Die digitale Transformation von Unternehmen ist zwar unvermeidlich und unerlässlich, wirft jedoch Bedenken hinsichtlich der Cybersicherheit auf. Die wirkliche Gefahr liegt jedoch nicht unbedingt dort, wo wir sie erwarten, und übermäßige Sicherheit kann sich als kontraproduktiv erweisen. Schlimmer noch: Cybersicherheit ist manchmal ein Vorwand, um bestimmte als zu gefährlich erachtete Projekte aufzugeben. Dies ist jedenfalls der Standpunkt von Jean-Philippe LORINQUER, Partner bei OSS Ventures. Er gab uns einige Ideen, wie wir Cyberrisiken besser kontrollieren können, ohne alles abzuriegeln!
OSS Ventures ist ein Start-up-Studio, das 2019 von Renan Devillières gegründet wurde. Seine Mission ist es, die französische Industrie bei einem technologischen, ökologischen, sozialen und gesellschaftlichen Wandel zu unterstützen.
OSS Ventures hat auch den Wunsch, die Industriewelt in digitalen und Cybersicherheitsfragen zu evangelisieren.
Ingenieurtechniken: Auf welcher Ebene liegt Ihrer Meinung nach das Cyberrisiko?
Jean-Philippe Lorinquer : Leider ist das tatsächliche Risiko nicht dort, wo wir es vermuten. Hersteller sagen mir manchmal, dass SAAS-Lösungen gefährlich sind, und ich sage ihnen: „Zeigen Sie mir Beispiele erfolgreicher Cyberangriffe auf Rechenzentren von Microsoft oder Amazon“. Umgekehrt habe ich zahlreiche Beispiele von Industrieunternehmen, die schwerwiegende Hackerangriffe erlitten haben und deren Einstiegspunkt das Postfach oder die HR-Software war und nicht SAAS-Produkte.
Hinzu kommen die zahlreichen USB-Sticks, die in Unternehmen im Umlauf sind oder von Betreuern für Geräte-Updates in Maschinen gesteckt werden.
Und es gibt auch eine ganze Reihe von Low-Tech-Risiken, insbesondere Betrügereien gegen den Präsidenten, die dank Deepfakes (Nachahmung von Bild und Stimme) immer ausgefeilter werden, und das alles mit Marktinstrumenten!
Aber ich habe eine noch verblüffendere Anekdote: Vor einiger Zeit haben wir an einem Start-up-Projekt im Cyber-Bereich gearbeitet. Wir entschieden uns für die Durchführung von Penetrationstests¹ (Pen-Test), indem wir einen Hacker in eine Fabrik schickten, ausgestattet mit den Zugangsrechten eines Auszubildenden und einer E-Mail-Adresse. Die Ergebnisse waren erschreckend: Um 12 Uhr konnte er das Licht in der Fabrik ausschalten, um 18 Uhr befand er sich auf der Ebene des aktiven Verzeichnisses (LDAP) und um 20 Uhr konnte er alle Geräte abschalten. Produktion der Gruppe. Daher können kaum zwölf Stunden ausreichen, um einen Industriekonzern in die Knie zu zwingen.
Woher kommt dieser Mangel an Kontrolle über Cyberrisiken?
Es ist eine Tatsache: Es besteht ein Risiko, es ist enorm, es wird nicht kontrolliert und die Ursachen sind vielfältig. Die erste ist der fehlende Zugang zu Fachkräften im Bereich Cybersicherheit. Diese Profile verdienen tatsächlich lieber viel Geld, indem sie in hochbezahlte Branchen gehen, anstatt in Fabriken zu gehen, die Cybersicherheit nicht als Priorität einstufen und daher weniger bezahlen.
Was würden Sie Herstellern sagen, die versucht wären, aus Sicherheitsgründen alles abzuriegeln?
Aus Sicherheitsgründen alles abzusperren, ist aus zwei Gründen keine Lösung. Einerseits sind Fabriken eine Welt für Ingenieure, und es liegt in der DNA von Ingenieuren, hartnäckig nach der Lösung von Problemen zu streben. Wenn wir sie daran hindern, diese Probleme zu lösen, indem wir den Zugang sperren, werden sie mit Sicherheit versuchen, diese Hindernisse zu umgehen. Dieses Phänomen erzeugt die sogenannte „Schatten-IT“, eine Praxis, bei der Systeme und Software verwendet werden, die nicht von den IT-Sicherheitsmanagern des Unternehmens autorisiert wurden.
Ich habe persönlich beobachtet, dass in großen internationalen Automobilkonzernen Server vorhanden sind, die unter dem Namen SPS gekauft wurden. Das Ziel ? Erstellen Sie ein internes Mininetzwerk, um Geräte zu verbinden und technische Probleme zu lösen. Schatten-IT kann also sehr weit gehen!
Andererseits ist es völlig abwegig, in einer Welt, in der digitale Technologien es ermöglichen, die Unternehmensleistung zu steigern oder neue Produkte zu entwickeln, in der Hoffnung auf Überleben „in die Steinzeit“ der IT zurückzukehren. Denn es ist tatsächlich eine Frage des Überlebens: Wenn alles verschlossen ist, gibt es nichts mehr anzugreifen, aber in ein paar Jahren, ohne Digital, gibt es einfach kein Geschäft mehr.
Unternehmen sind es gewohnt, Risiken zu managen. Warum ist das bei Cyber anders?
Unternehmen verfügen in der Tat über umfassende Fachkenntnisse in Bezug auf ihre Betriebsrisiken (Chemie, Sicherheit, Umwelt usw.). Dieses Wissen hat im Gegensatz zu Cyber-Risiken den Vorteil, dass es innerhalb von Organisationen gut geteilt wird. Im Allgemeinen wird Cyber einer einzelnen Person anvertraut, dem DSI- oder CISO-Experten, der oft die Macht über „Leben oder Tod“ über Projekte hat. Leider kam es zu Auswüchsen, da die Fachwelt das Gefühl hatte, dass das Cyberrisiko manchmal ein Vorwand für eine Aufgabe sei, weil es an Willen mangele.
Aber dieses Gefühl, das das Betriebspersonal hat, ist zum Teil auch auf mangelnde Kommunikation und mangelndes Verständnis für Risiken vor Ort zurückzuführen, da es auch nicht möglich ist, Ingenieure tun zu lassen, was sie wollen.
Wir müssen daher eine Cyberkultur in den Unternehmen entwickeln!
Tatsächlich mangelt es an allgemeiner Gewöhnung an Cyber-Risiken und daher an Schulungen. Es ist wichtig, dass Cybersicherheit jedermanns Sache wird. So wie Qualität nicht die ausschließliche Domäne des Qualitätsdirektors ist, betreffen Cybersicherheitsfragen nicht nur den CIO oder den CISO!
Einige Organisationen haben sich auch dafür entschieden, die Cybersicherheit unter die Leitung des Werksleiters zu stellen. Da sogar Bundesstaaten, Krankenhäuser oder öffentliche Dienste gehackt werden, besteht offensichtlich keine Verpflichtung zum Ergebnis, sondern eine Verpflichtung zu den Mitteln. Diese Ermächtigung so nah wie möglich am Feld ermöglicht es uns, voranzukommen.
In der Cybersicherheit gibt es ein Sprichwort: „Das Problem liegt oft zwischen der Tastatur und der Stuhllehne.“ Fehler sind menschlich und daher systemisch. Wir wissen, dass das Risiko besteht und dass es früher oder später zu einem Angriff kommen wird. Aber um eine Fabrik zum Einsturz zu bringen, braucht es eine Kombination von Ursachen; das Wichtigste ist, alles zu tun, um sich so gut wie möglich zu schützen und das Schlimmste zu verhindern.
Wie gewährleistet man Sicherheit, ohne abzusperren?
So wie überschüssige Qualität gleichbedeutend mit zusätzlichen Kosten ist, ist zu viel Sicherheit kein Beweis für Risikokontrolle, ganz im Gegenteil. Wichtig ist, auf dem richtigen Niveau zu schützen. Beispielsweise ist es ärgerlich, aber nicht unbedingt schwerwiegend, wenn eine Person Nachrichten über das interne Netzwerk des Unternehmens senden kann, wenn sie keinen Zugriff auf vertrauliche Informationen hat.
Es gilt eine Strategie anzuwenden, die wir „Zwiebelstrategie“ nennen. Es besteht darin, den Kern stark zu sichern, aber weniger als die äußeren Schichten zu schützen. Im Gegenteil, der Wunsch, das gesamte System auf die gleiche Weise abzusichern, birgt die Gefahr einer unerträglichen Starrheit für die Außendienstteams.
Schließlich ist es wichtig, sich daran zu erinnern, dass es nicht möglich ist, eine Organisation ohne Aufwand oder personelle oder finanzielle Ressourcen zu sichern. Unternehmen müssen sich auch darauf konzentrieren, den Wandel zu unterstützen. Damit ein großes Projekt gelingt, sollten 25 % des Budgets für diese Unterstützung (Schulung, Kommunikation etc.) aufgewendet werden. Dies ist selten der Fall und sehr oft bereuen Unternehmen es.
¹ Sicherheitsübung, bei der ein Cybersicherheitsexperte versucht, Schwachstellen in einem Computersystem zu finden und auszunutzen
Videonachweis von einem: rawpixel.com
