IT-Sicherheit ist ein wichtiges Thema für jedes Unternehmen. Denn kommt es zu einem erfolgreichen Angriff kann dies teuer werden. Durch die Nutzung sogenannter Bug-Bounty-Plattformen können Unternehmen kriminellen Hackern vorgreifen.
Dabei versuchen sogenannte White-Hat-Hacker (ethische Hacker) in das entsprechende System zu gelangen, um Schwachstellen aufzuzeigen. Cyberkriminelle nutzen die gegenwärtige Krise, um Anwender in Unternehmen, aber auch private User digital zu attackieren. Regelmäßig haben die Angreifer damit auch Erfolg. So waren bereits 2019 drei von vier Unternehmen von einem Cyberangriff betroffen, 13 Prozent der knapp 1.000 befragten Geschäftsführer und Sicherheitsverantwortlichen vermuteten darüber hinaus einen Angriff, so das Ergebnis einer Bitkom-Studie zum Thema Cyberkriminalität. Die Angst, von einem Hackerangriff betroffen zu sein, beschäftigt viele CEOs, CISOs und IT-Admins. Genau diese Angst ist es jedoch, die Innovationen in Unternehmen hemmt, davon sind 80 Prozent der europäischen CISOs überzeugt. Die Furcht besteht dabei trotz des Einsatzes moderner IT-Security-Systeme. Dabei gibt es durchaus Möglichkeiten, die Sicherheit weiter zu verbessern. Eine sinnvolle Option ist sicherlich die unabhängige Überprüfung der Sicherheitslösungen, des Webauftritts, der Anwendungen (seien es die selbstentwickelten oder erworbene), der Apps oder anderer Elemente der IT. Optimalerweise findet dieser Check statt, bevor eventuell bestehende Sicherheitslücken gefunden und ausgenutzt oder an den Meistbietenden versteigert werden. Unternehmen können die Bedeutung dieses Themas nicht hoch genug einschätzen, bedeutet doch die zunehmende Vernetzung von IT und OT auch eine wachsende Gefährdung der Produktion durch das illegale Eindringen Krimineller in die IT-Landschaft. Hierbei geht es auch um die Sicherheit von Überwachungssystemen oder Maschinen – und Anlagen. Denn gerade Industrie 4.0 beschert uns eine immer stärker vernetzte Welt mit vielen versteckten und unbeachteten Einfallstoren. Die Vernetzung an sich, aber auch die immer komplexer werdenden Infrastrukturen sowie gegebenenfalls die Größe eines Unternehmens stellen die IT-Teams vor große Herausforderungen. Für sie wird es zunehmend schwieriger, außerhalb der Installation traditioneller Sicherheitslösungen und des Pentesting in Sachen IT-Security den Überblick zu behalten – es fehlt oftmals an Ressourcen. Dabei wäre es von Vorteil, wenn Organisationen die Taktiken und Strategien der Hacker kennen, um ihr IT-Umfeld verstärkt abzusichern. An diesem Punkt kommen Bug-Bounty-Plattformen ins Spiel. Sie helfen Unternehmen dabei, mittels eines Prämiensystems mit sogenannten White-Hat-Hackern zusammenzuarbeiten, also Hackern, die ihr Können nicht für kriminelle Zwecke einsetzen. Über Plattformen wie beispielsweise der von Hackerone können Unternehmen auf ein Netzwerk an sogenannten White-Hats zurückgreifen. Dies bietet einen neuen strategischen Ansatz, um Schwachstellen sichtbar zu machen. Bei dieser Vorgehensweise gestatten die Unternehmen den Hackern Anwendungen, Websites, Apps, Infrastrukturen oder gerade in der wachsenden Welt der OT auch Sensoren, Edge-Computing-Systeme und die Übertragungswege nach Schwachstellen zu untersuchen. Die gefundenen Sicherheitslücken werden in der Folge dokumentiert und an den Auftraggeber zurückgespielt, damit diese zeitnah beseitigt werden können. Ferner ist diese Herangehensweise eine sehr skalierbare Methode, seine Ausgaben und Kosten stets im Blick zu behalten. Es wird kein zusätzliches Personal benötigt, sondern Unternehmen vergeben die Tasks an externe Experten. Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
Um beide Parteien rechtlich abzusichern, werden vorab Vereinbarungen darüber getroffen, was erlaubt ist und was nicht. Dies ist in sogenannten VDPs (Vulnerability Disclosure Program) definiert. Letztere sind zudem Bestandteil des Vertrags. Darüber hinaus sollte es selbstverständlich sein, dass neben dem Vertrag auch ein an der Realität orientierter Ansatz der Hacker umgesetzt wird. Das bedeutet, dass die ‚White-Hat-Hacker‘ keinen anderen Zugang zur Zielplattform haben als ein krimineller Angreifer. Durch diesen Ansatz kann der ethische Hacker seine Kreativität unter Beweis stellen, um erfolgreich in das System einzudringen. Parallel dazu erhält das Unternehmen eine realistische Vorstellung davon, welches Gefährdungspotenzial sich aus den gefundenen, dokumentierten und gemeldeten Schwachstellen ergibt. Der Hacker liefert einen validen Report und die Verantwortung, die gefundenen Schwachstellen zu beseitigen, liegt aufseiten der Unternehmen. Durch die Dokumentation wächst auch im Unternehmen die Expertise um diese Schwachstellen und was die Unternehmen tun können, um diese potenziellen Einfallstore für Kriminelle zu schließen.
Und genau diese Expertise können sich Unternehmen jeder Größenordnung zusätzlich zunutze machen. Denn zum einen beschließen Gesetzgeber, Verbände und Organisationen aller Branchen regelmäßig neue Standards und Vorgaben zur Beschaffung und dem Betrieb von Anlagen und Maschinen, und zum anderen lässt sich eine stete technische Weiterentwicklung beobachten. Beides erfordert permanente Updates in Sachen digitaler Sicherheit und Produktstabilität. Dadurch ergeben sich Richtlinien durch unterschiedliche Zertifikate unterschiedlicher Länder und Behörden – insbesondere für die Lieferanten kann dies oft eine Herausforderung darstellen. Das Manufacturing Execution System (MES) HYDRA optimiert Produktionsprozesse für Fertigungsunternehmen, um Wettbewerbsvorteile zu erzielen. ‣ weiterlesen
MES-Integrator und 360-Grad-Partner für optimierte Fertigung
Nichtsdestoweniger spielt der Sicherheitsaspekt bei allen Beteiligten mitunter die größte Rolle. Dabei geht es auch um die Anpassbarkeit der IT-Komponenten an die Migrationsprozesse der Industrie 4.0. Zu den festgelegten Anforderungen einer Beschaffung gehört beispielsweise auch eine detaillierte Risikoanalyse für jeden Maschinentyp bzw. Anlage. Speziell geht es darum, Sicherheitslücken frühzeitig zu erkennen und zu schließen. Genau an diesem Punkt setzt die alternative Sicherheitsmaschinerie an. ‚White-Hat-Hacker‘ versuchen – analog zu einem kriminellen Hacker – in das System einzudringen und Schwachstellen zu entdecken, die von den internen IT-Profis übersehen wurden. Unternehmen können sich also mehrfach absichern und sich dadurch die als Folge eines erfolgreichen Hackerangriffs drohenden Kosten ersparen. Darüber hinaus wird nicht nur die eigene IT-Infrastruktur geschützt, sondern auch Kunden und Partner profiteiren. Dadurch wird das Vertrauen gestärkt und eine größere Kundenbindung entsteht. Die Zusammenarbeit mit White-Hat-Hackern liefert somit eine sinnvolle Ergänzung der eigenen Sicherheitsstrategie, um sich im harten Wettbewerb durch besonders sichere Lösungen gegenüber anderen Anbietern zu positionieren.
