Weil Cybercrime keine Grenzen kennt, muss die Cyber Security international in Abwehrstellung gehen. Dafür existieren globale Sicherheitsstandards wie die ISO27000 Normenreihe, IEC 62443 oder NIST. Mit Security by Design gibt es gar einen Ansatz, der Hardware, Software und Prozesse „ab Werk“ sicher machen soll. Wir geben einen Überblick.

In einer immer stärker vernetzten Welt nehmen die globalen Bedrohungen zu. Dazu werden die Cyberkriminellen immer besser und Angriffe immer komplexer. Allein die Zahl der Ransomware-Angriffe auf IT- und OT-Infrastruktur ist vor allem in der Corona-Krise enorm gestiegen, wie es auch der 2021 Cyber Trends Report von Check Point belegt:

  • Die weltweiten Cyberangriffe haben insgesamt um 29 %
  • Ransomware-Angriffe stiegen in den letzten sechs Monaten um 93 %.
  • US-Organisationen wurden im Jahr 2021 durchschnittlich 443 Mal pro Woche angegriffen, was einem Anstieg von 17 % im Vergleich zum Vorjahr bedeutet.
  • In der EMEA-Region lag der Wochendurchschnitt bei 777 Angriffen pro Organisation, was einem Anstieg von 36 %
  • APAC Organisationen sahen sich 338 wöchentlichen Angriffen augesetzt, was einem Anstieg von 13 % entspricht.

Cybersicherheit ist von existentieller Bedeutung

Dabei ist ist die Cybersicherheit in vielen Branchen von existentieller Bedeutung. Vor allem im Bereich kritischer Infrastrukturen (KRITIS), zu denen unter anderem die Sektoren Energie, Transport und Verkehr, Wasser- und Lebensmittelversorgung wie auch der öffentliche Nahverkehr gehören. Auch die gehäuften Angriffe auf Informations- und Betriebstechnologien zeigen, dass es für zunehmend vernetzte IT/OT-Systeme – neben rein technologischen Lösungen – mehr denn je standardisierte Sicherheitskonzepte braucht.

Denn diese bieten eine Reihe an Best Practices und Vorgaben, die dabei helfen, ein grundlegendes Verständnis für die eigene Cybersicherheit auf Prozessebene zu schaffen, diese zu organisieren und zu verbessern. Mit global gültigen Standards lässt sich zudem die Basis für ein einheitlich hohes Sicherheitsniveau zur Stärkung grenzübergreifender Cyberwiderstandsfähigkeit schaffen. Die Crux dabei ist nur, dass die Umsetzung meist sehr komplex ist und viele Unternehmen damit überfordert sind.

Welche wichtigen globalen Standards gibt es?

  • Auf EU-Ebene wurden mit der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie), mit der zweiten Zahlungsdiensterichtlinie (PSD2) und dem Cyber Security Act wichtige Bausteine einer verbesserten Cybersicherheitsstruktur verabschiedet.
  • Die internationale Normenreihe IEC 62443 befasst sich mit der Cyber Security von „Industrial Automation and Control Systems” (IACS) und verfolgt einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.
  • Das als Goldstandard geltende Cyber Security Framework des National Institute of Standards and Technology (NIST) bietet eine Reihe an Best Practices und Richtlinien, die ein grundlegendes Verständnis für die eigene Cybersicherheit schaffen und dabei helfen, diese zu organisieren und zu verbessern.
  • Die ISO 27000 Normenreihe ist eine Reihe von Standards zur Informationssicherheit, die festlegt, welche Standards ein Informationssicherheitsmanagementsystem (ISMS) erfüllen muss. Dank ihr können Unternehmen und Organisationen nachweisen, dass sie die Anforderungen der Informationssicherheit erfüllen und Maßnahmen zum Datenschutz durchgeführt haben.

Kann Security by Design die Umsetzung erleichtern?

„Security by Design“ ist ein Ansatz, der die Cybersicherheit von Anfang an im Entwicklungsprozess berücksichtigt und in den Lebenszyklus von Software- oder Hardware-Komponenten integriert.

Das Ziel ist es, Produkte zu entwickeln und auf den Markt zu bringen, die von Grund auf frei von Schwachstellen sind und sich gegenüber Angriffen und anderen Sicherheitsbedrohungen robust verhalten. Oder anders ausgedrückt: Security by Design bietet Sicherheit bereits ab Werk.

Dabei sind die meisten Unternehmen – auch mit der Hilfe von Beratung durch Experten – in der Lage, die richtigen Produkte für ihren Sicherheitsbedarf zu kaufen. Jedoch scheitern sie meist daran, die dazu notwendigen Prozesse im Unternehmen einzuführen. Dabei kann Security by Design auch die Umsetzung der Standards auf Prozessebene erleichtern. Denn es ist absolut empfehlenswert, bereits bei organisatorischen Änderungen oder der Einführung neuer Services und Prozesse an die Cyber Security zu denken und diese in das Service- bzw. Prozessdesign zu integrieren.

Vorteile durch Security by Design:

  • Reduziertes Risiko für Sicherheitslücken und Schwachstellen in der Hard- und Software sowie in Prozessen
  • Geringere Wahrscheinlichkeit, Opfer eines Angriffs oder einer anderen Sicherheitsbedrohung zu werden
  • Höhere Qualität und Robustheit der Produkte und Prozesse
  • Weniger Kosten für die Beseitigung von Schwachstellen und Sicherheitslücken
  • Vermeidung von Produktionsausfällen in der Industrie 4.0

Standards sind gut, sichere Prozesse sind besser

Sie merken: Durch einheitliche und global allgemeingültige Cyber-Security-Standards ist es möglich, ein grundlegendes Verständnis für die eigene Cybersicherheit auf Prozessebene zu schaffen und damit das Sicherheitsniveau anzuheben. Dabei kommt es vor allem darauf an, den Sicherheitsaspekt so früh wie möglich ins eigene Prozessdesign zu integrieren. Allerdings haben das Design sicherer Prozesse und der Aufbau einer sicheren Infrastruktur eine hohe Komplexität, die nicht so leicht zu bewältigen ist.

Wir meinen: Verschaffen Sie sich einen Überblick, lassen Sie sich nicht überwältigen und holen Sie sich einen erfahrenen Experten ins Boot, wenn es nötig ist. Dazu bietet auch Security by

Design einen lohnenden Ansatz, der mögliche Sicherheitsprobleme bereits beim Ursprung adressiert.

VOLKER SCHOLZ | SENIOR SECURITY ARCHITECT Volker Scholz ist Diplom-Wirtschaftsingenieur mit den Schwerpunkten Systemtechnik und Betriebswirtschaftliche Planungssysteme. Seit mehr als 12 Jahren arbeitet er im Bereich Cyber Security, davon 9 Jahre in einem Industrieunternehmen und seit September 2016 bei Axians. Seine Schwerpunkte sind Security-Architekturen, organisatorische Cybersicherheit, Managed Security Services sowie Security as a Service.