Unter kritischen Infrastrukturen (KRITIS) versteht die Bundesregierung „(…) Organisationen oder Einrichtungen (…), bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ (Zit. kritis.bund.de). Von Fertigungsanlagen über Gesundheitseinrichtungen, Museen und Einkaufszentren bis hin zu den öffentlichen Verkehrsmitteln, alle nutzen operative (OT-)Informationssysteme, die es uns ermöglichen, unseren Alltag „normal“, ggf. sogar komfortabler und sicherer zu leben. Doch infolge der zunehmenden „Smartisierung“ dieser Infrastrukturen und der Allgegenwart digitaler Technologien werden diese traditionell isolierten Systeme zwar effizienter und agiler, aber auch anfälliger für neue Cyberrisiken.
Als europäische Referenz für Cybersecurity im Bereich IT- und OT-Systeme, kritischer Infrastrukturen und sensibler Daten sind wir bei Stormshield der Meinung, dass die unaufhaltsame Vernetzung der KRITIS und die damit verbundenen Fragen der Cybersicherheit nicht länger als rein technische Anliegen betrachtet werden dürfen. Beide sind heute nämlich Grundpfeiler der geschäftlichen Belastbarkeit dieser Organisationen und deren Fähigkeit, trotz möglicher Krisensituationen lebenswichtige Dienste zu erbringen. Genau das ist die Cyberresilienz und sie zu steigern ist angesichts der sich rasant entwickelnden Cyberbedrohungen mehr denn je eine Frage der Verantwortung. Doch wie setzt man sie um?
Die richtige Kombination
Der Ansatz der Resilienz zielt darauf ab, die Auswirkungen einer Cyberattacke auf den Betrieb des Unternehmens zu minimieren. Wie bei allen Prozessen im Krisenmanagement muss die Cyberresilienz als erste unerlässliche Schutzschicht bereits gewährleistet sein, bevor es zu einem Vorfall kommt. Es gilt hierbei zu bedenken, dass es sich um kein einmaliges Verfahren handelt: Das eigene Cyberresilienz-Niveau muss regelmäßig getestet werden. Ein neues Geschäftsprojekt kann zum Beispiel das Risiko für einen Cyberangriff erhöhen, und wenn diese Gefahr nicht rechtzeitig erkannt wird, ist die gesamte Strategie wirkungslos. Die Cybersicherheit spielt hier eine wesentliche Rolle. Die Auswahl vertrauenswürdiger Technologien und die Implementierung einer geeigneten Segmentierung der Netze und adäquater Sicherheits-Policies genießen dabei Vorrang.
Die menschliche Komponente ist ebenfalls entscheidend. Man darf sich nicht nur darauf verlassen, dass die automatisierten Prozesse und technischen Security-by-Design-Maßnahmen greifen. Für die Erlangung der Cyberresilienz bedarf es ebenfalls fachkundiger Teams und der weitreichenden Sensibilisierung der Mitarbeiter für das Thema Cybersicherheit und digitale Hygiene.
Und schließlich sollte dasselbe auch innerhalb der gesamten Versorgungskette der KRITIS verlangt werden, denn eine Kette ist nur so stark wie ihr schwächstes Glied.