Cyber Security – Der Faktor Mensch als Schlüssel für eine hohe Resilienz

Die komplexen Produkte und Services von Hoerbiger kommen in Kolbenkompressoren, bei der Gasstrom-Regelung, in Fahrzeuggetrieben, bei der Drehdurchführung, im Explosionsschutz, bei Gasmotoren und in der Automobilhydraulik zum Einsatz. „Wir setzen Standards“, so lautet die Konzernvision. Eine dementsprechend wichtige Rolle spielt das Thema Cyber Security bei der Produktentwicklung und Produktion in einem Konzern, der weltweit fast 7000 Beschäftigte auf 110 Standorten hat. Wolfgang Mayer verantwortet Cyber Security bei HOERBIGER auf globaler Ebene. Er sieht Expertenwissen aus IT und Security als Chance für Unternehmen durch effizientere, verbesserte Prozesse bzw. neue Produkte, sowohl eine höhere Resilienz und Compliance zu erlangen, als auch Marktvorteile zu ermöglichen.

Welche Rolle spielt Cyber Security für den Unternehmenserfolg tatsächlich?

Die vollständige Integrierung von Informationssicherheit in die existierenden, supportiven Prozesse und die strategische Anpassung an die Unternehmensziele zur Optimierung der aus dem Risikomanagement abgeleiteten Maßnahmen sind Grundvoraussetzungen vergleichbar mit Rücklagen oder einer Versicherung. Die Potenzialnutzung des Expertenwissens zur z.B. Digitalisierung kann Kosten einsparen und Innovationen fördern.

In unserer heutigen, spannenden Zeit, wo Innovationen im Sekundentakt bekannt werden, sind neben den eigentlichen Produktfunktionen, der Markteintrittszeitpunkt und die Lebenszeit eines Produktes immer wichtiger. Damit erhöht sich der Kostendruck sowohl auf den Produzenten als auch auf den Käufer.

Durch beratende und proaktive Unterstützung der Geschäftskollegen vor Produkteinführung, bzw. -entwicklung, kann die Cybersecurity Abteilung/Stabstellen auch als Enabler dem Unternehmen wertvolle Dienste bei Digitalisierungsprojekten ev. sogar Innovationen leisten. Mindestens aber den Einsatz von Produkten trotz der Herausforderungen von Gesetzen und Verträgen kostenoptimiert ermöglichen.

Was sind Ihre wichtigsten Empfehlungen, um Risiken in IT zu beurteilen und zu managen?

Folgende Punkte wären aus meiner Perspektive wichtig:

Existierende Missverständnisse im Unternehmen ausräumen, sofern vorhanden. Denn IT-Risiken sind nicht der Virenausbruch oder der Stromausfall im Datacenter. Vielmehr sind IT-Risiken Unternehmensrisiken, die den Fortbestand des Unternehmens durch IT-verursachte Geschäftsstörungen bedrohen und damit den Geschäftserfolg gefährden.

Für ein klares Lagebild ist es notwendig, durch schonungslose Ehrlichkeit über den Zustand des Environments und der Abhängigkeiten zu Geschäftsprozessen und Services Bescheid zu wissen und dies zu dokumentieren.

Ein unterstützendes, zum Unternehmen passendes Werkzeug nutzen um nicht die Übersicht zu verlieren und technische bzw. organisatorische Risiken zu aggregieren und deren Abarbeitung zu tracken. Im Zweifel hilft auch ein typisches Tabellenkalkulationsprogramm.

Eine einheitliche und abgestimmte Vorgehensweise, die im gesamten Unternehmen transparent, nachvollziehbar und langfristig umsetzbar ist.

Eine Fehlertoleranzkultur, die den aktiven Umgang mit dem Restrisiko (welches immer vorhanden ist) klar abgrenzt und damit ein Bewusstsein im Unternehmen schafft. Awareness ist der Schlüssel zum Erfolg im dynamischen Umgang mit Risiken.

Wie sehen Sie die Bedrohungsszenarien in Zusammenhang mit Digitalisierung, IoT und zunehmender Vernetzung?

Ob es nun ENISA‘s Empfehlungen „Good Practices for Security of Internet of Things“ sind, oder der NIST Draft „Recommendations for IoT Device Manufacturers“ von Jänner 2020. Es ist klar, dass das blinde Vertrauen zu Herstellern von IoT verschwunden ist.

Kurze Lebenszyklen von IoT Systemen, keine oder mangelhafte Updatemöglichkeiten, schnelles und häufiges Wechseln zu Hype-Produkten sind Herausforderungen, die in jeder Firma aufkommen.

Aber auch die Digitalisierung birgt große Missverständnisse und Tücken. Um Thorsten Dirks, CEO von Telefónica Deutschland zu zitieren, der es 2015 beim Wirtschaftsgipfel der ‘Süddeutschen Zeitung’ hart auf den Punkt brachte: „Wenn sie einen Scheißprozess digitalisieren, dann haben sie einen scheiß digitalen Prozess.“

Denn nur weil es bisher so gemacht wurde, bedeutet es nicht zwangsläufig, dass es in Zukunft auch so gemacht werden muss. Unnötige oder schlechte Prozesse bringen eine verhängnisvolle Komplexität in System- und Servicelandschaft, die dann langfristig vielleicht sogar zu einer kontraproduktiven Situation und höheren Kosten führen kann.

Da Digitalisierung mit Automatisierung und damit früher oder später mit Ressourceneinsparung einhergeht gibt es oft einen Wissensverlust. Deswegen sehe ich es bedenklich, wenn zentrale und komplexe Geschäftsprozesse ohne gute Dokumentation automatisiert werden.

Aber kleine, hochspezialisierte Software-Services (Apps) und Devices (IoTs) bieten, richtig eingesetzt und vernetzt, enorme Vorteile. Sei es die kostengünstige Erkennung von z.B. Tumoren durch Analyse von billigen Röngtenaufnahmen oder auch Hautkrebserkennung mithilfe Smartphones, die Standortübermittlung von öffentlichen Verkehrsmitteln und Drohnen, bis hin zu Paketen in Echtzeit.

Jedoch gibt es überall, wo Licht ist, auch Schatten. Schwachstellen werden gnadenlos ausgenutzt. Negativbeispiele in den Schlagzeilen waren z.B. Babyphones und Spielzeugpuppen, die einen Remotezugriff via Wireless auf die Video-, Lautsprecher- und Mikrofonfunktionalität direkt ins Kinderzimmer zugelassen hatten. Aber auch Hacks von Atomkraftwerken (Stuxnet), fahrenden Autos, Video- und Zutrittssysteme gelangten mehrfach in die Schlagzeilen.

Ich denke es ist wichtig, den anfangs genannten Empfehlungen von zb. ENISA oder NIST zu folgen, und mögliche Lösungen für das eigene Unternehmen besonders auf Nachhaltigkeit, Updatefähigkeit und Sicherheit zu bewerten. Dann können die Vorteile auch sinnvoll und gewinnbringend eingesetzt werden.

Kann die IT alleine diese Szenarien abdecken und welche Zusammenarbeit braucht es im Unternehmen für einen umfassenden Schutz?

Die Antwort hierauf ist klar: Nein.

Cybersecurity ist eine gesamtorganisatorische „Anstrengung“, die vom CEO bis zum einzelnen Mitarbeiter geht. Als Bestandteil von Prozessen und Projekten muss es so selbstverständlich werden wie Zahnhygiene. Vom Verständnis bei der Entwicklung, Beschaffung bis zur Integration und dem Betrieb im Unternehmen.

Wie sehen 2020 die wichtigsten Anforderungen an die Cybersecurity Infrastruktur aus? Was sind die entscheidenden Elemente?

Kurz- und Mittelfristig wären, neben der Ablöse nur halbherzig genutzter Systeme und Services, eine Zero Trust Strategie, Insider Threat Management, Cloudsecurity, und die durchgängige technische Unterstützung des Security Incident Response Prozesses sinnvolle und wichtige Elemente.

Aber 2020 ist bereits im ersten Halbjahr für viele Infrastrukturkollegen ein mehr als herausforderndes Jahr.

Nachdem einige Betriebssysteme (z.b. Windows 7, Server 2008/R2) seit Jänner End-of-Life sind, dies für Windows 10 Rollup 1709 für 14 April angekündigt war (verlängert auf 10/2020), und einige Office Versionen ebenfalls bis Oktober 20 abgelöst sein sollten, sind diejenigen am Rotieren, die einen engen Zeitplan hatten. Verschärfend für die Kollegen aus der Infrastruktur kam noch die Herausforderung hinzu, Heimarbeit in kürzester Zeit für ihre Unternehmen zu ermöglichen.

Herausfordernd wird der akute Umgang mit den Lücken, die aus obigen Umständen resultieren. Für Firmen, die keine remote funktionierende zentrale Softwareverteilung haben, werden zahllose ungepatchte Systeme, bedingt durch die Work-from-Home Situation, ein erhöhtes Risiko darstellen.

Deshalb ist die Anpassung der Infrastruktur und im Unternehmen existierender Security Lösungen an die aktuelle Lage wohl in vielen Organisationen die dringlichste Herausforderung.

Technologie und Restriktionen vs. Organisation und Awareness – Wo sehen Sie am meisten Handlungsbedarf?

Zweifellos ist der Faktor Mensch der Schlüssel für eine hohe Resilienz gegen Cyberangriffe im Unternehmen.

In vielen Organisationen gibt es oft Herausforderungen, bei immer weniger Ressourcen immer mehr Leistung zu erbringen. Bewusst in Kauf genommene Verletzungen von Regeln sind hier unausweichlich. Eine steigende Risikobereitschaft ist ersichtlich und kann fatal enden.

Deswegen ist eine proaktive Kommunikation und eine nachhaltige Awarenessbildung notwendig, um die Risiken und den Umgang damit transparenter zu machen. Realitätsnahe Schulungen bzw. Workshops und „TableTop“-Simulationen sind wichtige Werkzeuge um diese Dinge „begreiflich“ zu machen.

Eine oft übersehene, aber lohnende Zielgruppe ist zb. das Mittelmanagement. Sie haben als Multiplikatoren und Ambassadors einen wesentlichen Einfluss, sowohl Richtung Topmanagement als auch Richtung Mitarbeiter, und können somit effizient zu einem besseren Risikoumgang beitragen.

Mit welchen Technologien muss man sich 2020 auf jeden Fall befassen, wenn es um Cybersecurity geht?

Die nächsten Jahre werden von mehr oder minder guten, hochgradig automatisierten Expertensystem- und AI unterstützten Angriffen geprägt sein.

Als Angreifer ist es vergleichsweise einfach, neue Technologien ohne Altlasten und Kompromisse einzusetzen.

Solange es auf der Verteidigerseite keine AI Technologie gibt, die komplexe System- und Servicelandschaften, durchzogen von Legacy Systemen automatisiert schützen kann, solange wird der Fokus auf den bekannten präventiven Standardwerkzeugen, wie z.B. Endpoint Protection, Firewalls, Intrusion Detection/Prevention, SIEM, etc. liegen.

Hilfreiche Technologien, die nicht nur präventiv sondern auch reaktiv eingesetzt werden können z.B. zur präzisen Segregierung und zum direkten Security Incident Response (Containment, Eradication) wären einerseits z.B. die altbekannte Network Access Control (NAC), aber auch Robotic Process Automation (RPA) Lösungen, sowie andererseits zur schnelleren Wiederherstellung, Infrastructure as Code (IaC) und Autodeployment Lösungen.

Managed Detection Response (MDR) oder auch Security-Orchestration-Automation-Response (SOAR) Lösungen, die den Security-Operation-Center (SOC) bzw. Security-Incident-Response (SIR) Teams, Threathuntern und dem Management helfen, die Auswirkungen und das Risiko für die Organisation schneller abzuschätzen und gezieltere Maßnahmen zu exekutieren.

Interessante Videos zu diversen Themen finden Sie auf unserem YouTube-Kanal.