SECURITY: EINE SACHE DER KOMMUNIKATION

„IT und Informationssicherheit sind Themen, die jeden betreffen und zentral gesteuert werden müssen. Deshalb verfolgen wir hier den Weg der Transparenz und haben ein zentrales ISMS, ein Informationssicherheitsmanagementsystem, aufgebaut, sowie ein übergreifendes Security Board. IT- und OT-Security Themen werden in diesem Board übergreifend geklärt.

Das ist umso wichtiger, wenn ein Unternehmen – so wie die KNAPP Gruppe in den letzten Jahren sehr rasch auf über 40 Tochterunternehmen an über 50 Standorten – gewachsen ist. Bei M&As ist die Erwartungshaltung an die IT die sichere und schnelle Integration von neuen Tochterunternehmen und Standorten in die IT und Prozesslandschaft. Um diese zu ermöglichen, bedarf es detaillierter Analysen, Zeit, Verständnis und guter Kommunikation. Da ist es besonders wichtig ist, dass die IT möglichst früh in den Prozess der Akquisition und Integration eingebunden wird.“

„Auch wenn jetzt Betroffene damit in die Öffentlichkeit gehen, ist es noch immer ein Tabuthema, sich dazu zu bekennen. Zugleich beobachten wir verstärkt wie in Cyber-kriminellen Netzwerken im Darknet dagegen recht offen kommuniziert wird … und zum Beispiel mit potenziellen Angriffspunkten wie Admin-Passwörtern gehandelt und Geld verdient wird. Um solche Bedrohungen möglichst frühzeitig zu erkennen, gilt es auch selbst übergreifend zu kommunizieren. Wir selbst partizipieren zum Beispiel am intensiven Informationsaustausch der deutschen Telekom mit dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik.

Die Bereiche der IT und der OT sind durch die Digitalisierung viel durchgängiger geworden, die Abhängigkeiten viel deutlicher. Auf der Infrastrukturebene, auf der Software- und Applikationsebene und genauso auf der User-Ebene. Für die Security gilt das besonders. Dementsprechend sinnvoll und wichtig ist es, die Verantwortlichkeiten übergreifend an einer Stelle zu bündeln.“

„Verantwortliche mit IT-Erfahrung tun sich in der Regel wesentlich einfacher, mit diesem Umstand umzugehen und etwa zu erkennen, ob eine Technologie und eine Lösung auch sinnvoll für einen Anwendungsfall in der Produktion eingesetzt werden können. Nicht zuletzt durch die Pandemie haben viele Ansätze, die man in der IT schon gewohnt ist, auch verstärkt in der OT Einzug gehalten, beispielsweise haben die Fernwartungszugriffe auf der Produktionsseite stark zugenommen.

In der OT ist dieses Zusammenwachsen noch eine größere Herausforderung – für die meisten Produktionsverantwortlichen hat die Verfügbarkeit oberste Priorität: Die Maschinen können nicht abgedreht werden. Das steht natürlich im Widerspruch zur IT-Welt und zur IT Security. Hier gibt es in nächster Zeit noch einiges an Kommunikations- und Definitionsbedarf: Wie weit recht der Auftrag aus IT-Security-Sicht? Bis zur Wiederherstellung von Systemen? Bis in die Produktion hinein? Über die Produktion hinaus?“

„Unter den Produktionsbetrieben gibt es keine formelle Plattform für einen Austausch zum Thema Security. Aus meiner Sicht wäre aber solch ein branchenübergreifender Gedankenaustausch in der CIO- und CISO-Community der Lösungsansatz, den es jetzt braucht – viele Angriffsvektoren funktionieren ja branchenunabhängig. Darauf zu warten, dass durch öffentlich gemachte Security Events mit der Zeit ein Austausch als Evolutionsprozess entsteht, dauert viel zu lange. Umso mehr, weil uns die Angreifer immer ein Stück voraus sind und Ihre Strategien in hohem Tempo weiterentwickeln.

IT und OT rücken beim Thema Security zwangsläufig näher zusammen, weil die IT-Applikationen immer mehr in andere Bereiche eingreifen. Das Risikobewusstsein wird allerdings in erster Linie von der IT-Seite forciert, in der OT ist es noch nicht ganz so hoch ausgeprägt … auch, weil die Angriffsvektoren mehrheitlich noch eher auf die kaufmännische IT abzielen. Hier ist noch einiges zu tun.“

„Die Dunkelziffer bei Ransomware-Angriffsopfern ist nach wie vor sehr hoch, weil das Ganze noch immer ein Tabuthema ist. Es ist ja auch verständlich, dass es niemanden freut, darüber zu sprechen, dass man zum Opfer wurde. Aber es ist keine Schande – auch noch so gute Präventions- und Schutzmaßnahmen werden langfristig nicht sämtliche Angriffe zu 100 Prozent abwehren können. Deshalb muss man auf Incidents und Events professionell vorbereitet sein – dafür ist gute Kommunikation und Transparenz extrem wichtig. Nur was man kennt, kann man managen.

Wenn man so wie wir über 200 Produktionsstandorte hat, ist die Abstimmung zwischen OT und IT natürlich ein großes Security-Thema. Hier ist es besonders wichtig, den Risk Owner, also den eigentlichen Trägern des Risikos, zu identifizieren und das Risiko an der richtigen Stelle aufzuhängen. Aber auch dann ist die Argumentation in Sachen Security trotzdem manchmal sehr harte Arbeit.“

„Intelligentes Vulnerability Management und damit auch übergreifende Kommunikation werden immer entscheidender. Die eigene Organisation kann nämlich oft gar nicht so aufgestellt werden, um die relevante Information aus automatisiert generierten Reports herauszufiltern. Deshalb wird es immer wichtiger, gemeinsam mit den MSSP, den Managed Security Service Providern, laufend eine Priorisierung vorzunehmen, und zwar im jeweiligen Industrie-Kontext. Das erfordert Cyber-Intelligence-Ressourcen, die wir bewusst ausgelagert haben.

Eine wichtige Erkenntnis ist: Bei all den Alarmplänen und Icident-Response-Plänen, die man auch regelmäßig testet, konzentriert man sich zumeist nur auf einen Ausschnitt und vor allem auf die kritischen Abläufe in der eigenen Organisation. Wir versuchen deshalb hier mit globalen Table Top Exercises eine möglichst umfassende und übergreifende Gesamtsicht zu bekommen.“

„So lässt sich verhindern, dass andere in dieselbe Falle tappen. Wir können voneinander aus Fehlern lernen und aus den Erfahrungen anderer klug und besser werden. Scham ist der beste Bündnispartner für Cyber-Kriminelle. Das bedeutet allerdings, dass man diesen Weg konsequent verfolgen muss. Und das verlangt während des gesamten Prozesses nach transparenter Kommunikation. Nach außen genauso wie nach innen.

Wenn man, so wie PALFINGER in den letzten eineinhalb Jahrzehnten deutlich gewachsen ist und rund 11.000 MitarbeiterInnen an rund 100 Standorten weltweit hat und zugleich Daten Teil des Geschäftsmodells sind, bedeutet das für ICT und Cyber Security massive Herausforderungen. Es ist an der zentralen IT, diese Risiken aufzuzeigen und klar zu benennen. Der Umstand, dass die Zahl der – öffentlich bekanntgewordenen – Cyberangriffe rasant steigt, bewirkt hier schon ein Umdenken: Die Bereitschaft, substanziell mehr in die Security zu investieren, wächst.“

„Umso wichtiger ist es, den offenen Erfahrungsaustausch der Unternehmen und Security-Verantwortlichen miteinander zu forcieren. In der Energiewirtschaft haben wir den Vorteil, dass es hier ein eigenes CERT gibt, das ein Lagebild liefert. Und im Energiesektor ist auch der Austausch unter den CISOs stärker ausgeprägt.

Das Zusammenwachsen von IT und OT ist eine Vertrauenssache, die nicht von heute auf morgen passieren kann. Es ist aber auf jeden Fall notwendig. Aber nur von der IT-Seite her und mit der IT-Sicht Verantwortung zu übernehmen, wird nicht funktionieren, weil die Entscheidungsfaktoren in der OT-Welt andere sind und man dort anderes Know-how benötigt. Wir haben die Verantwortung für das Thema Security so organisiert, dass es aus unserem Bereich zentral gesteuert wird und dadurch eine einheitliche Ausrichtung definiert ist, dass die Fachverantwortung aber schon in der Leittechnik bei der OT liegt. Das funktioniert bislang sehr gut.“

„Was wäre denn die Alternative? Wer würde es sonst machen? Aber das ist nichts, was man von heute auf morgen umstellen kann – das ist ein weiter Weg mit vielen Herausforderungen.Besonders aus der Sicht der IT-Infrastruktur ist das technologische Zusammenwachsen von IT und OT eine große Herausforderung, weil es hier bei Themen wie Information Security, Cloud-Anbindung und weitere Vernetzung der verschiedenen Services dicke rote Linien gibt. Und es ist damit zu rechnen, dass auf die IT jetzt stark wachsende OT-Anforderungen zukommen, die sowohl quantitativ als auch qualitativ um vieles höher sein werden als bisher.

Für uns liegt der Benefit eines SOC nicht allein in frühzeitigen Alerts, sondern darüber hinaus generiert sich auch ein großer Mehrwert über die strukturierte Definition der entsprechenden Use Cases und über das Zusammenführen von InfoSec und IT Operations.“