IT-Security – von Haus aus sicher
Moderne Unternehmen und ihre Gebäude müssen nicht nur vor klassischen Gefahren wie Brand oder Einbruch, sondern auch vor Cyberkriminalität geschützt werden. Je weiter die Digitalisierung der Wirtschaft voranschreitet, desto stärker wächst auch der Bedarf an Informationssicherheit. Um effizienter und flexibler zu produzieren, vernetzen Unternehmen zunehmend ihre Maschinen und Abläufe ― Stichwort Industrie 4.0.
Auch die Firmengebäude werden immer schlauer: Komponenten wie Heizung, Lüftung, Beleuchtung, Pforte, Türen, Fenster und Aufzüge sind oft in ein vernetztes Gesamtsystem eingebunden, um den Energieverbrauch und die Sicherheit zentral überwachen und steuern zu können. So kommt es, dass die Zahl der internetfähigen Geräte exponentiell zunimmt. Alle Branchen produzieren über die verbauten Sensoren und gebäudetechnischen Systeme schon heute viele Daten, die es zu schützen gilt – vor allem vor Hackern.
IT-Security ist für viele Unternehmen der entscheidende Faktor, wenn es darum geht, wie weit sie sich in die digitale Zukunft hinauswagen.
Neue gesetzliche Rahmenbedingungen
Schließlich trägt auch der Gesetzgeber dazu bei, dass IT-Security in den Fokus der Betriebe rückt. Das 2015 in Kraft getretenen IT-Sicherheitsgesetz setzt dort an, wo sich eine moderne Gesellschaft Ausfälle am wenigsten leisten kann: bei den Kritischen Infrastrukturen (KRITIS). Branchen wie Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sind verpflichtet, ihre IT angemessen abzusichern und diesen Schutz mindestens alle zwei Jahre zu überprüfen. Noch in diesem Jahr soll dieses erste IT-Sicherheitsgesetz weiterentwickelt und verschärft werden. Die neue Version ITSiG 2.0 sieht unter anderem vor, die Rolle des BSI als zentraler Behörde zu stärken, die KRITIS-Sektoren zu erweitern, sogenannte KRITIS-Kernkomponenten zu definieren und die Strafen bei Verstößen drastisch zu erhöhen. Neu ist zudem der ganzheitliche Ansatz – zum Beispiel betrachtet das BSI künftig auch die IoT-Systeme und -Geräte der Unternehmen.
Immer mehr Cyber-Attacken
Laut einer Studie des Digitalverbands Bitkom hat die Zahl der Cyber-Attacken für gut acht von zehn Industrieunternehmen (84 Prozent) in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel (37 Prozent) sogar stark. Die Angriffe gehen von digitalen Kleinkriminellen, aber auch von organisierter Kriminalität oder gar Hackern im Staatsauftrag aus.
Auch der Faktor Mensch ist eine Schwachstelle: Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werden zum Beispiel Mitarbeiter dazu verleitet, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln oder Schadsoftware zu installieren. Auf dieses Phänomen, das Fachleute „Social Engineering“ nennen, muss eine moderne IT-Security ebenso reagieren wie auf Schwachstellen in Computersystemen und Netzwerken.
Sicherheit als Voraussetzung für Innovationen
„IT-Security ist für viele Unternehmen der entscheidende Faktor, wenn es darum geht, wie weit sie sich in die digitale Zukunft hinauswagen“, sagt André Heuer, Verantwortlicher für Informationssicherheit bei Bosch Energy and Building Solutions. Das bestätigt eine Studie von Bitkom Research im Auftrag von Ernst & Young aus dem Jahr 2018. Mehr als 600 Unternehmen des verarbeitenden Gewerbes in Deutschland und der Schweiz wurden zu Einsatz, Potenzial und Hemmnissen von Industrie 4.0-Lösungen befragt. 98 Prozent der Unternehmen gaben an, dass IT-Sicherheit für ihr Geschäftsmodell sehr wichtig ist – noch vor digitalen Trends wie Machine-to-Machine-Kommunikation oder Cloud Computing.
Im gleichen Jahr kam die Trendstudie „Unterwegs zu digitalen Welten“ von Bitkom Research zu dem Ergebnis, dass Sicherheit für die meisten Unternehmen vor Innovationen geht: 62 Prozent der befragten Betriebe investieren in IT-Sicherheitslösungen – zehn Prozent mehr als in Datenanalyse-Tools.
Cyber-Security auch für KMUs
„Auch wenn KRITIS-Branchen besonders auf Informationssicherheit achten müssen, ist das Thema für jeden Betrieb relevant – auch für die vielen kleinen und mittelständischen Unternehmen“, betont Heuer. Für KMUS hat der VdS, Europas größte Institut für Schadensverhütung, die Leitlinie „VdS-zertifizierte Cyber-Security (VdS 3473) entwickelt. Eine zertifizierte Cyber-Security erzeugt Vertrauen bei Kunden und Lieferanten und führt zu Wettbewerbsvorteilen.
Bei Bosch ist man überzeugt, dass Mittelständler nicht nur eigene Leitlinien, sondern auch eine speziell auf sie zugeschnittene Beratung und Services brauchen: „Im Gegensatz zu großen Konzernen haben KMU eher selten ausgewiesene Experten für Informationssicherheit im eigenen Haus und sind auf externes Know-how angewiesen“, sagt der Fachmann.
Ziel: Vertraulichkeit, Verfügbarkeit und Integrität
Heuer leitet alle Aktivitäten rund um Informationssicherheit in dem Bereich, der auf Gebäudesicherheit spezialisiert ist. Bosch bietet Betrieben zum Beispiel Brandmeldesysteme, Überfall- und Einbruchmeldesysteme, elektroakustische Anlagen, Videosysteme sowie Systeme zur Zeitwirtschaft und Zugangskontrolle. Das Information Security Team (InfoSec) kümmert sich um einen weiteren Sicherheitsaspekt: die Informationssicherheit.
Sein Team sorgt dafür, dass Informationen und IT-Systeme vertraulich, verfügbar und integer bleiben und hilft Kunden, die entsprechender Standards und Gesetze zu erfüllen. Das gilt für die komplette Sicherheitsinfrastruktur: In modernen Gebäuden stehen die einzelnen Sicherheitslösungen nicht mehr autark nebeneinander, sondern sind miteinander vernetzt. Dieses Gesamtsystem gilt es ebenso zu schützen wie die einzelnen Lösungen.
Gebäudesicherheit und Informationssicherheit – Hand in Hand
Wie ein typisches InfoSec-Projekt aussieht, zeigt ein aktuelles Kundenbeispiel: Ein KRITIS-Unternehmen, das eines der größten Fernleitungs-Gasnetze in Deutschland betreibt, hat sein Gesamtsystem, das sogenannte Building Integration System (BIS), auf eine neue IT-Landschaft migriert. Eine wichtige Voraussetzung: Das neue System musste sämtliche Vorgaben aus dem IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) erfüllen.
„Das Beispiel zeigt, dass beide Kompetenzen – für Gebäudesicherheit und für Informationssicherheit – heutzutage Hand in Hand gehen. Bosch hat den Auftrag bekommen, weil wir beides gleichermaßen abdecken können“, sagt Heuer.
Von der Beratung zum Betrieb
Bei solchen Projekten geht das InfoSec-Team in drei Schritten vor. Das A und O ist die Beratung (Information Security Consulting). Hier nimmt Bosch die Anforderungen des Kunden auf, ermittelt und bewertet die Risiken und erstellt für den Kunden ein Informationssicherheitskonzept. Im zweiten Schritt (Security Operations Center) sichert Bosch die Kundenlösung im laufenden Betrieb ab. Dazu überprüfen die Experten in vorab definierten Intervallen, ob für die Kundenlösung neue Schwachstellen bekannt geworden sind (Vulnerability Management) und informieren den Kunden über IT-relevante Ereignisse wie zum Beispiel Hackerangriffe oder Rechnerausfälle (Incident Management).
Ob Schwachstelle oder Ereignis: Bosch bewertet das jeweilige Risiko und schlägt Gegenmaßnahmen vor. Deren Bandbreite reicht von der Firewall-Einstellung über die Optimierung des Virenschutzes bis hin zur Systemhärtung. Bei einer Systemhärtung werden alle nichtrelevanten Dienste im System deaktiviert und auch Zugriffsberechtigungen, die nicht für den Betrieb relevant sind, beschränkt.