Schützende Cyberstrategien für Versicherte
Für industrielle Steuerungssysteme sind Cyberangriffe eine wachsende Bedrohung
Für viele Entscheider ein Schreck: Nicht jeder Cyberangriff wird von der Police abgedeckt. Worauf müssen Unternehmen also achten? Wie können sie die Cyberresilienz stärken? Industriesachversicherer forschen mittlerweile in eigenen Cyberlaboren. Hier wird sich auch mit dem Schutz der Industriellen Steuerungssysteme (Industrial Control System, ICS) beschäftigt, denn diese geraten im Zeitalter von Industrie 4.0 immer stärker in den Fokus von Cyberkriminellen.
Man stelle sich vor, durch eine Cyberattacke auf eine Produktionsanlage würden sicherheitsrelevante Parameter in der Turbinensteuerung verändert, die dazu führen könnten, dass der Überdrehzahlschutz nicht greift und sich die Turbine zerstört. Diese ist häufig nicht nur für die Stromversorgung nötig, sondern auch, um überschüssigen Dampf zu verwerten. Ohne diese könnte es zum Stillstand im gesamten Chemiewerk kommen. Dies ist ein Schadensszenario im Bereich der Industriellen Steuerungssysteme, denn viele Unternehmen nutzen im Zeitalter der Digitalisierung & Globalisierung digitalisierte Komponenten, hochentwickelte Roboterarme, Apps oder Künstliche Intelligenz in ihren Industrieanlagen, Fertigungsstraßen oder in der Logistik. Was für die Produktion elementar ist, kann Cyberkriminellen eine ideales Einfalltor bieten: Ein erheblicher Betriebsschaden entsteht. Unternehmen müssen daher – analog zur wachsenden Cyberbedrohung – ein wachsendes Bewusstsein für die Auswirkungen von Cyberkriminalität auf ihre Industriellen Steuerungssysteme entwickeln, präventiv agieren und sich von ihrer Versicherung die Deckung von Cyber- und physischen Folgeschäden bestätigen lassen.
Sind Attacken aus dem Internet immer ein Versicherungsfall?
Sieben von zehn leitenden Finanzmanagern der weltweit größten Unternehmen sind davon überzeugt, dass ihr Versicherer die meisten oder sogar alle Schäden abdeckt, die ihr Unternehmen bei einem Cyberangriff erleiden könnte. So lautet ein Ergebnis einer vom Industriesachversicherer FM Global in Auftrag gegebenen Umfrage unter mehr als 100 CFOs und anderen leitenden Finanzmanagern. Ein fataler Irrtum, denn tatsächlich gibt es eine ganze Reihe von Schäden, die Cyberversicherungen in ihren Policen nicht abdecken: von der Schädigung der Marke bis hin zu Umsatzeinbußen. Es reicht somit nicht aus, sich mit Abschluss einer Police in Sicherheit zu wiegen und das Thema Cybersicherheit eher nebenbei zu behandeln. Vielmehr sind präventive Maßnahmen gefragt, die den Schaden vermeiden.
ICS: Maßnahmen zur Minimierung von Cyberrisiken
Was können Betriebe tun, um Ausfällen ihrer Anlagen oder ihrer Produktion aufgrund von Cyberattacken entgegenzuwirken? FM Global hat hierfür eine eigene technische Cyberrisikobewertung für industrielle Steuerungssysteme eingeführt, um verbesserungswürdige Bereiche rechtzeitig zu erkennen und Unternehmen bestmöglich abzusichern. Seit Oktober 2019 gibt es bei FM Global das neue Datenblatt 7-110 zu diesem Thema (https://www.fmglobal.com/research-and-resources/fm-global-data-sheets).
Bei den ICS-Bewertungen von Maschinen und Anlagen ist es wichtig, dass die Risikoingenieure mit den technischen sowie mit den geschäftlichen Auswirkungen der betreuten Unternehmen vertraut sind und im engen Austausch mit den verantwortlichen Mitarbeitern stehen. Gleichzeitig verlässt man sich aber nicht nur auf das Know-how der Ingenieure, sondern zieht bei der Prüfung ein Team von internen und, falls nötig, mit externen Cyberberatern Anwendern hinzu.
Generell besteht das Kernteam zur ICS-Bewertung aus Risikoingenieuren, Unternehmensmitarbeitern und internen Cyberberatern, die nach SANS GICSP (Global Industrial Cyber Security Professional) zertifiziert sind und damit entsprechend der globalen Industriestandards für Sicherheit industrieller Steuerungssysteme arbeiten. Die Auswahl der richtigen Teams zur ICS-Prüfung soll sich möglichst auf eine ganzheitlich durchgeführte Prüfung stützen und ist individuell an das Unternehmen angepasst, je nachdem, ob spezialisierte lokale Systemingenieure, oder andere OT/IT-Bereiche involviert sind, wird es zusammengestellt.
Bei der ICS-Überprüfung evaluieren Experten aus verschiedenen Unternehmensabteilungen, die für ICS-Operationen wichtig sind, gemeinsam mit spezialisierten Risikoingenieuren des Industriesachversicherers im Rahmen von regelmäßigen Kundenbesuchen potenzielle Schwachstellen und mögliche Schäden. Dies geschieht, indem die kritische digitale Infrastruktur und deren Unterstützung von Fertigungsprozessen genauestens unter die Lupe genommen werden. So besprechen die verschiedenen Experten u. a. den Netzwerkschutz, das Notfallmanagement, das ICS-Netzwerk, das Lieferketten-Management und deren einzelne Prozesse sowie Backups und der Verbindungen der Devices auf Cyberschwachstellen.
Am Ende einer jeden ICS-Bewertung steht eine Bestandsaufnahme, die eine detaillierte Auflistung der ICS-Ressourcen umfasst, die Zugangskontrollen und Netzwerkschutz analysiert hat. Ziel ist es, Bereiche mit Verbesserungspotenzial aufzuzeigen sowie Notfall- und Wiederherstellungsanleitungen anzubieten. So erhalten Unternehmen eine praktische und möglichst kosteneffiziente Lösung zur Risikominimierung.
Prävention vorantreiben: Forschung im Cyber Lab
Letzten Endes geht es heute nicht mehr um die Frage, ob ein Cyberangriff stattfinden wird, sondern wann, wie und mit welchen Auswirkungen auf den Betrieb. Neben dem ICS-Ansatz zur Sicherung industrieller Steuerungssysteme spielt auch die Forschung zur Cybersicherheit eine wichtige Rolle bei der Schadenprävention, denn es gilt, den bösartigen Cyberattacken einen Schritt voraus zu sein. FM Global betreibt daher in seinem Research Campus ein Cyber Lab. Dieses hat die Aufgabe, mittels verschiedener Testszenarien potenzielle Cyberrisiken proaktiv zu messen. Um das zu erreichen, werden realistische Cyberschadenszenarien nachgestellt. Beispielsweise haben Forscher im Rahmen eines WannaCry-Experiments eine echte Malware in einer simulierten Firma, verbunden mit einem simulierten Internet, freigesetzt. In der Folge solcher und anderer Tests können Risikomanager Cyberbedrohungen qualifiziert einschätzen und schützende Cyberstrategien für die Versicherten entwickeln.
Prüfung im Hinblick auf digitale Schwachstellen, Forschung und ein wachsendes Bewusstsein für die Möglichkeiten der Schadensbegrenzung sind die zentralen Achsen im Umgang mit Cyberrisken. Das Beispiel ICS-Prüfung zeigt, wie wichtig die richtige Teamzusammenstellung mit internem und externem Know-how bei der Bewertung von Cyberrisiken ist. Vorausschauendes Handeln wirkt maßgeblich, um die Cyberresilienz von Unternehmen zu stärken. Es reicht nicht allein die Erkenntnis, dass ein Cyberangriff eine zentrale Herausforderung für den Geschäftsbetrieb ist, sondern es erfordert von Entscheidern ein sensibles präventives Handeln.
Zur Person
Tiago Dias verfügt über mehr als 20 Jahre Erfahrung in der Unterstützung von Kunden beim Management ihrer Cyber-Sicherheits- und Geschäftsrisiken. Bevor er zu FM Global kam, war er als Compliance Manager bei der Europäischen Kommission für IT Security und Business Continuity zuständig. Er besitzt einen MSc-Abschluss in Informationssicherheit von der Royal Holloway/University of London. Er ist zertifizierter Information Privacy Manager (CIPM), leitender Implementierer/Auditor für ISO 27001 und leitender Implementierer für ISO 22301.
Zur Person
Stefan Beiderbeck studierte Chemische Verfahrenstechnik/Chemietechnik an der Technischen Universität Dortmund. Nach seinem Diplomabschluss 2001 trat er als Senior Consultant Engineer – Chemical bei FM Global in Frankfurt ein. Ab 2009 war er als Account Engineer Chemical Operations für kleine bis mittelgroße Kunden verantwortlich, die komplexe Prozesse an mehreren Standorten aufweisen. Zum Senior Account Engineer - Chemical Operations befördert, wechselte er 2012 in das Büro in Amsterdam, um das Geschäft in Europa auszubauen.
Kontakt
FM Insurance Europe S.A.
FM Global, Taunusanlage 8
60329 Frankfurt am Main
Deutschland
+49 69 15406 0
+49 69 15406 199