[datensicherheit.de, 27.03.2023] In den Unternehmen unserer Tage berührt das Thema Cyber-Sicherheit offensichtlich auf die eine oder andere Weise praktisch jeden Bereich – von den kundenorientierten Anwendungen bis zu den Datenbankservern. „Trotz aller Vorteile, die die Technologie mit sich bringt, stellt sie in den Augen von Cyber-Kriminellen auch eine Chance dar, und jeder Teil der digitalen Infrastruktur kann ein Ziel sein“, warnt daher Absolute Software in einer aktuellen Stellungnahme.

Angriffsfläche, mit der Unternehmen konfrontiert sind, immer komplexer

„Diese Tatsache macht Cyber-Sicherheit und Risikominderung zu einem wichtigen Schwerpunkt, da die Bedrohungslandschaft und die Angriffsfläche, mit der Unternehmen konfrontiert sind, immer komplexer werden.“

Selbst die größten Unternehmen seien nicht immun: Allein ein Ransomware-Angriff habe z.B. dem globalen Giganten FedEx bereits 2017 300 Millionen US-Dollar Schaden verursacht.

Um sich gegen Angriffe zu wappnen, orientierten sich viele Unternehmen an Industriestandards wie dem „Cybersecurity Framework“ (CSF) des National Institute of Standards and Technology (NIST) und der International Organization for Standardization (ISO) / International Electrotechnical Commission (IEC) „27001:2022“, um ihren Sicherheitsansatz zu verbessern.

Wegleitung für Unternehmen, um Kontrollen der Cyber-Sicherheit zu systematisieren

„Das NIST CSF bietet freiwillige Leitlinien auf der Grundlage bestehender Standards und bewährter Verfahren mit dem Ziel, Unternehmen bei der Verwaltung von Cyber-Sicherheitsrisiken zu unterstützen.“ Ursprünglich sei es für Unternehmen mit Kritischen Infrastrukturen (Kritis) entwickelt worden, doch heute nutzten es verschiedene Arten von Unternehmen auf der ganzen Welt.

Für viele Unternehmen erfülle die „ISO/IEC 27001:2022“ eine ähnliche Funktion: „Die ,ISO/IEC 27001‘, die in Zusammenarbeit zwischen der ISO und der IEC entwickelt wurde, ist Teil einer speziellen Normenfamilie, die vielerorts Anwendung findet und eine Vielzahl von Kontrollen im Zusammenhang mit dem Sicherheitsrisikomanagement abdeckt.“

Diese beschreibe einen Weg für Unternehmen, um die Kontrollen der Cyber-Sicherheit zu systematisieren, und könne auf verschiedene Situationen oder ein viel umfassenderes Informationssicherheits-Managementsystem (ISMS) angewendet werden. Unternehmen könnten die „ISO/IEC 27001“-Zertifizierung nutzen, um ihr Engagement für die Sicherheit zu demonstrieren.

Aktueller Kurzbericht über Compliance in Unternehmen von Absolute Software

Im aktuellen Kurzbericht über Compliance in Unternehmen geht Absolute Software nach eigenen Angaben sowohl auf das „NIST CSF“ als auch auf „ISO/IEC 27001:2022“ ein und erläutert, „wie Software helfen kann, einige der beiden Anforderungen zu erfüllen“. Die Verringerung des Risikos von Cyber-Angriffen erfordere einen umfassenden Sicherheitsansatz. Beide Frameworks böten IT-Verantwortlichen die Möglichkeit, ihre Sicherheitslage und ihre Pläne für zukünftige Investitionen zu bewerten.

Cyber-Sicherheit könne nicht nur die Angelegenheit der Sicherheitsteams sein. Im Zeitalter der Digitalen Transformation sollte das Ziel von Sicherheitsinitiativen darin bestehen, den Geschäftsbetrieb so zu unterstützen, dass Mitarbeiter, Ressourcen und Kunden geschützt werden.

„Unabhängig davon, für welches Cyber-Sicherheits-Framework sich ein Unternehmen entscheidet, um seine Sicherheitsstrategie darauf auszurichten, ist es wichtig, über die nötigen Ressourcen zu verfügen, um die Compliance zu gewährleisten“, so Absolute Software abschließend.

Weitere Informationen zum Thema:

ABSOLUTE
Strengthening Security and Compliance Posture through Cyber Resilience in Enterprises

[datensicherheit.de, 04.07.2018] In einem Gastbeitrag geht Catherine Bischofberger, Autorin und Technische Kommunikationsbeauftragte bei der IEC, der Internationalen Normen- und Konformitätsbewertungsstelle für alle Bereiche der Elektrotechnik mit Sitz in Genf, der brennenden Frage nach, wie die „Kritische Infrastruktur von morgen“ geschützt werden kann. Sie setzt hierzu auf spezifische internationale Standards in Kombination mit einem dedizierten und weltweiten Zertifizierungsprogramm.

Ballungsgebiete im Visier hochentwickelte Cyber-Waffen

Man möge sich hierzu eine Stadt von der Größe Londons vorstellen, welche zwangsläufig ins Chaos stürzt, wenn der Öffentliche Personennahverkehr (ÖPNV) zum Erliegen kommt – wenn dann noch die Beleuchtung ausgeht…
Dies sei nicht mehr nur der Stoff von Alpträumen oder das Szenario eines Katastrophenfilms, vielmehr aber eine „reale Möglichkeit, die jeden Tag wahrscheinlicher wird“. Denn Einrichtungen der sogenannten Kritischen Infrastruktur, ob konventionelle Stromlieferanten oder Kernkraftwerke, Eisenbahnfernverkehr oder lokale Untergrundbahnen bzw. andere Formen von
ÖPNV, werden zunehmend Ziele von Cyber-Angriffen.
Hochentwickelte Cyber-Waffen seien bereits entwickelt worden – einschließlich Malware, die den Betrieb von industriellen Kontrollsystemen stören soll. Der zunehmende Einsatz vernetzter Geräte im industriellen Umfeld mache Cyber-Angriffe wahrscheinlicher. Laut des Berichts „ Threat Landscape for Industrial Automation Systems“, veröffentlicht von KASPERSKY lab, seien 18.000 verschiedene Malware-Modifikationen für industrielle Automatisierungssysteme in den ersten sechs Monaten des Jahres 2017 entdeckt worden.

Gesamte Wertschöpfungskette jetzt und zukünftig schützen!

Unter „Machine-to-Machine“-Kommunikation sei eine Reihe von Technologien zu verstehen, die es vernetzten Geräten ermöglichen zu interoperieren, Informationen austauschen oder Aktionen durchführen – oft drahtlos und ohne manuellen Eingriff von Menschen. Sensoren seien in eine wachsenden Anzahl von Geräten eingebettet, um mit deren Hilfe die Automatisierung und Verwaltung von Prozessleitsystemen einschließlich der Übertragung und Verteilung von Elektrizität zu ermöglichen. Während sie unbestreitbare Vorteile in Bezug auf Kosten und Wartung böten, seien sie auch zunehmend anfällig für Hacker-Angriffe.
Cyber-Sicherheit sei daher eines der Hauptanliegen derer, die moderne Fertigungsanlagen sowie jede Art von Kritischer Infrastruktur verwalten. Eine der wenigen Möglichkeiten, diese Einrichtungen jetzt und in Zukunft zu sichern, seien standardisierte Schutzmaßnahmen.
Effiziente Sicherheitsprozesse und -verfahren deckten die gesamte Wertschöpfungskette ab, von den Herstellern von Automatisierungstechnik für Maschinen- und Anlagenbauer, über Installateure bis hin zu den Betreibern. Schutzmaßnahmen sollten nicht nur aktuellen Sicherheitslücken begegnen, sondern auch präventiv ausgerichtet sein, um auf zukünftige vorbereitet zu sein.
Institutionen müssten die Risiken verstehen und mindern sowie sichere Technologien installieren, um die Widerstandsfähigkeit gegenüber Cyber-Angriffen zu erhöhen. „Dies bedeutet die Umsetzung einer ganzheitlichen Cyber-Sicherheitsstrategie auf organisatorischer, prozessualer und technischer Ebene“, betont Bischofberger. Eine solche Strategie müsse umfassende und standardisierte Maßnahmen, Prozesse und technische Mittel sowie die Vorbereitung von Menschen umfassen. Daneben müsse es aber auch den Rückgriff auf ein international anerkanntes Zertifizierungssystem bieten.

Grundlegende Reihe von Standards für Cyber-Sicherheit

Die IEC habe kürzlich die Richtlinien IEC 62443-4-1-2018 veröffentlicht, die neueste in einer Reihe entscheidender Veröffentlichungen, welche „präzise Richtlinien und Spezifikationen für die Cyber-Sicherheit enthält, die für eine Vielzahl von Branchen und Kritischen Infrastruktur-Umgebungen anwendbar sind“, so Bischofberger. Die IEC 62443-Serie empfiehlt demnach, dass Sicherheit ein integraler Bestandteil des Entwicklungsprozesses sein sollte, wobei Sicherheitsfunktionen bereits in den Maschinen und Systemen zu implementieren sind.
Diese horizontalen Standards fänden auch im Verkehrssektor Anwendung: Eine Reihe von Richtlinien zur Cyber-Sicherheit an Bord von Schiffen, von der Internationalen Seeschiffahrtsorganisation (IMO) verabschiedet, nähmen Bezug auf die IEC 62243. Die „Shift2Rail“, eine Initiative, die die wichtigsten europäischen Eisenbahnakteure zusammenbringt, zielt laut Bischofberger darauf ab zu definieren, wie verschiedene Aspekte der Cyber-Sicherheit auf den Eisenbahnsektor angewendet werden sollten. Sie habe anwendbare Standards bewertet und die IEC 62443-Publikationen ausgewählt.
Die IEC 62443-Standards seien außerdem mit dem Cyber-Sicherheitsrahmen des US-amerikanischen National Institute of Standards and Technology (NIST) kompatibel.

International anerkannte Zertifizierung als Basis der Cyber-Sicherheit

Bischofberger: „Ein weiterer Segen ist, dass die 62443-Standards ihr eigenes Zertifizierungsprogramm haben. Die IEC ist die einzige Organisation auf der Welt, die eine internationale und standardisierte Form der Zertifizierung anbietet, die sich mit Cyber-Sicherheit befasst.“ Diese werde von IECEE, dem IEC-System für Konformitätsbewertungssysteme für elektrotechnische Geräte und Komponenten, geliefert. „Das Industrie-Cyber-Sicherheitsprogramm IECEE testet und zertifiziert Cyber-Sicherheit in der Industrieautomation“, so Bischofberger.
Die IEC arbeite auch mit der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) zusammen, um ein gemeinsames Regelungsdokument mit den Schwerpunkten Konformitätsbewertung und Cyber-Sicherheit zu erstellen. Ziel dieses Dokuments sei die Bereitstellung einer Methodik für einen umfassenden Systemansatz zur Konformitätsbewertung, die auf jedes technische System im Bereich der Cyber-Sicherheit angewendet werden kann.
„Cyber-Schutz auf kosteneffektive Weise zu erreichen, resultiert aus der Anwendung des richtigen Schutzes an den entsprechenden Stellen im System, um das Risiko und die Folgen eines Cyber-Angriffs zu begrenzen. Dazu gehört die Modellierung des Systems, die Durchführung einer Risikoanalyse, die Auswahl der richtigen Sicherheitsanforderungen, die Teil der IEC-Normen sind, und die Anwendung der entsprechenden Konformitätsbewertung auf die Anforderungen gemäß der Risikoanalyse. Wir müssen die Komponenten des Systems, die Kompetenzen der Personen, die es entwerfen, betreiben und warten, sowie die Prozesse und Verfahren, die für seine Ausführung verwendet werden, beurteilen. Dieser ganzheitliche Ansatz zur Konformitätsbewertung ist unerlässlich, um Anlagen, insbesondere Kritische Infrastrukturen, vor Cyber-Kriminalität zu schützen“, erläutert David Hanlon, Sekretär des „IEC Conformity Assessment Board“.
Bischofberger ergänzt abschließend: „In einer Welt, in der Cyber-Bedrohungen allgegenwärtig sind, ist es eine der besten Möglichkeiten, den langfristigen Cyber-Schutz Kritischer Infrastrukturen zu gewährleisten, indem Sie in der Lage sind, spezifische internationale Standards in Kombination mit einem dedizierten, weltweiten Zertifizierungsprogramm anzuwenden.“

Foto: IEC – International Electrotechnical Commission, Genf (CH)

Catherine Bischofberger: Internationale Standards in Kombination mit weltweitem Zertifizierungsprogramm!

Weitere Informationen zum Thema:

KASPERSKY lab – ICS CERT
Threat Landscape for Industrial Automation Systems in H1 2017

IEC
ISO/IEC JTC 1/SC 27 / IT security techniques

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

datensicherheit.de, 09.07.2015
ISO 27034-basiertes Certified Secure Software Development & Testing