Security von Anfang an mitdenken

Sechs von zehn Unternehmen wurden letztes Jahr Opfer eines Cyberangriffs – das besagt eine Studie der KPMG. Dass dies keine abstrakte, sondern tatsächlich eine reale Bedrohung ist, zeigen auch die aktuellen Beispiele Salzburg Milch oder Palfinger, die Opfer eines Hackangriffs geworden sind.

Die drei IT-Experten Reinhard Mayr vom Software-Unternehmen COPA-DATA sowie Simon Kranzer und Dominik Engel von der Fachhochschule Salzburg erklären, warum auch die Security bei Produktionsanlagen immer wichtiger wird, wie Unternehmen das Thema angehen können und was hinter den meisten Hackerangriffen steckt.

Vernetzte Produktionsanlagen als Risiko

Produktionsanlagen werden durch die Digitalisierung stärker vernetzt. Und damit auch angreifbarer für Hackerangriffe. Aus diesem Grund müssen vernetzte Produktionsanlagen genauso geschützt werden, wie die restliche IT im Unternehmen – man spricht hier von OT (Operational Technology) -Security.

Laut den IT-Experten Simon Kranzer und Dominik Engel ist IT-Security bei den meisten Unternehmen bereits angekommen, bei der OT-Security gibt es noch Aufholbedarf. Daher sind auch die erschreckenden Zahlen der KPMG-Studie nachvollziehbar, findet Reinhard Mayr von COPA-DATA. „Die Corona-Krise hat auch die Cyberangriffe auf Produktionsanlagen in die Höhe schnellen lassen. Vielen Mitarbeiter:innen wurde vom Home Office, manchmal sogar vom Privat-PC Zugriff auf zentrale Strukturen gegeben, ohne sich über die Sicherheit Gedanken zu machen.“ Dafür wurden sie natürlich anfällig für Cyberattacken. Und auch fehlendes Bewusstsein und Know-how zu OT-Security sind dem nicht gerade zuträglich.

Security ist kein Add-on

Wenn Unternehmen sich der Wichtigkeit von OT- Security bewusst werden, werden dafür oft im Nachhinein Maßnahmen getroffen. Nur ist das nachträgliche Hinzufügen von Sicherheitsmaßnahmen nicht optimal. „Security und Privacy sollte man von Anfang an integrieren und nicht als Add-on im Nachhinein hinzufügen. Dieses Konzept nennt man ‘Security und Privacy by Design’“, sagt Dominik Engel. Tatsächlich passiert das auch schon oft, aber nicht immer. „Security kostet etwas, das ist ein Investment, das sich erst auszahlt, wenn ein Angriff kommt.“

Oft ist die Funktionalität der Anlage zu Beginn wichtiger als die Sicherheit. Maschinen leisten noch mehr und verbrauchen noch weniger – das sind die Verkaufsargumente. „IT-Security ist dabei nebensächlich“, sind sich die drei Experten einig. So eine Maschine muss für viele Jahre laufen und funktionieren. Das ist auch eine Schwachstelle für die OT-Security. „Systemupdates, um eine höhere Sicherheit zu gewährleisten, oder Wartungsarbeiten werden ungern gemacht. Denn so eine Maschine muss 24/7 laufen, eine Wartung, bei der die Maschine eventuell stillstehen muss, ist teuer“, so Simon Kranzer von der FH Salzburg.

Der Faktor Mensch

Ein Hackerangriff kann jedem Unternehmen passieren. Auch COPA-DATA beobachtet regelmäßig Angriffe auf das Unternehmen. So kommen CEO-Frauds relativ häufig vor, also Mails, in dem sich der Absender als Geschäftsführer:in des Unternehmens ausgibt und sensible Informationen, wie Bankdaten, von einer Mitarbeiterin oder einem Mitarbeiter abfragt. Hier raten die Experten dazu, lieber einmal öfter nachzufragen, ob dieses Mail tatsächlich vom vermeintlichen Absender stammt.

Auch eine klassische Denial of Service Attacke hat COPA-DATA schon erlebt. Die Webseite war so stark unter Beschuss von Hackerangriffen, dass der Server überlastet war. Daraus hat COPA-DATA, bzw. der Server-Anbieter viel gelernt.

Generell sieht Reinhard Mayr als größte Schwäche bei IT und OT-Security den Faktor Mensch. Die Awareness ist bei vielen Menschen für dieses Thema nicht gegeben. Damit häufen sich die Angriffe, die auf die Unwissenheit von Mitarbeiter:innen abzielen.

Einfache Sicherheitsmaßnahmen zeigen Wirkung

Sicherheitsmaßnahmen, wie die Verschlüsselung von Dokumenten, können dabei helfen. Für Produktionsanlagen schützt Security by Design vor einer großen Palette an Angriffen. Hundertprozentige Sicherheit gibt es aber nie, da sind sich die drei Experten einig. Unternehmen, die noch keine Security-Strategie haben, raten sie, sich anzuschauen, welche Bereiche es zu beschützen gilt. Einfache Gegenmaßnahmen helfen dabei, Standardangriffe abzuwehren. Und in den meisten Fällen sind es Standardangriffe – Streuattacken, die nicht gezielt ein Unternehmen angreifen, sondern so viele wie möglich.

It’s all about the money

Der Beweggrund für Hackerangriffe ist ein ganz einfacher. „In den meisten Fällen geht es ums Geld“, sind sich die Experten einig. Bei den Hackern handelt es sich im überwiegenden Teil um professionelle kriminelle Organisationen. Mit Pishing-Mails, CEO-Fraud, Datendiebstahl oder anderen kriminellen Methoden wollen sie Geld erpressen. Dabei kann es sogar soweit gehen, dass ganze Produktionsstraßen stillstehen, bis das Geld am Konto der Betrüger gelangt. In den wenigsten Fällen handelt es sich bei den Hackerangriffen um staatliche Akteure, die hochgradig professionell agieren. Diese greifen aber meistens kritische Infrastruktur an, wie Energieanbieter, jedoch weniger produzierende KMU.

Zusammenarbeit in der Digitalisierung

Wie können KMU das Thema IT- und OT-Security nun angehen? Ihnen fehlt es oft an Know-how für Security-Themen, das IT-Personal ist quasi nicht vorhanden. Hier rät Simon Kranzer zur Zusammenarbeit und hebt die Rolle von Innovation Salzburg als intermediäre Stelle heraus: „Innovation Salzburg kann KMU, die Unterstützung bei der Security brauchen, an die richtigen Stellen vermitteln. Es braucht eine Zusammenarbeit zwischen Sicherheitsanbietern, Digitalisierungsanbietern und den produzierenden Unternehmen.”

Dominik Engel meint, dass die Digitalisierung und damit auch Security alternativlos sind. Ohne digitale Prozesse wird man über kurz oder lang nicht mehr wettbewerbsfähig sein. Die Experten plädieren dafür, diese Chance zu nutzen und natürlich Security dabei gleich mitzudenken – dann klappt es auch mit der Abwehr von Hackerangriffen.