3 Massnahmen für IT-Sicherheit im Maschinenbau
Für Maschinenbauunternehmen gilt das, was auch die restliche Wirtschaft umtreibt: IT-Sicherheit ist zu einem höchst relevanten Thema geworden. Verschlüsselungstrojaner, Spionage und lahmgelegte IT-Systeme finden sich inzwischen täglich in den Wirtschaftsnachrichten. Auch wenn alle um die Bedrohungen wissen, ist Prävention dennoch schwierig. Einer der Knackpunkte: wo fängt man überhaupt an?
Wir liefern dir 3 konkrete Massnahmen, mit denen du kurz- und langfristige Wirkung erzielen kannst.
Massnahme 1: Sicherheit zum festen Bestandteil jeder Digitalisierungsmassnahme machen
Wenn es um Digitalisierungsmassnahmen geht, denken alle an Aufwand und Nutzen. Es geht um Budgets, um (neue) Prozesse und Change Management. Aber sollte Sicherheit nicht auf der gleichen Ebene wie Budget und Nutzen angesiedelt sein? Wir finden, ja, da gehört das Thema Sicherheit hin.
Ein anschauliches Beispiel dafür ist der Einsatz von IoT (Internet of Things) Geräten. Die Chancen der Automatisierung und Vernetzung sind immens. Durch die Anbindung der Geräte an Unternehmensnetzwerke steigen aber auch die Risiken. Folgende Fragen helfen dabei, Sicherheitsrisiken vor Inbetriebnahme zu reduzieren:
- Welche Schutzmassnahmen werden eingesetzt, um Sicherheitslücken in der IoT Infrastruktur zu schliessen?
- Wie kann die Integrität der IoT Infrastruktur kontinuierlich überwacht werden?
- Wie wird sichergestellt, dass unbefugte Personen weder digitalen noch physischen Zugang zu IoT Geräten haben?
- Wie behält man den Überblick über die potenziell hohe Anzahl Geräte? Das ist unter anderem wichtig für Software-Updates.
- Gibt es einsatzbereite Pläne, die greifen, wenn Unbefugte ins Netzwerk eingedrungen sind?
Ein weiteres Beispiel finden wir im Bereich Personal. Nehmen wir an, dass unsere Beispiels AG ihren Bewerbungsprozess digitalisiert. Bewerber:innen können ihre Daten über ein Online-Formular einreichen, inkl. Upload für den Lebenslauf. So landet alles in einer zentralen, webbasierten Verwaltungsplattform und kann dort geordnet weiterverarbeitet werden. Definitiv eine gute Sache, wenn das Bewerbungsvolumen steigt. Was niemand vermutet: Der Datei-Upload könnte Einfallstor für Schadsoftware sein, wenn dieser nicht richtig abgesichert wird.
Wenn Sicherheit in jedem Digitalisierungsprojekt fest integriert ist, stehen die Chancen gut, dass Risiken vorab entdeckt werden. Beispielsweise könnte man folgende Frage fest in den Reviewprozess aller digitalen Lieferergebnisse integrieren:
Wie könnte diese Funktion für Angriffe ausgenutzt werden?
Natürlich muss die Frage durch Menschen beantwortet werden, die Fachpersonen in der Thematik sind. Aber auch ohne langjährigen Security-Erfahrungsschatz kommen einige Risiken schnell an die Oberfläche, wenn man den Blick darauf fokussiert. In der Zusammenarbeit mit Dienstleistern sollte das Thema Sicherheit definitiv von Beginn an bedacht werden.
Massnahme 2: Zero-Trust-Konzept aufbauen
Das Zero-Trust-Konzept (Null-Vertrauensansatz) geht davon aus, dass nichts sicher ist. Weder im Internet noch bei dir im Firmennetzwerk. Remote-Arbeit und Cloud Dienste benötigen eine neue Denkweise in der IT-Sicherheit. Wo es früher vielleicht noch ausreichte, das eigene Firmennetzwerk abzusichern, ist diese Verteidigungstaktik in der modernen Wirtschaftswelt nicht mehr ausreichend.
Im Zero-Trust Konzept wird jeder Zugriff auf Ressourcen (Daten, Apps, Server, …) nur dann gewährt, wenn die Identität von Mensch oder Maschine durch explizite Verifizierung geprüft werden konnte. Es werden immer nur die minimal nötigen Rechte für den Zugriff erteilt. Durch diese und weitere Prinzipien und Funktionen entsteht ein Echtzeit-Bedrohungsschutz.
Der Aufwand für ein solches Zero-Trust Konzept ist ohne Zweifel sehr gross. Der Nutzen allerdings auch. Die Kosten und der Schaden eines erfolgreichen Angriffs dürften die Aufwände für ein Zero-Trust Konzept in nahezu jedem Fall weit übersteigen.
Massnahme 3: Sicherheit aktiv leben
Technische Massnahmen wie ein Zero-Trust-Konzept bieten guten Schutz, aber keine hundertprozentige Garantie. Der Faktor Mensch bleibt weiterhin wichtig. Ein erster konkreter Schritt zu mehr Sicherheit ist das Festlegen von Verantwortlichkeiten im Unternehmen.
So kennt etwa die Norm ISO 27001 eine verantwortliche Person für die ISMS-Themen (Informationssicherheitsmanagement). Auch wenn die ISO-Norm für dein Unternehmen vielleicht noch nicht relevant ist, so sind klare Rollen und damit verbundene Kompetenzen massgebend.
Folgende Fragen können beim Definieren der Verantwortlichkeiten helfen:
- Wer ist verantwortlich für das regelmässige Updaten aller Softwarekomponenten?
- Wer ist für das Passwortmanagement zuständig? Wie werden Passwörter gespeichert, geteilt, gelöscht und kommuniziert?
- Wie kümmert sich um Personalabgänge im Unternehmen? Welche Person kann Massnahmen wie Zugänge auf Software, Systeme, Passwörter, VPN entziehen und vergeben und einen Offboarding-Prozess mit Fokus auf IT-Sicherheit setzen?
- Wer ist verantwortlich für die Kundendaten? Welche Daten sind schützenswert?
- Wer ist verantwortlich für die Sicherheit aller eingesetzten Geräte (Laptops, PCs, Telefonie, IoT Geräte, Server/Cloud, wie auch branchenspezifische Hardware, welche mit Software verbunden ist…)?
- Bei wem läuft im Krisenfall die interne und/oder die externe Kommunikation zusammen?
- Wer kümmert sich proaktiv um das Vorantreiben von Sicherheitsmassnahmen wie Schulungen oder Prozessanpassungen?
- Wer ist zentraler Ansprechpartner für das Team?
- Wer ist Ansprechpartner für externe Dienstleister?
In kleinen Unternehmen werden diese Aufgaben oft bei einer Person gebündelt. Wichtig dabei: Vertretung organisieren, Wissen verteilen und Wissen dokumentieren – speziell für den Krisenfall.
Eine Sicherheitsnorm wie die global erkannte ISO 27001 ist ein zentraler Baustein für wirkungsvolle IT-Sicherheit. Das gilt insbesondere für Maschinenbauunternehmen, die durch die digitale Transformation neue Chancen erhalten, aber auch Risiken bewältigen müssen. Internet of Things, Remote Arbeit oder Fernwartung – diese Themen erfordern tiefgreifende Sicherheitsmassnahmen. Was viele nicht wissen: Man muss sich nicht zwingend zertifizieren lassen. Gleichwohl ist eine Zertifizierung für Kunden und Kundinnen ein Qualitätsbeweis und erzeugt Vertrauen.
Mit der ISO 27001 werden die Anforderungen für die für Einrichtung, Umsetzung, Aufrechterhaltung und Verbesserung eines Informationssicherheit-Managementsystems (kurz ISMS) definiert. Was kompliziert klingt, ist letztlich eine Art «Operating System» für alle relevanten Sicherheitsthemen in einem Unternehmen.
Wer ein solches ISMS sauber aufbaut und aktiv lebt, hat wichtige Sicherheitsaspekte im gesamten Unternehmen verankert.
Photo by Philipp Katzenberger on Unsplash
Mehr zum Thema? Jetzt Kontakt aufnehmen.
Weiterstöbern
