Cybersecurity ist Chef-Sache!

p395289 NEUNsight Oktober 2019

Im Interview mit der NEUNsight erläutert Cyber-Security-Experte Dott. Ing. Cristiano Borelli was auf die Unternehmen und die Mitarbeiter zukommt und welche Schutzmaßnahmen ergriffen werden sollten.

NEUNsight: Welche grundlegenden Maßnahmen sollten Unternehmen ergreifen, um ein Mindestmaß an Sicherheit im Cyber-Security-Bereich zu erzielen?

Dott. Ing. Cristiano Borelli: Cybersecurity ist Chef-Sache und wird erreicht, indem angemessene technische und organisatorische Maßnahmen eingeführt werden.

Die Maßnahmen müssen in Verhältnis mit der Gefährdungslage betrachtet werden.“ (Zitat BSI Standard 200-1)

Das heißt, es müssen zuerst die kritischen Prozesse und „Assets“ erfasst werden und eine Risikobewertung nach Gefährdungslage durchgeführt werden, damit die oben genannten. Maßnahmen wirtschaftlich sind. Die erste Frage, die sich die Leitungsebene eines Unternehmens stellen muss ist, welche Auswirkungen ein Cyber-Angriff mit sich bringt, also inwiefern der Betrieb durch einen solchen Angriff beeinträchtigt würde. Hierbei muss man sich vor Augen halten, dass neben dem eigenen Unternehmen auch Kunden, Lieferanten und Geschäftspartner sowie weitere Gruppen betroffen sein können.

Die Geschäftsführung trägt die Verantwortung, die gesetzlichen Regelungen sowie Verträge mit Kunden und Lieferanten einzuhalten und soll dafür sorgen, dass der Betrieb reibungslos läuft. Dazu gehört, Cyber-Angriffe zu verhindern oder abzuwehren. Informationen fließen durch jeden Prozess des Unternehmens. Prozesse sind miteinander verzahnt und nur die Leitungsebene kann durch die Sicherstellung von Ressourcen und Budget eine reibungslose Integration der Informationssicherheit garantieren. Informationssicherheit muss ein integraler Bestandteil vom Betrieb sein.

Zu den wichtigsten Erfolgsfaktoren zählen eine verantwortungsbewusste Geschäftsführung, gesundes Risiko Management, ein gut durchdachtes Sicherheitskonzept und vor allem gut informierte Mitarbeiter, die selbstständig die organisatorischen Maßnahmen umsetzen. Das gewünschte Sicherheitsniveau ist erst vom Mitarbeiterverhalten und dann von technischen Maßnahmen abhängig.

NEUNsight: Welchen Stellenwert hat in diesem Zusammenhang die IT-Abteilung und wie sollte diese personell besetzt sein?

Dott. Ing. Cristiano Borelli: Die IT-Abteilung soll Hand in Hand mit der Sicherheitsabteilung arbeiten. Die Informationen werden zwar überwiegend in elektronischem Format verarbeitet, aber sobald sie ausgedruckt oder in Gesprächen ausgetauscht werden, verlassen sie die Domain der IT und werden in die physikalische Welt übertragen. Somit verlieren die üblichen „Antivirus“, „Firewalls“ und „Passwörter“ ihre Schutzwirkung.

Die Mitarbeiter tragen nun die Verantwortung, die Informationen zu schützen. Hier kommt die Sicherheitsabteilung mit angemessenen Zutrittskontrollen, Hilfestellung bei Geheimschutz, Notfallpläne, usw ins Spiel. Informationssicherheit hat manchmal gar nichts mit IT zu tun: Ein ganz triviales Beispiel ist die Stromversorgung des Standortes. Ohne Strom funktionieren die Server und die PC nicht mehr, die Mobilgeräte haben eine begrenzte Ladung; das heißt die Verfügbarkeit der Information ist ohne Strom gefährdet.

Natürlich muss die IT Abteilung den Stand der Technik für den Schutz der elektronischen gespeicherten Informationen gewährleisten, aber das Bewusstsein der Mitarbeiter für die Sicherheit ist der entscheidende Punkt. Auch wenn alles digitalisiert wird, sind es immer noch Menschen, die Entscheidungen treffen und “klicken”, und trotz künstlicher Intelligenz (KI) können Maschinen immer noch Fehler machen oder in die falsche Richtung steuern. Es muss vermieden werden, dass die Algorithmen von KI Black-Boxen werden.

NEUNsight: Ganze Produktionsketten und -abläufe werden zunehmend digital gesteuert. Welche sicherheitstechnischen Anforderungen werden damit an Unternehmen gestellt?

Dott. Ing. Cristiano Borelli: Die Maschinen „reden“ miteinander und lernen auch dabei. Big-Data Analyse hat ein immenses Potential bezüglich künstlicher Intelligenz (KI), aber das „A und O“ ist die Zuverlässigkeit der Informationen. Die Sicherheit beginnt bei der Gewährleistung der Zuverlässigkeit, Integrität und Verfügbarkeit der Information: Ist die Quelle der Information bekannt und vertrauenswürdig? Von wem wurde die Information erfasst? Sind die Maschinen mit dem Internet (also nicht Intranet) verbunden. Mit welchen anderen Geräten sind die Maschinen verbunden? Wer hat Einfluss auf diese Geräte, wie werden die Informationen ausgetauscht? Sind Protokolle im Spiel, die eine Gefährdung darstellen? All diese Fragen muss man sich stellen, um ein Sicherheitskonzept zu erstellen und für den Betrieb eine angemessene Sicherheitslage zu erzielen. Typischerweise haben Unternehmen Maschinen, die noch nicht „Digital-ready“ sind, sowie solche, die das „Internet of Things“ bereits unterstützen. Die Herausforderung ist es hier, die älteren Anlagen zu schützen und sie in die Wertschöpfungskette aufzunehmen.

Die Wertschöpfung findet nicht mehr an einem Standort statt und mehrere externe Unternehmen tragen zu dem Endprodukt bei. Die Liefer- und die Wertschöpfungskette müssen daher geschützt werden. Hier sind mehrere Wege möglich und alles hängt von der Risikolage ab. Daher ist es umso wichtiger, dass eine tiefe Analyse der Unternehmensprozesse vorgenommen wird. Leider kann das kostspielig sein.

NEUNsight: Wie wird sich Ihrer Meinung nach die Digitalisierung auf Unternehmenskulturen und Arbeitsabläufe auswirken?

Dott. Ing. Cristiano Borelli: Meiner Meinung nach muss man zwischen „Digital Native“ und „Digital Tansformed“ unterscheiden. Es gibt auch „möchte gerne“ Betriebe, die glauben, dass ein Intranet und ein paar elektronische Vorlagen das Unternehmen digitalisieren. Über die Digital Native würde ich nicht viel sagen, außer dass diese Generation sich relativ wenig mit Sicherheit beschäftigt (sie vertrauen der Welt), aber sie können wohl, bei einem Cyber Angriff sehr schnell reagieren und die Lage unter Kontrolle zu bekommen.

„Brick and Mortar“ Betriebe, ältere Betriebe haben einen Berg vor sich. Es gibt mindestens drei Generationen an Mitarbeitern in Unternehmen dieser Art und es ist schwierig, alle an Bord zu bekommen. Dazu kommen ältere nicht-Netzwerk-fähige Anlagen, die noch amortisiert und in die Wertschöpfungskette eingegliedert werden müssen. Hier ist es extrem wichtig, dass das Bewusstsein für die Informationssicherheit bei jedem Mitarbeiter geweckt wird. Es besteht das Risiko der Abgrenzung und dies führt zu Boykottierung, was sehr gefährlich für das Unternehmen ist. Der Weg zur Digitalisierung des Unternehmens bedeutet nicht, eine der „Big four“ ins Haus zu holen, sich von ihnen eine tiefe Re-Organisation zaubern lassen und zu glauben, dass dann alles gut ist. Change Management ist hier extrem wichtig. Alle müssen mitmachen und vor allem verstehen worum es geht. Was bedeutet für mich Digitalisierung?

NEUNsight: Wie würden Sie die Zukunft der Arbeitswelt im Jahr 2030 skizzieren?

Dott. Ing. Cristiano Borelli: Die Zukunft unserer Arbeitswelt wird von KI geprägt, und diese Intelligenz ist sehr abhängig von den Informationen, die im Lernprozess erfasst und verarbeitet werden. Diese Unmenge an Informationen kann nur mit sehr hoher Rechenpower verarbeitet werden. Die Verfügbarkeit und Integrität der Information ist daher sehr wichtig. Datenschutz wird auch ein Thema sein, weil personenbezogene Daten immer mehr unkontrolliert erfasst werden. Ein DSGVO wie wir sie heute kennen wird nicht mehr existieren. Etwas viel Umfangreicheres wird notwendig sein. Die meisten werden von Zuhause arbeiten. Der Verkehr am Boden wird ohne Ampeln stattfinden und Drohnen werden in den unteren Schichten der Luft herrschen.

Interview: Michael Storks

Bild: Pixabay (CCO)

Im Überblick

Dott. Ing. Cristiano Borelli ist ausgewiesener Cyber-Security-Experte und unterstützt seit 2018 als K.O.M.® Expert die Allensbacher K.O.M. Group im Bereich Prozess-Engineering, PKI, Informationssicherheit und Datenschutz.