»Wichtig, den Umgang vorab zu schulen«

»Wichtig, den Umgang vorab zu schulen«

Florian Skopik, Thematic Coordinator Cyber Security am Center for ­Digital Safety & Security des AIT, im Gespräch.

Report: Wie können sich Betreiber von Erzeugungsanlagen und Netzen schützen?

Florian Skopik: Zu sagen, man muss Lösung X oder Y einsetzen, ist zu kurz gegriffen. Es braucht ein Gesamtpaket von bewusst aufeinander abgestimmten Teilkomponenten. Standards wie die IEC 62443 beschreiben sehr genau, welches Vorgehen anzuwenden ist, um ein hohes Schutzniveau zu erreichen. Grundsätzlich sind das alles keine komplexen Aktivitäten, jedoch Aufgaben, deren sorgfältige Durchführung Zeit sowie Geld kosten und geschulte Mitarbeiter voraussetzen. Dazu zählen ein sorgfältiges Risikomanagement genauso wie das Asset- und Konfigurationsmanagement. Nur wenn ich meine eigenen Netze, deren Komponenten und Konfigurationen genauso wie deren Schwachstellen kenne, kann ich einschätzen, wie hoch das Risiko eines Angriffs bzw. der Ausnutzung von Sicherheitslücken ist. Dann kann man als Betreiber proaktiv die richtigen Sicherheitsmaßnahmen setzen und auch mit begrenztem Budget durch gezielte Investitionen in den gefährdetsten Bereichen ein hohes Sicherheitsniveau erreichen.

Report: Welche Maßnahmen zählen zu den modernen Sicherheitsmanagementansätzen?

Skopik: Darunter fallen organisatorische Aspekte wie die Systemwartung, der eigentliche Betrieb, das Zugriffsmanagement, das Erkennen und Behandeln von Vorfällen. Die physische Sicherheit, der Umgang mit Lieferanten und Dienstleistern stehen im Vordergrund. Sicherheit lässt sich durch technische Lösungen wie die Installation einer Firewall, durch die Segmentierung der Netze, den Einsatz von Verschlüsselung wie auch durch organisatorische Aspekte – etwa Checklisten, klare Rollenverteilung, Verantwortlichkeiten und Bewusstseinsbildung der Mitarbeiter über Awareness-Schulungen – steigern.

Report: Wie sollen sich Unternehmen bei einem Sicherheitsvorfall verhalten?

Skopik: Es ist wichtig, den Umgang damit vorab geschult zu haben. Notfallübungen sind ein geeignetes Mittel, damit Mitarbeiter wissen, wer zu informieren ist und welche Maßnahmen zu ergreifen sind. Regelmäßige Penetration Tests, das Simulieren von Angriffen durch »friendly hacker« wie auch Audits und Überprüfungen durch Externe gehören in der Branche zum Standard.

back to top