Eine spätere Studie der Gartner Group kommt zu dem Ergebnis, dass lediglich 20% der auftragskritischen Systemausfallzeiten mit technischem Versagen begründet werden. 80% werden durch menschliches Versagen oder fehlerhafte Prozessabläufe verursacht. Ein Teil dieser 80% sind Cybersicherheitsaspekte. Auf der anderen Seite leben wir heute in einem Zeitalter, in dem sehr ausgereifte Angriffstechniken für Netzwerke existieren. Ein Beispiel ist die sogenannte Advanced Evasion Technique, kurz AET. Ein solcher Zugriff kann von der üblichen Sicherheitssoftware und Schutzhardware nicht detektiert werden. Auf diesem Weg können Schadsoftware oder Trojaner unbemerkt in ein fremdes Netzwerk eingeschleust werden. Die AET-Angriffsmethode ist seit den 1990er Jahren bekannt. AET nutzt Schwachstellen in Protokollen sowie niedrige Sicherheitsbarrieren aus. Inzwischen wenden die meisten Cyberarmeen dieser Welt die AET-Methode an. Wie kann sich die Industrie gegen diese IT-Bedrohung absichern? Wenn unter diesen Randbedingungen eine zentrale EU-Meldepflicht für Cyberattacken eingeführt wird, dann stellt sich die Frage, ob die reine Meldung über einen Angriff die Sicherheitslage verbessert. Vielmehr weisen jetzt viele Sicherheitsexperten darauf hin, dass die angedachte Meldepflicht von der EU-Kommission keine Wirkung zeigen kann. Sie täuscht die Sicherheit nur vor und schafft ein EU-Bürokratiemonster zur Verwaltung von Meldedaten, mit denen dann kein Unternehmen mehr in Sachen Netz- oder Computersicherheit etwas anfangen kann. Also müssen die IT-Sicherheitslücken müssen veröffentlicht und danach, sobald möglich, geschlossen werden. Deshalb ist es besser, bekannt gewordene Sicherheitslücken zentral zu melden. Aber dann soll eben nicht einfach gemeldet werden, dass ein Angriff mit einer bestimmten Schadsoftware stattgefunden hat. Vielmehr muss gemeldet und ausgewertet werden, welche Sicherheitslücke zum Angriff genutzt wurde. Denn auf diese Sicherheitslücken zielt jede Schadsoftware. Nur wenn die Sicherheitslücken öffentlich gemacht werden, werden diese auch zeitnah von den Programmierern geschlossen. Ein weiterer wichtiger Aspekt für die IT-Sicherheit in den Unternehmen ist der Faktor Mensch. Wenn mit der EU-Meldepflicht ein höherer Sicherheitsstandard gegen Attacken von außen erreicht wird, dann bleiben immer noch die – oft unbewussten – Angriffen von innen. In vielen Unternehmen hat die IT-Sicherheit in der Belegschaft noch nicht den Stellenwert, den sie haben müsste. Passwörter für mehrere Nutzer, die unbedarfte Verwendung von externen Speichermedien sind noch weit verbreitet. Wenn also die Industrie ihre IT-Systeme weiter härten will, dann ist die Meldung von verdächtigen Sicherheitslücken ebenso notwendig, wie ein regelmäßiges Sicherheits-Training für die Belegschaft. Aus den o.g. Gründen steht die Industrie der geplanten EU-Meldepflicht noch kritisch gegenüber. Wenn aber die nötigen Ergänzungen in die Richtlinie einfließen, dann findet diese Maßnahme sicher ein breite Zustimmung. Die Bedrohung der Industrie durch Cyberattacken wächst ständig und nachhaltige Maßnahmen zur Erhöhung der IT-Sicherheit finden in der Industrie immer ein offenes Ohr.
www.arcweb.com
