Cyberangriffe, Datenlecks und Betriebsunterbrechungen bedrohen Unternehmen. Entscheidend sind ein eingeübtes, ganzheitliches Konzept und das geschärfte Bewusstsein der Mitarbeitenden für potenzielle Bedrohungen sowie klare Handlungsweisen im Ereignisfall.
René Brugger
Geschäftsführer Swiss Technology Network
Die Digitalisierung schreitet unaufhaltsam voran und mit ihr steigt die Zahl der sogenannten Smart Factorys. Diese hoch automatisierten und vernetzten Produktionsstätten nutzen moderne Technologien wie das industrielle Internet der Dinge (IIoT), künstliche Intelligenz (KI) und Big Data, um Prozesse zu optimieren und die Effizienz zu steigern. Dazu werden unzählige Betriebs- und Sensordaten erfasst und ausgetauscht. Bisher eigenständige Maschinen werden betriebsübergreifend vernetzt oder kommunizieren sogar über das Internet. Diese Daten werden in einer Cloud-Plattform gesammelt, analysiert und zur Optimierung von Produktionsprozessen verwendet. Wenn eine Maschine auszufallen droht, kann das System automatisch Wartungsarbeiten auslösen, bevor es zu einem kostspieligen Produktionsstopp kommt.
Kopf im Sand
Je smarter die Fabrik, desto angreifbarer wird sie. Die Cyberresilienz gewinnt damit oberste Priorität, um die kontinuierliche Fortführung der Geschäftstätigkeit nicht zu gefährden. Sie wird zum strategischen Risikofaktor und gehört in die Köpfe der obersten Führung.
Unternehmen stehen vor der Herausforderung, ihre Systeme nicht nur vor Angriffen zu schützen, sondern auch widerstandsfähig gegen Cyberbedrohungen zu machen. «Die grösste Herausforderung bleibt die Sensibilisierung», sagt René Brugger, Geschäftsführer von Swiss Technology Network, der Dachorganisation des Technologiesektors der Schweiz. «Cyberresilienz bedeutet, dass Sicherheitsaspekte durchgängig in alle Prozesse integriert werden – von der Produktion bis ins Büro. Es reicht nicht, sich nur auf Schutzmassnahmen zu verlassen. Unternehmen müssen auch in der Lage sein, Vorfälle schnell zu erkennen, darauf zu reagieren und sich rasch zu erholen.»
Trotz der wachsenden Bedrohung durch Cyberangriffe zeigt sich, dass das Thema in vielen Geschäftsleitungen noch nicht die notwendige Priorität geniesst. Veranstaltungen zur Cyberresilienz werden oft nur zögerlich wahrgenommen – als würde man den Kopf in den Sand stecken, in der Hoffnung, dass es einen selbst nicht trifft. Dies deutet darauf hin, dass entweder das Bewusstsein für die Risiken fehlt oder personelle Ressourcen nicht gezielt für dieses strategisch wichtige Thema eingesetzt werden. Dabei zeigt eine Umfrage von PwC aus dem letzten Jahr, dass für 65 Prozent der Schweizer Führungskräfte die Minimierung von Cyberrisiken oberste Priorität hat.
Wirtschaftliche Bedrohung
Cyberangriffe auf Smart Factorys haben in den letzten Jahren stark zugenommen und stellen eine ernsthafte wirtschaftliche Bedrohung dar. Beispielsweise können Hacker:innen über eine Schwachstelle in der vernetzten Infrastruktur Schadsoftware einschleusen. So kann die Produktion mehrere Tage lahmgelegt werden und das Unternehmen in den Ruin treiben. Oder Hacker:innen kommen in den Besitz von sensiblen Produktionsdaten und ändern diese ab, ohne dass es die Firma merkt. Das kann beispielsweise in der Produktion von Medikamenten oder bei Hochöfen fatale Schäden anrichten. Für die Wiederherstellung fordern sie ein Lösegeld meist dann, wenn die Firma spürbar durch verschlüsselte Daten blockiert oder durch DDOS-Attacken lahmgelegt wird. Neben direkten finanziellen Schäden entstehen auch Reputationsverluste und potenzielle Risiken durch gestohlene Unternehmensdaten. Besonders heikel wird es, wenn es um Kundendaten geht, für deren Schutz sich das Unternehmen verpflichtet hat. Viele Industrien verstärken ihre Sicherheitsmassnahmen zu spät, oft erst nachdem durch einen erfolgreichen Angriff bereits ein hoher finanzieller Schaden oder Reputationsschaden entstanden ist. Unter dem Strich wird dadurch die Chance verpasst, frühzeitig die Fähigkeiten aufzubauen, um den Schaden angemessen zu verhindern oder minimieren.
«Wenn verschiedene Unternehmen zusammenarbeiten, stellt die sichere und kontrollierte Datenzugänglichkeit eine zentrale Herausforderung dar», sagt René Brugger. «Daher sind neben klaren vertraglichen Regelungen auch technische und organisatorische Schutzmassnahmen für den Datenaustausch unabdingbar.» Um Missbrauch und unbefugten Zugriff zu verhindern, sollten Unternehmen verbindliche Datenschutz- und Sicherheitsrichtlinien festlegen.
Eine wirksame Sicherheitsstrategie erfordert zudem den gezielten Einsatz moderner Technologien, ein durchdachtes Risikomanagement sowie kontinuierliche Überwachung und Anpassung der Sicherheitsmassnahmen. Ebenso entscheidend ist die Sensibilisierung der Mitarbeitenden, da sie eine zentrale Rolle bei der Einhaltung von Sicherheitsstandards spielen. Nur wenn diese Elemente ineinandergreifen, können Unternehmen verhindern, sich unkalkulierbaren Bedrohungen auszusetzen.
Schwachpunkt Mitarbeitende
Doch die durchdachteste Strategie gegen Cyberattacken ist letztendlich wertlos, wenn die Sensibilität für die Datensicherheit bei den Mitarbeitenden fehlt. Der UBS-Stick, der im Zug vergessen wird und so in falsche Hände gerät, das Post-it mit dem Passwort, das unter der Tastatur klebt. Gefährlich sind auch gemeinsame Passwörter, zusätzlich, wenn sie über unsichere Kanäle geteilt werden und Zweifaktor-Authentifizierungen, die nicht angewendet werden. Bei der Ausarbeitung der Sicherheitsmassnahmen ist auch die Benutzerfreundlichkeit ein wesentlicher Aspekt. Dadurch wird verhindert, dass sie Mitarbeitende umgehen, wenn sie diese als mühsam und zeitineffizient wahrnehmen und der Mehrwert der Massnahmen nicht eingesehen wird. Sie bauen Passwörter nach einer eigenen Logik auf, speichern sie auf unsichere Weise oder sie nutzen Anwendungen, von denen die IT-Abteilung nichts weiss. Deswegen ist es essenziell, den Sicherheitslevel und die Benutzerfreundlichkeit ausgewogen aufzubauen und möglichst benutzerfreundliche und praktikable Sicherheitsmassnahmen einzuführen. Nicht zu unterschätzen ist dabei die Sensibilisierung der Benutzer und Benutzerinnen mit Awareness-Massnahmen.
Schreibe einen Kommentar