Sicherheitsrisiko neu definieren – Hacker engagieren
IT-Sicherheit ist ein wichtiges Thema für jedes Unternehmen. Denn kommt es zu einem erfolgreichen Angriff kann dies teuer werden. Durch die Nutzung sogenannter Bug-Bounty-Plattformen können Unternehmen kriminellen Hackern vorgreifen.
Dabei versuchen sogenannte White-Hat-Hacker (ethische Hacker) in das entsprechende System zu gelangen, um Schwachstellen aufzuzeigen. Cyberkriminelle nutzen die gegenwärtige Krise, um Anwender in Unternehmen, aber auch private User digital zu attackieren. Regelmäßig haben die Angreifer damit auch Erfolg. So waren bereits 2019 drei von vier Unternehmen von einem Cyberangriff betroffen, 13 Prozent der knapp 1.000 befragten Geschäftsführer und Sicherheitsverantwortlichen vermuteten darüber hinaus einen Angriff, so das Ergebnis einer Bitkom-Studie zum Thema Cyberkriminalität. Die Angst, von einem Hackerangriff betroffen zu sein, beschäftigt viele CEOs, CISOs und IT-Admins. Genau diese Angst ist es jedoch, die Innovationen in Unternehmen hemmt, davon sind 80 Prozent der europäischen CISOs überzeugt. Die Furcht besteht dabei trotz des Einsatzes moderner IT-Security-Systeme. Dabei gibt es durchaus Möglichkeiten, die Sicherheit weiter zu verbessern. Eine sinnvolle Option ist sicherlich die unabhängige Überprüfung der Sicherheitslösungen, des Webauftritts, der Anwendungen (seien es die selbstentwickelten oder erworbene), der Apps oder anderer Elemente der IT. Optimalerweise findet dieser Check statt, bevor eventuell bestehende Sicherheitslücken gefunden und ausgenutzt oder an den Meistbietenden versteigert werden. Unternehmen können die Bedeutung dieses Themas nicht hoch genug einschätzen, bedeutet doch die zunehmende Vernetzung von IT und OT auch eine wachsende Gefährdung der Produktion durch das illegale Eindringen Krimineller in die IT-Landschaft. Hierbei geht es auch um die Sicherheit von Überwachungssystemen oder Maschinen – und Anlagen. Denn gerade Industrie 4.0 beschert uns eine immer stärker vernetzte Welt mit vielen versteckten und unbeachteten Einfallstoren. Die Vernetzung an sich, aber auch die immer komplexer werdenden Infrastrukturen sowie gegebenenfalls die Größe eines Unternehmens stellen die IT-Teams vor große Herausforderungen. Für sie wird es zunehmend schwieriger, außerhalb der Installation traditioneller Sicherheitslösungen und des Pentesting in Sachen IT-Security den Überblick zu behalten – es fehlt oftmals an Ressourcen. Dabei wäre es von Vorteil, wenn Organisationen die Taktiken und Strategien der Hacker kennen, um ihr IT-Umfeld verstärkt abzusichern. An diesem Punkt kommen Bug-Bounty-Plattformen ins Spiel. Sie helfen Unternehmen dabei, mittels eines Prämiensystems mit sogenannten White-Hat-Hackern zusammenzuarbeiten, also Hackern, die ihr Können nicht für kriminelle Zwecke einsetzen. Über Plattformen wie beispielsweise der von Hackerone können Unternehmen auf ein Netzwerk an sogenannten White-Hats zurückgreifen. Dies bietet einen neuen strategischen Ansatz, um Schwachstellen sichtbar zu machen. Bei dieser Vorgehensweise gestatten die Unternehmen den Hackern Anwendungen, Websites, Apps, Infrastrukturen oder gerade in der wachsenden Welt der OT auch Sensoren, Edge-Computing-Systeme und die Übertragungswege nach Schwachstellen zu untersuchen. Die gefundenen Sicherheitslücken werden in der Folge dokumentiert und an den Auftraggeber zurückgespielt, damit diese zeitnah beseitigt werden können. Ferner ist diese Herangehensweise eine sehr skalierbare Methode, seine Ausgaben und Kosten stets im Blick zu behalten. Es wird kein zusätzliches Personal benötigt, sondern Unternehmen vergeben die Tasks an externe Experten.
Um beide Parteien rechtlich abzusichern, werden vorab Vereinbarungen darüber getroffen, was erlaubt ist und was nicht. Dies ist in sogenannten VDPs (Vulnerability Disclosure Program) definiert. Letztere sind zudem Bestandteil des Vertrags. Darüber hinaus sollte es selbstverständlich sein, dass neben dem Vertrag auch ein an der Realität orientierter Ansatz der Hacker umgesetzt wird. Das bedeutet, dass die ‚White-Hat-Hacker‘ keinen anderen Zugang zur Zielplattform haben als ein krimineller Angreifer. Durch diesen Ansatz kann der ethische Hacker seine Kreativität unter Beweis stellen, um erfolgreich in das System einzudringen. Parallel dazu erhält das Unternehmen eine realistische Vorstellung davon, welches Gefährdungspotenzial sich aus den gefundenen, dokumentierten und gemeldeten Schwachstellen ergibt. Der Hacker liefert einen validen Report und die Verantwortung, die gefundenen Schwachstellen zu beseitigen, liegt aufseiten der Unternehmen. Durch die Dokumentation wächst auch im Unternehmen die Expertise um diese Schwachstellen und was die Unternehmen tun können, um diese potenziellen Einfallstore für Kriminelle zu schließen.
Und genau diese Expertise können sich Unternehmen jeder Größenordnung zusätzlich zunutze machen. Denn zum einen beschließen Gesetzgeber, Verbände und Organisationen aller Branchen regelmäßig neue Standards und Vorgaben zur Beschaffung und dem Betrieb von Anlagen und Maschinen, und zum anderen lässt sich eine stete technische Weiterentwicklung beobachten. Beides erfordert permanente Updates in Sachen digitaler Sicherheit und Produktstabilität. Dadurch ergeben sich Richtlinien durch unterschiedliche Zertifikate unterschiedlicher Länder und Behörden – insbesondere für die Lieferanten kann dies oft eine Herausforderung darstellen.
Nichtsdestoweniger spielt der Sicherheitsaspekt bei allen Beteiligten mitunter die größte Rolle. Dabei geht es auch um die Anpassbarkeit der IT-Komponenten an die Migrationsprozesse der Industrie 4.0. Zu den festgelegten Anforderungen einer Beschaffung gehört beispielsweise auch eine detaillierte Risikoanalyse für jeden Maschinentyp bzw. Anlage. Speziell geht es darum, Sicherheitslücken frühzeitig zu erkennen und zu schließen. Genau an diesem Punkt setzt die alternative Sicherheitsmaschinerie an. ‚White-Hat-Hacker‘ versuchen – analog zu einem kriminellen Hacker – in das System einzudringen und Schwachstellen zu entdecken, die von den internen IT-Profis übersehen wurden. Unternehmen können sich also mehrfach absichern und sich dadurch die als Folge eines erfolgreichen Hackerangriffs drohenden Kosten ersparen. Darüber hinaus wird nicht nur die eigene IT-Infrastruktur geschützt, sondern auch Kunden und Partner profiteiren. Dadurch wird das Vertrauen gestärkt und eine größere Kundenbindung entsteht. Die Zusammenarbeit mit White-Hat-Hackern liefert somit eine sinnvolle Ergänzung der eigenen Sicherheitsstrategie, um sich im harten Wettbewerb durch besonders sichere Lösungen gegenüber anderen Anbietern zu positionieren.
Mittelständische Unternehmen investieren selbst in schwierigen Zeiten in Microsoft-Technologien, weil sie überzeugt sind, dass ihre Mitarbeiterproduktivität steigt und sich ihre Kostenstruktur bessert. Microsoft hat mit dem Microsoft-Partner-Network ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet. Für unsere Leser gibt die Microsoft-Partnerübersicht in Ausgabe Juli/August der IT&Production Tipps für die Suche nach einer geeigneten Branchen- oder Speziallösung im Bereich des produzierenden Gewerbes.
Auf der Suche nach Innovation, nach neuen Lösungen und der Abgrenzung zum Mitbewerb vernetzen sich zunehmend mehr Unternehmen mit externen Experten und Partnern. SAP hat mit dem SAP-Ecosystem ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet. In der Maiausgabe der Fachzeitschrift IT&Production erhalten unsere Leser einen aktuellen Überblick zum SAP-Ecosystem im Bereich des produzierenden Gewerbes.
Anbieter & Produkte
becosEPS – Enterprise Planning System
Voith transformiert interne Prozesse mit der qualifizierten elektronischen Signatur von DocuSign
Schneller, besser, einfacher: Produktionsplanung für komplexe Fertigungsprozesse aus der Cloud
Der Global Player für die automatisierte Rechnungsverarbeitung in SAP
Schubert System Elektronik entwickelt und produziert Computerboards zukünftig vollautomatisiert in Deutschland
Kundenwunsch im Fokus: Varianten-Management auf Next Level
Mögen die Daten mit dir sein…
MES-Experte in der Lebensmittelindustrie
Whitepaper
Was bedeutet Agilität in der Fertigungsindustrie und warum ist sie so wichtig?
Intralogistik 2025+: „Ready“ für die volatile Welt
Kunden binden statt verlieren: So funktionieren smarte Ticketingsysteme.
Variantenkonfiguration und Beziehungswissen sicher im Griff
Kundenportale effizient und nachhaltig aufbauen
Videos
Specops Password Auditor – Evaluieren Sie kostenlos Ihre Passwortsicherheit in Active Directory
Asprova ist Anbieter des weltweit führenden, orchestrierenden End-to-End Supply Chain Planning and Production Planning Systems
Welcome to the smarter future
[CX-to-Go #4] Guided Selling mit SAP CPQ
Perfekte Customer Experience im E-Commerce bei SIEGENIA – realisiert mit SAP und Sybit
Um alle Potenziale eines MES umfassend ausnutzen zu können, beleuchten unsere Autoren in der Serie von MES Wissen Kompakt die erfolgskritischen Faktoren, um Fertigungsunternehmen präventiv zu steuern. Darüber hinaus präsentiert MES Wissen Kompakt ein breites Spektrum an Firmenportraits, Produkt- neuheiten und Dienst- leistungen im MES-Umfeld.
Ein Unternehmen, das sich mit der Auswahl eines ERP- Systems befasst, muss sich gleichsam mit einem viel- schichtigen Software-Markt und unklaren Interessen- lagen an interne Abwick- lungsprozesse auseinander- setzen. Guter Rat bei der Investitionsentscheidung ist teuer. ERP/CRM Wissen Kompakt unterstützt Sie bei der gezielten Investition in die IT-Infrastruktur.
Immer mehr Anbieter von Maschinen, Automatisierungstechnik und Industriesoftware integrieren künstliche Intelligenz in ihre Produkte. Das ganze Potenzial spielen selbstlernende Systeme aber erst aus, wenn sie passgenau auf ihren Einsatz in Fertigung und Büro zugeschnitten wurden. Über beide Möglichkeiten, als Fertiger die Vorzüge von industrieller KI zu nutzen, geht es im regelmäßig aktualisierten Themenheft Künstliche Intelligenz.
Das Internet of Things verändert Produktwelten und die Vernetzung in der Fertigung gleichermaßen. Entstehende Ökosysteme laden zur einer neuen Form der Zusammenarbeit ein. Die Spezialausgabe IoT Wissen Kompakt informiert über die Technologie, Projektierung und Anbieter für die eigene Applikation, in- und außerhalb der Fabrik.