat die Verfügbarkeit oberste Priorität: Die Maschinen können nicht abgedreht werden. Das steht natürlich im Widerspruch zur IT-Welt und zur IT Security. Hier gibt es in nächster Zeit noch einiges an Kommunikations- und Definitionsbedarf: Wie weit recht der Auftrag aus IT-Security-Sicht? Bis zur Wiederherstellung von Systemen? Bis in die Produktion hinein? Über die Produktion hinaus?“
Schliessen„Derzeit agiert jedes Unternehmen letztlich zumeist auf sich alleine gestellt. Man tut sich in der Regel schwer, Informationen über die Maßnahmen, Strategien und Erfahrungen anderer zu bekommen.“
„Derzeit agiert jedes Unternehmen letztlich zumeist auf sich alleine gestellt. Man tut sich in der Regel schwer, Informationen über die Maßnahmen, Strategien und Erfahrungen anderer zu bekommen.“
„Unter den Produktionsbetrieben gibt es keine formelle Plattform für einen Austausch zum Thema Security. Aus meiner Sicht wäre aber solch ein branchenübergreifender Gedankenaustausch in der CIO- und CISO-Community der Lösungsansatz, den es jetzt braucht – viele Angriffsvektoren funktionieren ja branchenunabhängig. Darauf zu warten, dass durch öffentlich gemachte Security Events mit der Zeit ein Austausch als Evolutionsprozess entsteht, dauert viel zu lange. Umso mehr, weil uns die Angreifer immer ein Stück voraus sind und Ihre Strategien in hohem Tempo weiterentwickeln.
IT und OT rücken beim Thema Security zwangsläufig näher zusammen, weil die IT-Applikationen immer mehr in andere Bereiche eingreifen. Das Risikobewusstsein wird allerdings in erster Linie von der IT-Seite forciert, in der OT ist es noch nicht ganz so hoch ausgeprägt … auch, weil die Angriffsvektoren mehrheitlich noch eher auf die kaufmännische IT abzielen. Hier ist noch einiges zu tun.“
Schliessen„Ich würde mir wünschen, dass mehr betroffene Unternehmen an die Öffentlichkeit gehen, um damit das Thema aus der Tabuzone herausholen.“
„Ich würde mir wünschen, dass mehr betroffene Unternehmen an die Öffentlichkeit gehen, um damit das Thema aus der Tabuzone herausholen.“
„Die Dunkelziffer bei Ransomware-Angriffsopfern ist nach wie vor sehr hoch, weil das Ganze noch immer ein Tabuthema ist. Es ist ja auch verständlich, dass es niemanden freut, darüber zu sprechen, dass man zum Opfer wurde. Aber es ist keine Schande – auch noch so gute Präventions- und Schutzmaßnahmen werden langfristig nicht sämtliche Angriffe zu 100 Prozent abwehren können. Deshalb muss man auf Incidents und Events professionell vorbereitet sein – dafür ist gute Kommunikation und Transparenz extrem wichtig. Nur was man kennt, kann man managen.
Wenn man so wie wir über 200 Produktionsstandorte hat, ist die Abstimmung zwischen OT und IT natürlich ein großes Security-Thema. Hier ist es besonders wichtig, den Risk Owner, also den eigentlichen Trägern des Risikos, zu identifizieren und das Risiko an der richtigen Stelle aufzuhängen. Aber auch dann ist die Argumentation in Sachen Security trotzdem manchmal sehr harte Arbeit.“
Schliessen„Die Liste an potenziellen Angriffsvektoren und Themen, um die man sich kümmern müsste, wird immer länger. Aber was fängt man nun damit an?“
„Die Liste an potenziellen Angriffsvektoren und Themen, um die man sich kümmern müsste, wird immer länger. Aber was fängt man nun damit an?“
„Intelligentes Vulnerability Management und damit auch übergreifende Kommunikation werden immer entscheidender. Die eigene Organisation kann nämlich oft gar nicht so aufgestellt werden, um die relevante Information aus automatisiert generierten Reports herauszufiltern. Deshalb wird es immer wichtiger, gemeinsam mit den MSSP, den Managed Security Service Providern, laufend eine Priorisierung vorzunehmen, und zwar im jeweiligen Industrie-Kontext. Das erfordert Cyber-Intelligence-Ressourcen, die wir bewusst ausgelagert haben.
Eine wichtige Erkenntnis ist: Bei all den Alarmplänen und Icident-Response-Plänen, die man auch regelmäßig testet, konzentriert man sich zumeist nur auf einen Ausschnitt und vor allem auf die kritischen Abläufe in der eigenen Organisation. Wir versuchen deshalb hier mit globalen Table Top Exercises eine möglichst umfassende und übergreifende Gesamtsicht zu bekommen.“
Schliessen„Lange galt der Grundsatz, Sicherheitsvorfälle keinesfalls zu erwähnen. Heute halte ich es für wichtig, als Unternehmen dazu transparent zu kommunizieren.“
„Lange galt der Grundsatz, Sicherheitsvorfälle keinesfalls zu erwähnen. Heute halte ich es für wichtig, als Unternehmen dazu transparent zu kommunizieren.“
„So lässt sich verhindern, dass andere in dieselbe Falle tappen. Wir können voneinander aus Fehlern lernen und aus den Erfahrungen anderer klug und besser werden. Scham ist der beste Bündnispartner für Cyber-Kriminelle. Das bedeutet allerdings, dass man diesen Weg konsequent verfolgen muss. Und das verlangt während des gesamten Prozesses nach transparenter Kommunikation. Nach außen genauso wie nach innen.
Wenn man, so wie PALFINGER in den letzten eineinhalb Jahrzehnten deutlich gewachsen ist und rund 11.000 MitarbeiterInnen an rund 100 Standorten weltweit hat und zugleich Daten Teil des Geschäftsmodells sind, bedeutet das für ICT und Cyber Security massive Herausforderungen. Es ist an der zentralen IT, diese Risiken aufzuzeigen und klar zu benennen. Der Umstand, dass die Zahl der – öffentlich bekanntgewordenen – Cyberangriffe rasant steigt, bewirkt hier schon ein Umdenken: Die Bereitschaft, substanziell mehr in die Security zu investieren, wächst.“
Schliessen„Die offiziellen Zahlen und Einschätzungen, die man oft liest und hört, kommen aus meiner Sicht in erster Linie von den Beratern.“
„Die offiziellen Zahlen und Einschätzungen, die man oft liest und hört, kommen aus meiner Sicht in erster Linie von den Beratern.“
„Umso wichtiger ist es, den offenen Erfahrungsaustausch der Unternehmen und Security-Verantwortlichen miteinander zu forcieren. In der Energiewirtschaft haben wir den Vorteil, dass es hier ein eigenes CERT gibt, das ein Lagebild liefert. Und im Energiesektor ist auch der Austausch unter den CISOs stärker ausgeprägt.
Das Zusammenwachsen von IT und OT ist eine Vertrauenssache, die nicht von heute auf morgen passieren kann. Es ist aber auf jeden Fall notwendig. Aber nur von der IT-Seite her und mit der IT-Sicht Verantwortung zu übernehmen, wird nicht funktionieren, weil die Entscheidungsfaktoren in der OT-Welt andere sind und man dort anderes Know-how benötigt. Wir haben die Verantwortung für das Thema Security so organisiert, dass es aus unserem Bereich zentral gesteuert wird und dadurch eine einheitliche Ausrichtung definiert ist, dass die Fachverantwortung aber schon in der Leittechnik bei der OT liegt. Das funktioniert bislang sehr gut.“
Schliessen„Aus meiner Sicht führt kein Weg daran vorbei, dass sich Information Security auch um die OT-Themen kümmern muss.“
„Aus meiner Sicht führt kein Weg daran vorbei, dass sich Information Security auch um die OT-Themen kümmern muss.“
„Was wäre denn die Alternative? Wer würde es sonst machen? Aber das ist nichts, was man von heute auf morgen umstellen kann – das ist ein weiter Weg mit vielen Herausforderungen.Besonders aus der Sicht der IT-Infrastruktur ist das technologische Zusammenwachsen von IT und OT eine große Herausforderung, weil es hier bei Themen wie Information Security, Cloud-Anbindung und weitere Vernetzung der verschiedenen Services dicke rote Linien gibt. Und es ist damit zu rechnen, dass auf die IT jetzt stark wachsende OT-Anforderungen zukommen, die sowohl quantitativ als auch qualitativ um vieles höher sein werden als bisher.
Für uns liegt der Benefit eines SOC nicht allein in frühzeitigen Alerts, sondern darüber hinaus generiert sich auch ein großer Mehrwert über die strukturierte Definition der entsprechenden Use Cases und über das Zusammenführen von InfoSec und IT Operations.“
Schliessen