Warum TÜV SÜD als führendes Unternehmen im Bereich der industriellen Cybersicherheit bezeichnet

MÜNCHEN – Etwa 67 Prozent aller Unternehmen sind betroffen von Sicherheitsvorfälle jedes Jahr, sagte Andy Schweiger, Geschäftsführer Cybersecurity Services bei TÜV SÜD, der internationalen Prüf-, Zertifizierungs- und Trainingsorganisation. Und die "Ära der Script-Kiddies ist vorbei", sagte Schweiger und bezog sich auf die aufstrebenden Hacker-Möchtegern, die sich auf Online-Ressourcen verlassen, um Cyberangriffe zu starten. „[Die Drehbuch-Kiddies, die] vor 10 bis 15 Jahren Schlagzeilen machten, sind jetzt erwachsen“, fügte er hinzu. Infolgedessen sind aktuelle Cyberangriffe in der Regel schädlicher. Staatliche Akteure haben eine größere Rolle bei der Durchführung von Angriffen und der Entwicklung von Malware übernommen, die gelegentlich durchsickern, wie im Fall des EternalBlue-Exploits, was Hackern der Unterwelt die Möglichkeit gibt, außergewöhnlich schädliche Angriffe zu starten. Und einige Angreifer nutzen maschinelles Lernen, um Täuschungen zu machen und verwundbare Ziele zu identifizieren.

Um dieser Herausforderung zu begegnen, positioniert sich TÜV SÜD, ähnlich wie UL in den USA, zunehmend als Autorität in der industriellen Cybersicherheit. Es gebe fünf Gründe, warum sich TÜV SÜD dieser Aufgabe stelle, sagte Schweiger in einem Vortrag im Rahmen eines Siemens-Pressetreffens im Bereich Cybersicherheit hier. Erstens kennt es sich mit den sich entwickelnden regulatorischen Anforderungen wie der DSGVO in Bezug auf Cyber ​​​​aus. (In einem ähnlichen Punkt sehen sich Hersteller, die IoT-verbundene Geräte in Massenproduktion herstellen, möglicherweise für Schäden haftbar, die durch groß angelegte Cyber-Exploits an ihren Produkten verursacht werden). Zweitens behält das Unternehmen die aktuelle Bedrohungslandschaft im Auge. Drittens hat es ein solides Team von Cyber-Experten aufgebaut. Viertens ist es neutral und objektiv. Und schließlich behauptet es, ein sprichwörtlicher „One-Stop-Shop“ für Cybersicherheit zu sein.

[ IoT-Welt ist die Veranstaltung, die das IIoT von der Inspiration zur Implementierung führt und das Geschäft und den Betrieb beschleunigt. Hol dir jetzt dein Ticket. ]

Der englische Slogan der Organisation lautet:„Add value. Vertrauen wecken.“

TÜV SÜD hat innerhalb von sechs Monaten schnell ein Team von über 30 Cyber-Experten aufgebaut. Wenn es ein zentrales Ziel seines Cyber-Ansatzes gibt, besteht er darin, die Cyber-Strategie über Taktiken zu verankern. „Es gibt Tausende von Marken“, sagte Schweiger über die Cyber-Vendor-Landschaft. „Das Versprechen lautet:Sie kaufen das nächste Gerät und sind sicherer“, sagte er. "Aber das stimmt nicht unbedingt."

Tatsächlich könnte ein Unternehmen, das Dutzende von Sicherheitsanwendungen kauft und ein Cybersicherheitsteam von etwa einem Dutzend hat, weniger sicher sein. Anstelle einer umfassenden Cybersicherheitsstrategie würde es wahrscheinlich eine Patchwork-Abwehr geben, die sie angreifbar macht.

Schweiger sagte, dass TÜV SÜD durch seinen Status als Anbieter von Cybersicherheitsdiensten und nicht von Produkten agiler sei als Produktanbieter. Wenn eine neue Schwachstelle auftaucht, kann sich das Unternehmen schnell anpassen, um Strategien zu entwickeln, um diese zu beheben.

Die zentralen Cybersicherheitsdienste fallen in vier Bereiche, Datenschutz (wie Datenschutzberatung und Datenvernichtung), kommerzielle Transaktionssicherheit, industrielle Cybersicherheit (wie KI-basierte Sicherheitstests und Erkennung von Netzwerkanomalien) und Expertendienste (wie Erkennung von Angriffsdiensten). , Gefährdungsbeurteilung und Penetrationstests).

Im industriellen Bereich arbeitet das Unternehmen daran, die OT- und IT-Abteilungen von Unternehmen zusammenzuführen, anstatt pauschal zu erklären, dass sich beide einfach voneinander unterscheiden. „Wenn man ein OT an ein IT-System anschließt, werden alle Herausforderungen des IT-Systems auf das OT-System übertragen“, sagt Schweiger. Das Unternehmen sagt auch, dass es hilft, die OT- und IT-Effizienz zu optimieren und kundeninterne Prozesse mit gemeinsamen Best Practices wiederzuverwenden.

Ähnliche Inhalte

Risiko ist eine Gleichung aus Asset, Schwachstelle und Bedrohung, sagt Stefan Laudat, ‎Manager Informationssicherheit bei der TÜV SÜD Sec-IT GmbH. Doch anders als in der klassischen IT-Sicherheit kann die industrielle Cybersicherheit nicht nur Daten, Produktivität und Systemverfügbarkeit gefährden, sondern potenziell Menschenleben bedrohen oder Verletzungen verursachen. Eine industrielle Umgebung mit potenziell anfälliger kritischer Infrastruktur kann sich auf umliegende Gemeinden auswirken. Und namhafte Luft- und Raumfahrtunternehmen testen beispielsweise Exoskelette, damit ihre Arbeiter schwere Gegenstände heben können. Wenn eines dieser Geräte beschädigt oder böswillig konfiguriert wurde, könnte es eine ernsthafte Bedrohung für seinen Träger darstellen.

Das aktuelle Cyberbedrohungsniveau im Industriebereich sei moderat bis hoch, sagte Laudat. Während die derzeitigen Akteure mehr oder weniger inaktiv sind, investieren sie viel Geld in die Erforschung industriell ausgerichteter Angriffe, während die Kosten für die Einführung solcher Exploits stetig sinken. Sites wie Shodan machen es Angreifern leicht, potenzielle Industrieziele auszukundschaften.

Das Ausmaß der Schwachstellen im industriellen Umfeld kann auch im industriellen Umfeld beträchtlich sein, da typischerweise schwache Zugangskontrollsysteme, das Übergewicht proprietärer Protokolle, ein begrenzter regulatorischer Rahmen, komplexe Lieferantennetzwerke und ein generell geringes IT-Sicherheitsbewusstsein vorhanden sind. Darüber hinaus sei das weit verbreitete IoT-Protokoll MQTT leichtgewichtig, belastbar und unsicher, sagte Laudat. Und die lange Lebensdauer vieler vernetzter Industriegeräte kann sie im Laufe der Zeit erheblichen Schwachstellen aussetzen.

In einigen Fällen rät das Unternehmen seinen Industriekunden, die Digitalisierung zu vermeiden und bei analogen Technologien zu bleiben, wenn die potenzielle Cyber-Bedrohung inakzeptabel ist.

Der Cyber-Ansatz von TÜV SÜD setzt nicht auf herkömmliche Audits, bei denen ein oder zwei Experten zu einem Unternehmen reisen und Interviews führen. „Die Antworten kommen aus den Interviews. Im besten Fall sind sie voreingenommen. Im schlimmsten Fall sagen sie einem einfach, was sie wollen“, sagte Schweiger. Der Cyber-Ansatz des Unternehmens beruht jedoch auf Automatisierung, um das Cyber-Risiko seiner Kunden zu messen. „Das System lügt uns nicht an“, fügte er hinzu.