Sicherheit ist keine Selbstverständlichkeit

com! professional: Wie ist Ihre Erfahrung aus dem Arbeitsalltag: Gehen Unternehmen zu sorglos mit ihren Daten um? Viele haben Bedenken, im Wettbewerb den Anschluss zu verpassen - es wird in digitale Prozesse investiert, die Sicherheit wird aber häufig vernachlässigt …

Vollmer: Die Sicherheit der Daten sehen viele immer noch als ein notwendiges Übel und bei Weitem nicht als Selbstverständlichkeit. Unternehmen implementieren Sicherheitsmaßnahmen deshalb oft nur, wenn das von Kunden, Zulieferern oder Regularien gefordert wird. Noch zu wenige Firmen haben bisher verstanden, dass Cybersecurity auch ein En­abler für zukünftiges Geschäft ist und damit ein Wettbewerbsvorteil. Das sollte sich unbedingt ändern.

Vollmer: Die Ausgaben für Safety und Security werden keineswegs nach dem Zufallsprinzip ermittelt oder ausgewürfelt. Sie resultieren vielmehr aus dem anzunehmenden Risiko. Im Bereich Safety lassen sich die Risken meist sehr genau kalkulieren.

Das Risiko eines Cyberangriffs ist dagegen nur schwer bewertbar. Kleine und mittlere Unternehmen haben das Pro­blem, dass sie im Gegensatz zu großen Konzernen meist nicht in der Lage sind, dieses Risiko auch nur im Entferntesten messbar zu machen. Sie haben für Cybersecurity daher oft nicht ausreichend Budget zur Verfügung und sind dadurch auch verwundbarer.

Vollmer: Genau genommen geht es hier um zwei Risiken. So werden kostengünstige Produkte oft nicht nach dem Konzept „Security by Design“ hergestellt, bei dem die Sicherheit bereits im Produkt selbst integriert ist. Das zweite Risiko betrifft die Bereiche OT, also Operational Technology, und IT. Während es in der IT bereits Best Practices und etablierte Vorgehensweisen gibt, um sich zu schützen, steht die Wirtschaft noch ganz am Anfang, wenn es um geeignete Sicherheitsmaßnahmen für die Operational Technology, das Internet of Things und das Industrial Internet of Things geht.

Vollmer: Unter Operational Technology versteht man Technologie für den Betrieb, etwa industrielle Steueranlagen. Hier gibt es wesentliche Unterschiede zur normalen IT. Der gravierendste Unterschied ist die Häufigkeit von Updates. Während in einer IT-Umgebung beim Erkennen einer Schwachstelle mal schnell ein Sicherheits-Update im Hintergrund installiert wird, sieht das bei OT ganz anders aus. Industrielle Steueranlagen haben einen sehr viel höheren Wert als IT-Geräte und befinden sich in Produktionsumgebungen im Dauerbetrieb, ohne die Möglichkeit, kurz für ein Update ausgeschaltet zu werden. Um OT zu schützen, bedarf es spezieller Sicherheitskonzepte, die auf maßgeschneiderte Lösungen im Produktionsumfeld angepasst werden können.

Vollmer: Ja, das ist richtig. Investitionen nur in IT oder nur in OT ergeben wenig Sinn. Wir müssen immer beides berücksichtigen, denn beide Bereiche sind immer stärker miteinander verwoben. Und schließlich ist eine Kette nur so stark wie ihr schwächstes Glied.

com! professional: Zum Schluss ein kurzer Blick in die Glaskugel: Wie wird sich die IT-Sicherheitslage Ihrer Einschätzung nach in den nächsten Monaten und Jahren verändern? Welche neuen Gefahren kommen auf Unternehmen zu?

Vollmer: Wir haben es ja bereits angesprochen - es geht um OT-Security. Die Absicherung von Operational Technology wird in den kommenden Jahren für Unternehmen wichtiger werden. Aktuell hinken sie diesbezüglich noch hinterher.  Das hat natürlich zur Folge, dass industrielle Anlagen momentan noch vielen Bedrohungen ausgesetzt und zu wenig geschützt sind.