Kürzlich fand der Webcast „Der menschliche Faktor: “Compliance, Risiko und Security in einer total vernetzten Welt” powered by Fortinet statt.
Sie haben den Webcast verpasst? Oder Sie sind eher der auditive Typ? Hier geht’s zur Aufzeichnung:
OUT NOW im #Confare Blog mit Heiko Adamczyk, Fortinet über Cybersecurity, Regulierung und Compliance bei IoT und OT
Heiko Adamczyk ist Cybersecurity und IT-Compliance Nerd durch und durch. Wie kein zweiter hat er einen exakten Überblick über den Dschungel der rechtlichen Rahmenbedingungen, Standards und Zertifizierungen, insbesondere wenn es um die IoT- (Internet of Things) und OT- (Operational Technology) Welt geht. Als Business Development Manager treibt er diese Thema auch bei seinem Arbeitgeber, Fortinet, voran. Denn Security-Anbieter, die sich OT-Sicherheit auf die Fahnen schreiben, gibt es viele. So manches ist dabei aber eher Lippenbekenntnis und Marketing. Heiko und sein Team an Experten stellen sicher, dass das bei Fortinet nicht vorkommt. In einem gemeinsamen Confare Digital CIO ThinkTank haben wir die wesentlichen Fragen von Cybersecurity und OT-Compliance mit führenden IT-Entscheidern diskutiert.
Mehr als 500 CIOs und CISOs aus Top-Unternehmen treffen Sie auf dem Confare #CIOSUMMIT, dem größten und mit dem CIOAWARD bedeutendsten IT-Management Treffpunkt in Österreich.
Mehr zum Thema Cybersecurity gibt es im Confare Factsheet, bei dem IT-Entscheider aus Top-Unternehmen Erfahrungen, Tipps und Wissen weitergeben: Cybersecurity Infocenter von Confare powered by T-Systems
Wie ist Dein Background rund um Cyber- und OT-Security?
Heiko Adamczyk: Ich beschäftige mich mit Cybersecurity genauer mit dem Fokus auf die Operational Technology (OT) intensiv seit 2005. Zu dieser Zeit habe ich innerhalb der VDI/VDE-Gesellschaft für Mess- & Automatisierungstechnik einen Fachausschuss gegründet, mit dem Ziel, das Thema Security für industrielle Anlagen zu definieren. Heute bin ich u.a. Mitglied der IEC und arbeite an der IEC 62443. Diese horizontale Norm begleitete mich seit je her auch im beruflichen Alltag.
Wie siehst Du den Status der modernen Cybersecurity in den Unternehmen?
Heiko Adamczyk: sehr differenziert. Es gibt Unternehmen, die seit 10 Jahren ein OT Security Programm entwickelt haben und verfügen demnach heute über einen hohen Reifegrad. Nicht nur in der Organisation des Unternehmens selbst, sondern auch in den Produkten und Dienstleistungen. Allem voran ist hier der Bereich der kritischen Infrastrukturen zu nennen. Der Gesetzgeber hat diesen Gesellschafts-kritischen Bereich besonders im Fokus. Gesetz sind erlassen, die KRITIS Betreiber das Thema Security aufzwingen. Zurecht, denn gezielte Angriffe auf die OT sind nicht nur wegen der Ukraine Krise an der Tagungsordnung.
Wo sind denn die größten Herausforderungen?
Heiko Adamczyk: OT Security muss als essenzielles Thema verstanden werden, nicht als Budgetierte-Grundlast. Jedes gewerbliche Unternehmen insbesondere im produzierenden Gewerbe sollte sich schützen. Und wenn es dann mal doch einen unerwarteten Angriff gibt, sollten Notfallpläne bereit liegen und ein geschultes Team, dass diese dann ausführt. Viele Unternehmen, selbst in den KRITIS Bereichen, stehen hier noch am Anfang. Es müssen Ressourcen zur Verfügung stehen, Prozesse definiert und im Sinne der kontinuierlichen Verbesserung in den operativen Alltag eingebunden werden.
Keiner ist heute alleine erfolgreich – was bedeutet die intensive Zusammenarbeit in immer komplexeren Lieferketten für die IT-Compliance und die Cybersecurity?
Heiko Adamczyk: Security muss in der gesamten Lieferkette eingehalten werden. Dazu sind natürlich Mindeststandards notwendig. Die IEC 62443 adressiert den gesamten Lebenszyklus mit den Rollen Hersteller, Integrator/Maschinenbauen und Betreiber. Für alle 3 Rollen werden konkrete Anforderungen definiert. Jeder bekommt dabei ein Doppelpack, einmal Anforderungen an die Organisation und einmal an die Technik. Ein rundes Paket für jeden Beteiligen. OT Security wird somit integraler Bestandteil von Automatisierungslösungen.
Was für konkrete Lösungsansätze gibt es dafür denn bereits?
Heiko Adamczyk: für die organisatorischen Herausforderungen gibt es Normen und Kochrezepte, die von vielen Consulting Unternehmen heutzutage angeboten werden. Für technische Lösungen bietet der Markt bereits zahlreiche etablierte Lösungen. Und eben auch speziell für den Einsatz in harschen Industrieumgebungen. Die Firma Fortinet beispielsweise bietet spezielle Lösungen für die OT an.
Welche Rolle spielt Fortinet im Compliance und Cybersecurity Ecosystem von Unternehmen?
Heiko Adamczyk: Compliance ist bei uns ein Thema wie in vielen anderen Unternehmen auch. Angefangen von Datenschutz bis hin zu IT Security sind wir in vielen Bereichen gut aufgestellt. Das untermauern auch Zertifikate von externen Notified Bodies wie zum Beispiel zu unseren Cloud Dienstleistungen. Hier können wir eine ISO 27001 nachweisen. Auch bei Produkten ist das der Fall. Für unser FortiOS (Betriebssystem der z.B. FortiGates) haben wir eine Common Criteria Zertifizierung durchlaufen.
Welche Regulierungs- und Gesetzestrends sollte man als CISO oder CIO denn im Auge behalten?
Heiko Adamczyk: Die Regulierung nimmt bereits seit 2015 mit der NIS Richtlinie massiv Fahrt auf. Diese liegt druckfrisch in einer überarbeiteten Variante, der NIS2, vor. In ihr werden hauptsächlich KRITIS Betreiber angesprochen. Für Produkte wurde bisher der Cybersecurity Act auf den Weg gebracht. Er soll durch Zertifizierung von IoT Produkten die Cybersicherheit nachweislich erhöhen. Hier ist es leider so, dass man sich noch nicht auf ein Zertifizierungsschema wie die Common Criteria einigen konnte. Daher bleibt es spannend, was da passiert. Neu und kurz vor der Veröffentlichung ist der Cyber Resilience Act. Er gilt für die Inverkehrbringer von Produkten. Hier wird es auch für uns als Hersteller spannend.
Wie kann man Compliance im Unternehmen so positionieren, dass man wirklich davon profitiert?
Heiko Adamczyk: Compliance ist im Grunde genommen eine feste Größe in jedem wertschöpfenden Unternehmen. Allein für die Einhaltung gesetzlicher Anforderungen an das Unternehmen selbst als auch an die jeweils angebotenen Dienstleistungen und Produkte ist unabdingbar. OT-Bereiche wie beispielsweise Pharma, Medizin, Bahn und Automobil gehören zu den stark regulierten Bereichen. Ohne die Einhaltung von Mindeststandards wie TISAX ist kaum ein Geschäft im Bereich des Automobilbaus mehr möglich. Da wird Compliance quasi zur Pflicht. Aber Compliance kann bei komplexen Märkten und Produkten auch zu einer Last werden. Der Aufwand ist enorm hoch und die Kosten auch. Das schlägt sich in den Marktpreisen der Produkte wieder. Hier beißt sich die Katze in den Schwanz. Nur wenige Endkunden sind auch bereit, diese höheren Kosten auch wegen Compliance zu bezahlen. Das ist das Spannungsfeld in dem sich viele befinden. Augenmaß und Verhältnismäßigkeit müssen da noch den Weg der bezahlbaren Compliance ebnen.