Menü
Anzeige - Sämtliche Inhalte dieser Seite sind ein Angebot des Anzeigenpartners. Für den Inhalt ist der Anzeigenpartner verantwortlich.

INDUSTRIAL SECURITY

So machen Unternehmer Hackern das Leben schwer

Cyberkriminalität betrifft nicht nur große Unternehmen. Auch Mittelständler müssen sich gegen die wachsende Zahl von Hackerangriffen schützen. Siemens-Experten entwickeln passende Lösungen.

Es ist der Alptraum aller Unternehmer: ein Cyberangriff. Mindestens 75 Prozent aller deutschen Unternehmen wurden in den vergangenen zwei Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage, so der Branchenverband Bitkom in einer aktuellen Studie. Und längst sind nicht mehr nur große Konzerne das Ziel der Hacker. Der Mittelstand ist in den Fokus der Cyberkriminellen gerückt. Nicht zuletzt durch den Einsatz von Ransomware, eine vergleichsweise einfache Form der digitalen Erpressung durch Verschlüsselung wichtiger firmeneigener Daten.

Wie funktioniert diese Form der Cyberkriminalität? Ist die Ransomware in das Unternehmen eingeschleust – etwa durch einen verseuchten E-Mail-Anhang, der von einem unvorsichtigen Mitarbeiter geöffnet wurde –, können Hacker die Unternehmensdaten verschlüsseln und so für den eigentlichen Eigentümer unerreichbar machen. Der Erpresste kann dann beispielsweise nicht mehr produzieren und ausliefern. Das kann existenzbedrohend sein. Für die Entschlüsselung des Systems verlangen die Erpresser dann ein Lösegeld.

„Die Frage ist nicht, ob es passiert, sondern wann es passiert. Auch bei Unternehmen mit 20 oder 30 Mitarbeitern“, sagt Franz Köbinger, Marketing Manager für Industrial Security bei Siemens. „Waren es zu Beginn noch eher heimliche Angriffe mit dem Hintergrund der Industriespionage auf kleinere und mittelständische Unternehmen, wenden die Hacker heute auch die Erpressung mit Ransomware bei diesen Unternehmen an.“

Ein ganzheitlicher Sicherheitsansatz

Das Bundesamt für Sicherheit und Informationstechnik (BSI) warnt davor, auf die Forderungen der Erpresser einzugehen – auch wenn die geforderten Beträge oft niedrig sind. Denn dann folgten entweder neue Forderungen oder der Schlüssel zur Freigabe funktioniere nicht, in manchen Fällen werde er erst gar nicht geschickt. Und es gibt noch zahllose andere Formen von schädlicher Malware, die ein Unternehmen zwischenzeitlich in die Knie zwingen kann. Ransomware ist nur eine davon.

„Unternehmen sollten daher nach bestmöglichem Schutz für ihre Anlagen und Systeme streben – vom Zutritt zum Gebäude bis zum IT-System“, sagt Franz Köbinger. Deshalb hat Siemens das Konzept Defense in Depth entwickelt. Ein ganzheitlicher Ansatz nach internationalem Standard auf drei Ebenen: Anlagensicherheit, Netzwerksicherheit und Systemintegrität. Das Sicherheitskonzept ist ein mehrstufiges: „Wenn der Angreifer eine Hürde überwunden hat, steht er gleich wieder vor der nächsten“, sagt Köbinger. Das ermöglicht Siemens an Industrieanlagen zum Beispiel mit speziellen Firewalls am Übergang von OT (Operation Technology) zu IT (Information Technology).

Die Stadt der Zukunft ist vernetzt – und sicher
Hier mehr erfahren

Das Sicherheitssystem greift aber auch an allen anderen Schnittstellen, etwa zwischen Büro- und Anlagennetzwerk oder den Fernwartungszugängen zum Internet. Über Firewalls hinaus bietet Siemens den Aufbau von sogenannten demilitarisierten Zonen an, also sicherheitstechnisch gänzlich abgeschirmten Bereichen. Da jedes Unternehmen anders ist, lassen sich auch die Sicherheitskonzepte individuell auf jeden Kunden abstimmen.

„Das Problem der Sicherheit kann nicht allein dem Kunden überlassen werden“, sagt Franz Köbinger. „Vor einigen Jahren hatten Usability oder Performance die höchste Priorität bei Automatisierungsprodukten. Sicherheitsfunktionen oder Härtungsmaßnahmen mussten von den Anwendern zusätzlich konfiguriert werden. Heute wird ein Produkt im Idealfall schon mit einem Schutzschild vor Angriffen ausgeliefert.“ Deshalb stellt Siemens Produkte und Automatisierungssysteme auf der Basis „Security by Design“ bereit. So können Anlagenbetreiber oder Maschinenbauer das Sicherheitskonzept „Defense in Depth“ nach den Vorgaben des führenden Security-Standards für Industrie, der IEC 62443, auch entsprechend umsetzen.

Sicherheitsrisiko Mensch

Und nicht nur das: Gemeinsam mit Unternehmen aus der ganzen Welt hat Siemens die Charter of Trust ins Leben gerufen. Darin werden zehn grundlegende Prinzipien definiert, deren Umsetzung Unternehmen eine sichere digitale Zukunft im Dienst der Innovation ermöglichen soll. Diese zehn Prinzipien, zu denen sich die Mitglieder der Charter of Trust verpflichtet haben, decken neben Sicherheit in den Produkten auch Themen wie die Sicherung der Lieferkette oder Schulung und Ausbildung ab.

Was vor Attacken aus dem Netz schützt
Hier mehr erfahren

Denn eines der größten Sicherheitsrisiken ist immer noch der Mensch – etwa ein Mitarbeiter, der den Anhang einer Mail ihm unbekannter Herkunft öffnet oder am Telefon wichtige Informationen an die falsche Person weitergibt. Siemens-Experte Köbinger betont deshalb die Bedeutung von Weiterbildungsmaßnahmen, um die Mitarbeiter für das Problem zu sensibilisieren. „Alle Unterzeichner der ‚Charter of Trust‘ haben sich auch dazu verpflichtet, die Mitarbeiter regelmäßig und umfassend in alle relevanten Sicherheitsfragen weiterzubilden“, so Köbinger.

„Daten sind das neue Gold“, umreißt Köbinger die Bedeutung sensibler Informationen für die Hackerszene. Und das vermehrte Arbeiten von zu Hause wie etwa in Zeiten einer Corona-Pandemie erleichtere den Cyberkriminellen ihr Handwerk, wenn die entsprechenden Sicherheitsvorkehrungen nicht getroffen werden. Er empfiehlt, wichtige Daten in einem Backup zu sichern, das nicht übers Netz erreichbar ist. Auch sollten alle Mitarbeiter die Notrufnummern kennen, über die im Krisenfall schnell alle für die Sicherheit Verantwortlichen alarmiert werden können.

Doch jede noch so gute Schutzmaßnahme, das weiß Franz Köbinger, läuft ins Leere, wenn es an der entscheidenden Voraussetzung mangelt: „Das Bewusstsein dafür, dass wir ständig Cyberrisiken ausgesetzt sind und jeder einzelne seinen Beitrag zur Risikominimierung leisten muss.“ Trotz aller Risiken bleibt der Sicherheitsexperte aber optimistisch: „Wenn wir die technischen Möglichkeiten nutzen und die Mitarbeiter regelmäßig weiterbilden, können wir uns vor Hackern schützen.“

Alle Artikel

Artikel teilen