Cyber Security - Learner Journey für den Shopfloor - Produktionsmitarbeiter nachhaltig für IT-Sicherheit sensibilisieren
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
CONSULTING & INNOVATION Cyber Security – Learner Journey für den Shopfloor Produktionsmitarbeiter nachhaltig für IT-Sicherheit sensibilisieren
Digitalisierung der Produktion – neue Herausforderungen für den Umgang mit
IT-Sicherheit
In der heutigen Zeit sind eine Digitalisierung und Vernet- wenig Gefahr für das Geschäft aus. Doch spätestens mit
zung der Produktionsumgebung unabdingbar, um sich in der verbreiteten Einführung von MES-, APS- und SCP-An-
einem stark umkämpften Markt zu behaupten oder neue wendungen ist dies nicht mehr der Fall und IT und OT
Geschäftsmodelle zu erschließen. Doch die fortschrei- wachsen immer stärker zusammen. Mit dieser technolo-
tende technologische Entwicklung bringt auch neue He- gischen Entwicklung ist eine Absicherung der Produktion
rausforderungen mit sich. Insbesondere entstehen durch mittels „Air Gap“ (physische Trennung aller OT-Systeme)
die zunehmende Anzahl von vernetzten Geräten immer nicht mehr möglich und sinnvoll.
mehr Angriffsmöglichkeiten für Kriminelle. Die Angriffs-
fläche vergrößert sich aber nicht nur durch die vernetzte
Operational Technology (OT). Bei genauerer Betrachtung
einer heutigen OT-Umgebung treten weitere mögliche
Schwachstellen in Erscheinung, z.B.:
externe Datenträger (z.B. USB-Sticks) Operational Technology (kurz: OT) bezeichnet
Personal mit gemeinsam genutztem PC-Zugang und die Verwendung von Hardware und Software
identischen Passwörtern zur Kontrolle von industriellem Equipment
[GAR2022]. OT stellt dabei eine Ergänzung
produktionsspezifische, z.T. ungesicherte Software
(oder Erweiterung) zur IT dar. OT-Systeme
neue Daten, beispielsweise von NC-Programmen oder werden hauptsächlich in der physischen Welt
Sensor-Daten eingesetzt, während IT-Systeme vorrangig zur
Bisher galt in vielen Unternehmen: Solange die OT nicht Lösung von geschäftlichen Problemen genutzt
werden.
physisch mit dem IT-Netzwerk verbunden ist, geht von
einer vernetzten, aber veralteten Produktionsumgebung
Unzureichende Schutzmaßnahmen erfordern Handeln
Verschiedene Studien und Sicherheitsberichte zeigen,
dass Maßnahmen zur Sicherung der Produktionsinfra-
struktur immer noch zu selten umgesetzt werden. Beispiels-
weise überwachen nur etwa 30 % der Unternehmen ihre
Produktionsinfrastruktur mit einem Angriffserkennungssys- Malware ist ein Kunstwort, abgeleitet aus dem
tem [ART2021]. Dies hat zur Folge, dass Sicherheitslü- Begriff Malicious Software. Es bezeichnet
cken und erfolgte Angriffe oft eine lange Zeit unentdeckt Software, die mit dem Ziel entwickelt wurde,
bleiben. Aber auch weitere technische Maßnahmen wie unerwünschte und meistens schädliche Funktio-
nen auszuführen. Dabei handelt es sich zum
Firewalls, Netzwerksegmentierung oder Backups sind in
Beispiel um Computerviren, Würmer und
produktionsnahen Bereichen selten umgesetzt. Somit ha- Trojanische Pferde [BSI2021].
ben es Angreifer leicht, die Produktion zu sabotieren oder
die OT-Systeme zu verschlüsseln und das Unternehmen
nachhaltig zu schädigen.
2
Welche technischen IT-Sicherheitsmaßnahmen kommen in Ihrem Unternehmen bereits zum
Einsatz bzw. sind geplant, um sich vor Diebstahl, Spionage oder Sabotage zu schützen?
Elektronische Zugangskontrollen zu Gebäuden
und Maschinen
Protokollierung von Zugriffen
Verschlüsselung von Daten auf Datenträgern
Abhörsichere Sprachkommunikation
Erweiterte Verfahren zur Benutzeridentifikation
Verschlüsselter E-Mail-Verkehr
Penetrationstest
Angriffserkennungssystem
0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 %
Im Einsatz Konkret geplant
Abb. 1: Umsetzung von IT-Sicherheitsmaßnahmen im Jahr 2021, befragte Unternehmen: 1.067 (Quelle: ART2021)
Ein weiterer Risikofaktor für Cyber-Attacken sind unacht-
same oder unwissende Mitarbeiter. Häufig wählen Kri-
minelle einen weniger technischen Weg, sondern nutzen
das Verhalten der Mitarbeiter als Schwachstelle aus. Vor
allem durch Phishing-Angriffe gelingt es Kriminellen, mit- Das Wort Phishing setzt sich aus password
und fishing zusammen, zu Deutsch: nach
hilfe gefälschter E-Mails und Anmeldefenster zunächst in Passwörtern angeln. Der Angreifer versucht
die produktionsnahe IT einzudringen und von dort aus dabei, über gefälschte Webseiten, E-Mails
die Produktionsinfrastruktur zu infiltrieren. oder Kurznachrichten an persönliche Daten
Solange es keine sicherheitstechnische Trennung zwischen eines Internetnutzers zu gelangen und diese
für seine Zwecke, meist zulasten des
IT und OT gibt bzw. unzureichende technische Schutz-
Opfers, zu missbrauchen [BSI2021].
maßnahmen vorgenommen wurden, sind die bewähr-
ten Methoden wie Phishing-E-Mails, Malware und kom-
promittierte Speichermedien das Einfallstor Nummer 1
der Kriminellen in die OT-Welt [BSI2021].
41% der Angriffe begin-
nen mit Phishing! [IBM2022]
3Intrinsische Motivation der Beschäftigten für IT-Sicherheit
Beschäftigte sollten aufgrund ihres Risikofaktors für die intrinsische Motivation der Mitarbeiter gefördert werden.
unterschiedlichen IT-Risiken im Produktionsumfeld sensibi- Führt man sich die Folgen (Abb. 2) eines erfolgreichen
lisiert werden. Jedoch wird einer Umfrage des Wissen- IT-Angriffs vor Augen, sollte jedem Mitarbeiter klar sein,
schaftlichen Instituts für Infrastruktur und Kommunikations- dass durch eine Unachtsamkeit viel Aufwand für das Auf-
dienste zufolge das Personal in Bezug auf IT-Sicherheit rechthalten der Produktion und die Wiederherstellung des
bei nahezu 50 % der kleinen und mittelständischen Unter- Normalzustands entsteht. Unter Umständen ist durch die
nehmen nicht regelmäßig geschult [WIK2017]. Sich beim Cyber-Attacke sogar der eigene Arbeitsplatz gefährdet.
Thema IT-Sicherheit nur auf klassische IT-Schulungen zu Doch wie erreicht man bei allen Mitarbeitern eine intrin-
verlassen, ist jedoch zu kurz gedacht. Vielmehr sollte die sische Motivation, um seine Produktionsinfrastruktur und
Sicherheit der IT- und OT-Umgebung neben technischen die sensiblen Schnittstellen besser zu schützen?
und organisatorischen Maßnahmen auch durch eine
Produktions- Schadens- Schadens- Wieder-
ausfall ermittlung bewältigung herstellung
Kritische Prozesse & Aufklärung der Krisenmanagement, Wiederherstellung
Anwendungen nur Ursachen & Kommunikation und eines Systemstands
noch eingeschränkt Bestimmung des Abwehr von vor dem Ausfall
verfügbar Ausmaßes Folgeschäden
des Vorfalls
Vertrags- Reputations-
Erpressung
strafen schäden
Abwenden des Angriffs Strafen gegenüber Geschädigte Reputation
durch Zahlung von Kunden und Lieferanten hat diverse Folgen und
Lösegeld um sowie mögliche muss wiedererlangt
Schlimmeres zu Bußgelder werden
verhindern
Abb. 2: Kosten und Folgen eines Cyber-Schadensfalles (Quelle: BDI2016)
Unternehmen, die ihr Personal in IT-Sicherheit weiterbil- zielgruppenspezifischen Schulungspfaden mit modernen
den, fokussieren sich meistens auf die fachliche Befähi- Lernformaten zu erarbeiten und in den Arbeitsalltag zu
gung der Mitarbeiter zur Ausführung von Tätigkeiten im integrieren.
Werk. Zudem sind die Schulungen oft nicht konsequent Für einen erfolgreichen und nachhaltigen Mitarbeiterent-
auf die Bedarfe eines Produktionsmitarbeiters, -planers wicklungsprozess sollten grundsätzlich drei Phasen durch-
oder Instandhalters ausgerichtet. Dies hat zur Konse- laufen werden:
quenz, dass Schulungen nicht ihr volles Potenzial entfal-
Phase 1: Analysieren & Verstehen
ten. Vor allem aber ist diese Form der Wissensvermittlung
nicht nachhaltig. Für einen dauerhaft hohen Schutz der Die erste Phase beinhaltet keine Schulungen, sondern
Produktionsumgebung ist ein ganzheitlicher Befähigungs- setzt sich mit den Anforderungen auseinander. Die Füh-
ansatz für das produktionsnahe Personal notwendig. Mit rungsebene schätzt die Bedrohungslage ein, beschreibt
einer Analyse sollten zunächst die benötigten Fähigkei- das Arbeitsumfeld und leitet daraus den Kompetenzbe-
ten des Personals zur Verbesserung der IT-Sicherheit er- darf für jede Zielgruppe ab. Die folgenden zwei Phasen
mittelt werden. Diese Fähigkeiten gilt es anschließend in sind individuell auf die jeweilige Zielgruppe zugeschnitten.
4Phase 2: Sensibilisieren & Motivieren Phase 3: Befähigen & Begleiten
In dieser Phase wird die Sensibilisierung der Mitarbeiter Nachdem alle Mitarbeiter verinnerlicht haben, warum IT-
für die Notwendigkeit von IT-Sicherheit vorgenommen. Sicherheit auch sie betrifft und jeder motiviert ist, seinen
Aktuelle Bedrohungen in der Arbeitsumgebung der Mit- Beitrag zu leisten, werden sie in der nächsten Phase be-
arbeiter werden gezeigt. Mit simulierten Angriffen kann fähigt. Neben den Grundsätzen der IT-Sicherheit geht es
die Bedrohung durch einen kompromittierten USB-Stick vor allem um die benötigten Fähigkeiten im Alltag der
oder durch den Klick auf einen Link in einer Phishing E- jeweiligen Zielgruppe. Hier können IT-Sicherheitsaspekte
Mail real werden. auch in Fachschulungen zu System- oder Maschinenan-
Durch anschließende Gespräche werden der simulierte wendungen integriert werden.
Vorfall und die daraus entstandenen Folgen für die Pro- Um die Fähigkeiten zu festigen, können begleitend wei-
duktion reflektiert. Das motiviert Mitarbeiter dazu, derarti- tere simulierte Angriffe durchgeführt werden. Ziel ist es,
ge Vorfälle zu vermeiden und entsprechende Fähigkeiten die Kompetenzen zur IT-Sicherheit aus eigenem Antrieb in
aufzubauen. Im Fokus sollte das gemeinsame Ziel einer den Alltag zu integrieren. Ein kontinuierliches Coaching
sicheren Produktion stehen. kann dabei helfen, die Arbeitsroutinen der Mitarbeiter in
puncto Risiko immer wieder zu hinterfragen und an die
immer neuen Methoden der Angreifer anzupassen.
Im Folgenden ist ein Beispiel aufgeführt, um den Ansatz eines ganzheitlichen Schulungspfades zu verdeutlichen:
Arbeitsumfeld
Cyber-Bedrohungen
Ziel-
gruppe Schulungspfad
Kompetenzbedarf
Sensibilisieren Simulieren Intensivieren
Akute Bedrohungen in der Bedrohungen auf Maschinen- Auswirkungen auf den eigenen
Produktionsstraße aufzeigen steuerung real werden lassen Arbeitsplatz aufzeigen
Format: Kommunikation Format: Simulation Format: Video/Kommunikation
E-Mail USB-Stick Virus Plakat
Plakat Spear-Phishing E-Mail „Townhall“/Schichtbesprechung
ABC der IT-Sicherheit Anwendungsschulung MES Wiederherstellungsübung Notfallübung
Vermittlung von Grundsätzen Softwarespezifische Zielgerichtete Schulung zur Simulierte Ransomware-
der Informationssicherheit im Sicherheitsschulung zur Datensicherung und Attacke auf die
Werksgelände, im Umgang Bedienung und Steuerung Wiederherstellung verbunden Produktionstraße entlang des
mit Technik und von Maschinen und Daten mit einer Übung für einen Notfallplans
Kommunikation mit Externen Datenverlust
Format: Kommunikation
Integration in
Plakat/Sticker den Alltag
How-to Guide Kontinuierliches Coaching
und Einarbeitung
neuer Mitarbeiter
Abb. 3 Beispeilhafte Learner Journey für ein produzierendes Unternehmen
5Schulung schafft Sicherheit
Als ständiger Anwender und Gestalter von Digitalisie- Zum Schutz des Geschäftsgangs und zur Sicherung des
rungs- und Automatisierungslösungen nehmen Produk- Digitalisierungsfortschritts sollten Unternehmen dafür Sor-
tionsmitarbeiter auch zukünftig in der Produktionsum- ge tragen, dass alle Mitarbeiter dieser Rolle auch gerecht
gebung eine zentrale Rolle ein. Die Erfahrungen aus werden können. Dies gelingt nur durch eine permanen-
vielzähligen Digitalisierungs- und Transformationsprojek- te Begleitung bei der Transformation der Arbeitsumge-
ten haben gezeigt, dass die aktuelle Arbeitsumgebung bung. Hierfür ist zunächst ein nachhaltiger Aufbau der
bereits ein hohes Maß an Digitalisierungskompetenz der Security-Kompetenz wichtig, um die Zukunftsfähigkeit
Produktionsmitarbeiter erfordert – Tendenz steigend. Wei- des Unternehmens zu sichern. Entscheidend ist hierbei
terhin wird mit zunehmender Häufigkeit von Angriffen auf ein individueller und zielgruppengerechter Zuschnitt des
die Produktionsumgebung den Produktionsmitarbeitern Schulungspfads auf die Bedürfnisse der Mitarbeiter, um
eine immer größere Rolle in der Sicherheit des Produk- die Akzeptanz und Nachhaltigkeit der Maßnahmen zu
tionssystems zuteil. steigern.
„Die Digitalisierung mit all ihren Vorzügen wird
weiter voranschreiten. Das ist gut so. Wenn wir
aber dabei weiterhin die Informationssicherheit ver-
nachlässigen, werden wir niemals das volle Potenzial
der Digitalisierung ausnutzen können. Mehr noch:
Im schlimmsten Fall werden viele Digitalisierungs-
projekte scheitern.“
Arne Schönbohm, Präsident des Bundesamts für
Sicherheit in der Informationstechnik [BSI2021-2]
6Gender-Hinweis
UNITY lebt Vielfalt und Chancengleichheit. Wenn in Texten die männliche Form verwendet wird, dient das lediglich der
besseren Lesbarkeit. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechtsidentitäten.
Literaturverzeichnis
[ART2021] Artz, S.: Sicherheitsmaßnahmen 2021: Chart-Bericht zur IT-Sicherheit in der deutschen Wirtschaft,
Bitkom e.V., Berlin 2021.
[BDI2016] Barth, M.; Fauth, J.; Fliehe, M. et al.: Kosten eines Cyber-Schadenfalles, Bundesverband Informations-
wirtschaft, Telekommunikation und neue Medien e.V., Berlin 2016.
[BSI2021] Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland
2021, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lage-
bericht2021.pdf?__blob=publicationFile&v=3, zuletzt abgefragt am 22.04.2022.
[BSI2021-2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Pressekonferenz: Die Lage der IT-Sicherheit
in Deutschland 2021, https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lage-
bericht_node.html, zuletzt abgefragt am 22.04.2022.
[GAR2022] Gartner, Inc.: Gartner Glossary - Operational Technology (OT), 2022, https://www.gartner.com/en/
information-technology/glossary/operational-technology-ot, zuletzt abgefragt am 20.04.2022.
[IBM2022] IBM: X-Force Threat Intelligence Index 2022, https://www.ibm.com/security/de-de/data-breach/
threat-intelligence/, zuletzt abgefragtam 22.04.2022.
[WIK2017] Hillebrand, A.; Niederprüm, A.; Schäfer, S. et al.: Aktuelle Lage der IT-Sicherheit, WIK Wissenschaft
liches Institut für Infrastruktur und Kommunikationsdienste GmbH, Bad Honnef 2017.
7IHRE ANSPRECHPARTNER
für Cyber Security
Michel Schröder Michel Schröder ist Berater am UNITY-Standort in Hamburg.
Tel. +49 174 99 255 79 Er ist Ingenieur und ausgebildeter Fachinformatiker und berät
michel.schroeder@unity.de DAX-30-Unternehmen sowie Mittelständler bei komplexen
Transformationsvorhaben. In seinen Projekten begleitet er
umfangreiche IT-Sicherheitsprogramme und erlebt täglich die
Herausforderungen weltweiter Produktionsstandorte bei der
Umsetzung von Cybersicherheitsstrategien.
Michael Happ Michael Happ ist Produktmanager am UNITY-Standort Köln
Tel. +49 174 90 320 88 und verantwortet das UNITY-Leistungsangebot Cyber Security.
michael.happ@unity.de Neben der Rolle als Produktmanager ist er industrieüber-
greifend als Experte für die Bereiche IT & Cyber Security
sowie Business Architecture Management tätig. Kleine bis
mittelständische Unternehmen unterstützt er insbesondere bei
der Awareness und der Einführung des Themas Informations-
sicherheit in Form von Schulungen.
UNITY ist die Managementberatung für Innovation und Für exzellente Projektarbeit sowie als herausragender Ar-
Digitale Transformation. Wir befähigen Global Player und beitgeber wurde UNITY bereits mehrfach ausgezeichnet
mittelständische Unternehmen in privatwirtschaftlicher und – unter anderem mit dem „Best of Consulting“-Award der
öffentlicher Hand, den digitalen Wandel zu meistern! Als WirtschaftsWoche, als „Beste Berater“ durch brand eins
Impulsgeber mit ausgeprägter Technologietiefe machen wir und als „Top Arbeitgeber Mittelstand“ vom Focus.
unsere Kunden zu Gewinnern der Digitalisierung.
UNITY ist Mitglied der UNITY Innovation Alliance AG. Dieser
starke Unternehmensverbund begleitet seine Kunden bei
der Digitalisierung von Geschäftsmodellen, Produkten und
Services mit durchgängiger Expertise – von der Konzeption
bis zur Umsetzung. Die UNITY Innovation Alliance zählt CONSULTING & INNOVATION
580 Mitarbeiter, davon arbeiten 330 bei der Manage-
mentberatung. www.unity.de/kontaktSie können auch lesen
