Anzeige
Anzeige
Anzeige
Beitrag drucken

IT-Sicherheit

Das inhärente Cyberrisiko verstehen

Um sich vor Angriffen aus dem Internet zu schützen, sollten Firmen möglichst alle Risikofaktoren ermitteln. Je nach beispielsweise Branche, Unternehmensstandort und Technikkultur eines Landes gibt es charakteristische Besonderheiten zu beachten – die inhärenten Risiken.

Bild: ©KanawatVector/stock.adobe.com

Bild: ©KanawatVector/stock.adobe.com

Durch Digitaltechnik in der Produktion werden neben dem eigenen Unternehmen häufig auch die Zulieferer, Partner und Kunden digital in das Unternehmensnetz und in die Prozesse integriert. Diese zusätzliche Verknüpfung macht das Unternehmen jedoch auch angreifbarer. Für die Anwender von industriellen Kontrollsystemen (IKS) offenbarte sich diese neue Realität im Jahr 2010, als der Stuxnet-Wurm in der iranischen Atomanlage in Natanz entdeckt wurde. Seitdem haben Experten eine wachsende Anzahl von Schwachstellen in diesen Systemen aufgedeckt. Umso wichtiger ist es für Unternehmen, ein Verständnis für diese Bedrohungslage zu entwickeln, während die Versicherungswirtschaft wiederum viel darüber nachgedacht hat, wie die neuen Risiken abzudecken sind.

Management von IKS-Risiken

Obwohl bislang noch keine schwerwiegenden Verluste durch IKS-Cyberangriffe bekannt geworden sind, zeigen dokumentierte Attacken eindeutig das Ausmaß der Bedrohung, wenn solche Infrastrukturen in den Fokus geraten. Für IKS-Betreiber ist das Management dieser sich abzeichnenden Risiken entscheidend. Hierzu gehört das Erkennen und Absichern von Schwachstellen, das Verstehen der Bedrohungen und die Wahl geeigneter Schritte zur Abwehr von Cyberangriffen. Darüber hinaus geht es um die Identifizierung von Schlüsselpersonen innerhalb eines Unternehmens, die mit dem IKS arbeiten müssen. Hier sollte sichergestellt sein, dass sie über Cyberrisiken und die Einhaltung von Best Practices zur Gefahrenabwehr informiert sind. Auch die Festlegung von physischen und logischen Kontrollen für den Zugang zu Schlüsselsystemen und Sicherheitsbereichen ist ein wichtiger Aspekt. Es zeigt sich deutlich, dass unterschiedliche Unternehmen und Organisationen unterschiedlich stark von Cyberrisiken betroffen sind. Für produzierende Unternehmen ist die steigende Vernetzung im Rahmen von Fertigungs- und Logistikketten ein wesentlicher Bestandteil einer umfassenden Risikoanalyse. Doch noch zahlreiche andere Aspekte spielen eine Rolle, wenn das individuelle inhärente Cyberrisiko evaluiert und daraus ein Risikoprofil erstellt werden soll.

Inhärentes Cyberrisiko messen

Unternehmen, die sich vor Angriffen aus dem Internet schützen wollen, sollten mit Hilfe eines technischen Ansatzes ihr Cyberrisiko identifizieren, um Verluste zu vermeiden. Um das individuelle Gefährdungspotential zu ermitteln, ist das inhärente Risiko von Belang. Es beschreibt die Risikoanfälligkeit sowohl von Unternehmen als auch von Organisationen aufgrund ihrer Branchenherkunft, des Hauptsitzes sowie der Existenz von Niederlassungen bzw. Tochterunternehmen im Ausland.

Branchenherkunft

Wie Angreifer aus dem Internet Unternehmen attackieren, unterscheidet sich von Branche zu Branche. Die Industriezugehörigkeit bezieht sich hauptsächlich auf die Geschäftstätigkeit und die Art, wie dieses Unternehmen Umsatz generiert. Ein weiterer Aspekt, der hier eine Rolle spielt, ist die Ansiedlung seiner wichtigsten Unternehmenswerte. Ein Beispiel aus der Praxis: Für einen namhaften Brausehersteller sind primär die Rezepte für die Getränke relevant. Gelangen diese durch einen Cyberangriff in die Hände Unbefugter, werden die Wettbewerbsfähigkeit, das Urheberrecht und die Markenreputation negativ beeinflusst. Es müssen also nicht immer finanzielle Werte als schutzwürdig erachtet werden. Bei kritischen Infrastrukturen (KRITIS) – zu denen auch Energieversorger gehören – legen es Hacker eher darauf an, dass die Energieversorgung destabilisiert wird.

Hauptsitz des Unternehmens

Diejenigen Unternehmen, deren Muttergesellschaft in einer Industrienation ihren Sitz hat, profitieren von der guten Qualität der digitalen Infrastruktur. Mit ihrer Hilfe können die Verantwortlichen einerseits Innovationen vorantreiben und die Produktivität optimieren, andererseits kann dieses gut entwickelte IT-Umfeld dafür sorgen, das inhärente Risiko für Cyberattacken zu erhöhen. Im Hauptsitz eines Unternehmens sind häufig Führung, Finanzen und das Wissen unter einem Dach vereint. Hier ist die Marke besonders produktiv, das Unternehmen ist bekannt und besitzt die größte Sichtbarkeit. Aus diesem Grund kann der Hauptsitz eines Unternehmens bei Angriffen aus dem Internet unter Umständen stark betroffen sein. In Industrieländern sind außerdem bereits Gesetze zu den Themen Datensicherheit und Cybersecurity entwickelt und etabliert, mit deren Hilfe das Schutzniveau wesentlich gesteigert werden kann. In der gesamten EU wurde beispielsweise am 25. Mai 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft gesetzt, die einen hohen Schutzstandard für personenbezogene Daten von EU-Bürgern festlegt.

Niederlassungen und Tochterunternehmen

Gerade Unternehmen mit Sitz in Europa sollten ihr Augenmerk auf ihre Niederlassungen und Tochterunternehmen richten, die außerhalb von Europa tätig sind. Vor allem die DSGVO hat maßgeblich dazu beigetragen, die Datenschutzrichtlinien über die Ländergrenzen hinweg zu vereinheitlichen, außerdem drohen bei Verstößen strikte Bußgeldzahlungen. Dennoch ist es unmöglich, ein solches Sicherheitsniveau überall zu etablieren; daher muss die Umsetzung von Compliance-Richtlinien zum Datenschutz ständig überprüft und nachverfolgt werden. Außerdem werden manche Sicherheitsaspekte im Ausland weniger stark beachtet. Doch auch andere Faktoren können einen wesentlichen Einfluss haben, die dazu führen, dass Cyberpraktiken und -gesetze nicht implementiert werden. Zu nennen wären hier finanzielle Gründe, fehlende politische Stabilität, die Gefahr von Terrorismus und Unruhen sowie das Bestehen von sogenannten Hacking Cultures, die die Unzufriedenheit mit einer Situation auf das Internet projizieren.

Resilienz in der eigenen Hand

FM Global setzt zum Schutz vor Cyberrisiken auf ingenieur- und forschungsbasierte Ansätze, um das inhärente Risiko zu definieren. Unternehmen haben die Wahl, die eigene Resilienz gegenüber Cyberattacken zu erhöhen. Deshalb sollten die Prinzipien der Schadensprävention auch in diesem Bereich aktiv eingesetzt werden, um Probleme zu vermeiden oder die negativen Auswirkungen zu minimieren. Zielführend sind vor allem holistische Ansätze, die sowohl die IT-Abteilung als auch das Riskmanagement sowie das Operations Team des Unternehmens einschließen. Dies ist notwendig, um Bedrohungen aus dem Internet zu erkennen und angemessen zu bewerten.


Das könnte Sie auch interessieren:

Siemens beendet das erste Halbjahr des laufenden Geschäftsjahres mit positiven Neuigkeiten. Umsatzerlöse und Gewinn legen kräftig zu.‣ weiterlesen

Insgesamt 8,2Mrd.€ hat der Maschinen- und Anlagenbau im Jahr 2019 für Forschung und Entwicklung ausgegeben. Auch in der Pandemie behalten F&E-Ausgaben einen hohen Stellenwert.‣ weiterlesen

Seit rund 100 Jahren steht die Automobilindustrie wie keine andere für die Fabrikarbeit am Fließband. Doch jetzt deutet sich eine Technologiewende an. Künftig könnten Fahrerlose Transportfahrzeuge Karosserien, Material und ganze Fahrzeuge durch die Fabrik bewegen. In mehreren Modellfabriken fahren die Automaten bereits durchs Werk.‣ weiterlesen

Immer mehr Anlagen sollen Betriebsdaten im IoT zur Bearbeitung bereitstellen. Mit dem Susietec-Portfolio will Kontron insbesondere den Aufbau von IoT-Lösungen für bestehende Anlagen unterstützen. Der Anbieter von IoT- und Embedded-Computing-Technologie rechnet für 2021 mit mehr als 50 Prozent Wachstum in diesem Geschäftsfeld.‣ weiterlesen

Im März haben die Bestellungen im Maschinen- und Anlagenbau im Vergleich zum Vorjahr deutlich zugelegt. Dabei kamen sowohl aus dem Aus- als auch aus dem Inland positive Signale.‣ weiterlesen

Vor wenigen Jahren galt MES-Software vielen noch als Spezialsoftware mit nur aufwendig erschließbarem Nutzen. Inzwischen ist sie fester Bestandteil der meisten prozessnahen IT-Architekturen in der Prozess- und gerade der Pharmaindustrie. Insbesondere wenn viele Systemfunktionen auf die Prozessführung nach ISA95 entfallen und chargenorientiert produziert wird.‣ weiterlesen

Automobilhersteller agieren bislang erfolgreich in ihren eher geschlossenen Wertschöpfungsketten. Sie verstehen den Markt als Nullsummenspiel. Unternehmen wie Apple haben vorgemacht, dass es auch anders geht: Von offenen Ökosystemen können alle profitieren. Wann öffnet sich die Automobilindustrie für diese Idee?‣ weiterlesen

Mit dem Wechsel von Kathleen Mitford zu Microsoft wird Catherine Kniker zur EVP (Executive Vice Presdient) und Chief Stategy Officer bei PTC ernannt.‣ weiterlesen

Gemeinsam mit CEO Peter Sorowka leitet Carsten Stiller seit 1. April das Softwareunternehmen Cybus. Er verantwortet die Bereiche Marketing und Vertrieb.‣ weiterlesen

Siemens Digital Industries bekommt einen neuen CTO. Dirk Didascalou soll zum 1. September neuer Technikchef werden.‣ weiterlesen

Die Wirtschaft blickt überwiegend optimistisch in die Zukunft: Knapp 40 Prozent der Unternehmen wollen laut der jüngsten Konjunkturumfrage des Instituts der deutschen Wirtschaft 2021 im Vergleich zu 2020 mehr produzieren.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige