Digitale Ambition – Kernpunkt: Plant Security
Ein nachhaltiges Wachstum in unserer immer mehr vernetzten, smarter werdenden Zeit erfordert Anpassung an die neuen Bedürfnisse der Kunden – und das schnell und effizient. Mit den richtigen innovativen wie digitalen Tools können Unternehmen dies auf clevere Art und Weise erreichen.
Plant Security Touch
Um den Erfolg technischer Neuheiten sicherstellen zu können, müssen Unternehmen ab sofort vor allem eines tun: den Menschen und die Plant Security in den Mittelpunkt stellen – und zwar alternativlos.
‚Business as usual‘
Plant Security sowie Safety müssen „business as usual“ und als Basis in der Unternehmenskultur verankert sein.
Chee Hoe Lee, General Manager Strategic Business Global IA Cyber Security Evangelist, Yokogawa Engineering Asia Pte Ltd, stand im Rahmen eines Interviews für Fragen zu diesem Thema Rede und Antwort:
Herr Lee, gibt es für Sie Maximen unternehmerischen Handelns in unserer heutigen smarten Zeit?
Chee Hoe Lee: Ja, die gibt es. Stellen Sie Menschen in den Mittelpunkt. Die Maxime lautet: Wir müssen ein grundsätzliches gemeinsames Verständnis, eine Strategie dazu entwickeln, wo wir stehen und aus welcher Haltung heraus wir agieren, welche Unternehmenskultur wir im Fokus haben und entwickeln wollen.
Konkret für die Cyber-Resilienz ist es mittlerweile unabdingbar, dass Unternehmen das Bewusstsein ihrer Mitarbeiter im Hinblick auf Cyber-Kriminalität dauerhaft schärfen. Mit speziellen Trainings wird Angestellten ein Grundverständnis für die Vorgehensweisen und Methoden – Social Engineering – von Cyber-Kriminellen vermittelt. Dadurch werden die Mitarbeiter in die Lage versetzt, Betrugsversuche leichter zu erkennen und entsprechend auf diese zu reagieren.
Neben dem Faktor Mensch ist Plant Security ein charakterisierender Key Enabler für eine erfolgreiche Implementierung innovativer Technologien. Warum?
Lee: Plant Security ist ein wichtiger Faktor für den Einsatz innovativer Technologien, weil durch die erhöhte Konnektivität und Interaktion der Fertigungsprozesse secure und resiliente Kommunikationswege – praktisch Schutzschilder für das Unternehmen – notwendig sind. Denn mit der digital vernetzten Fertigung steigt auch das Risiko von Cyberattacken und somit die Notwendigkeit, Industrial Control Systems (ICS) vor derartigen Angriffen zu schützen, um drohende finanzielle als auch Reputationsfolgen durch Produktionsausfälle, Beschädigungen des Maschinenparks, Patentdiebstahl oder Cyber-Erpressungen zu umgehen.
Welche Plant-Security-Aspekte „brennen den Unternehmen derzeit unter den Nägeln“?
Lee: Um Risiken für den reibungslosen Ablauf der Geschäftsprozesse auszuschließen, muss das Management sämtliche Faktoren sorgsam abschätzen. Um zuverlässige Resultate erreichen zu können, werden im Normalfall Business Impact Analysis (BIA) und Risiko-Analysen parallel und in Abstimmung ausgeführt. Nur so können die Auswirkungen von Beeinträchtigungen auf Unternehmensaktivitäten durch Cyber-Security-Ausfälle/ Wahrscheinlichkeiten vollständig bewertet werden.
Die folgenden Ingredienzen dienen zur bestmöglichen Business Impact Analysis (BIA) sowie Risiko-Analyse:
Asset Inventory
Asset Inventory ist ein signifikanter Bestandteil der Plant-Security-Strategie eines Unternehmens. Hier werden detaillierte Informationen über den Hardware- und Softwarebestand – wie zum Beispiel DCS/PLC, Sensoren, Aktoren, Ventilen, Transmittern, Firewalls, Netzwerkrouter, Switche, Rechner, Server und Drucker – inklusive dem aktuellen Zustand erfasst. Mittels dieser Bestandsaufnahme können fundierte Entscheidungen über die Weiterentwicklung von notwendigen Security-Portfolio-Infrastrukturprojekten angestoßen werden. Denn: Nur was ich kenne, kann ich auch effektiv schützen.
Bowtie-Diagramm
Das Bowtie-Diagramm ist ein repräsentatives, Visualisierungsinstrument für komplexe Risiken, also für die Bewertung von Risikosituationen. Das Fliegerdiagramm bietet eine wertvolle Struktur, um Kontrollmaßnahmen anzuwenden und Security-Vorfälle zu vermeiden. Durch diese klare Risikovisualisierung wird die Bedeutung eines OT/ IT-Prozesses für Unternehmen deutlich. Er ist leicht verständlich, nicht nur für Security-Mitarbeiter, sondern auch für alle anderen Mitarbeiter innerhalb des Unternehmens.
Enormes Potenzial durch Bowtie-Diagramme
Kurz gesagt: Die Verwendung von Bowtie-Diagrammen für die Security bietet ein enormes Potenzial, um die Kontrolle über IP, Vermögenswerte, Marktanteile, Umsatz und Reputation im Auge zu behalten.
Darüber hinaus kann das Bowtie-Diagramm auch auf die funktionale Sicherheits-Risikobewertung angewendet werden. Da die funktionale Sicherheit und Plant Security eng miteinander verflochten sind, kann es helfen, den Ansatz zu harmonisieren.
Threat Modeling
Threat Modeling ist ein Bedrohungsmodellierungsprozess, mit dem potenzielle Bedrohungen wie strukturelle Schwachstellen aus der Sicht hypothetischer Cyber-Attacken identifiziert, aufgezählt und priorisiert werden können. Threat Modeling unterstützt den Aufbau einer vollständigen Security-Architektur mit einem angemessenen Security-Niveau und trägt damit dazu bei, die Angriffsfläche des untersuchten Systems zu minimieren.
Abbildung: Cyber-Security-Maßnahmen und bewährte Verfahren
Die aktuelle ENISA (European Union Agency For Network and Information Security)-Studie macht deutlich, dass u.a. Asset Management, Risk & Threat Management sowie Training and Awareness geeignete und bewährte Cyber-Security-Maßnahmen sind.
Quelle: European Union Agency For Network and Information Security, Good Practices for Security of Internet of Things in the context of Smart Manufacturing; November 2018
https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot
