Was Hersteller jetzt über Cybersicherheit wissen müssen – Ein Interview mit Pat Toth

Die Zahl der Cyberangriffe nimmt weiter zu und Cyberkriminelle werden immer entschlossener. Unternehmen müssen sich in einer sich schnell ändernden digitalen Landschaft durch verwirrende technische Anleitungen navigieren. Kleine Hersteller glauben oft nicht, dass ihre Unternehmen gefährdet sind. Warum sollte man schließlich einen kleinen, ländlichen Hersteller ins Visier nehmen, wenn es doch um größere Unternehmen geht?

Um zu verstehen, was vor sich geht und was Hersteller wirklich über Cybersicherheit wissen müssen, habe ich mich mit Pat Toth zusammengesetzt. Pat ist Informatiker bei der NIST Manufacturing Extension Partnership, der über mehr als 30 Jahre Erfahrung im Bereich Cybersicherheit verfügt und an zahlreichen NIST-Leitfäden zur Cybersicherheit mitgearbeitet hat.

Frage:Sind Hersteller im Vergleich zu anderen Branchen wirklich durch Cyberangriffe gefährdet? Wenn ja warum?

Pat: Nach Angaben des US-Heimatschutzministeriums ist die Fertigungsindustrie die am zweithäufigsten angegriffene Branche, gemessen an der Anzahl der gemeldeten Cyberangriffe.

Ich denke, kleine Hersteller sind besonders anfällig, weil sie als einfacher Einstieg in größere Lieferketten angesehen werden. Stellen Sie sich das so vor:Wenn Sie ein Krimineller sind und planen, in ein Gebäude einzubrechen und es auszurauben, versuchen Sie dann, mit Überwachungsgeräten, einer Alarmanlage und Wachen in ein Gebäude einzubrechen, oder greifen Sie eher an ein Gebäude, das über keine dieser Sicherheitsmerkmale verfügt? Typischerweise ist letzteres der Fall, weshalb Cyberkriminelle gezielt auf Hersteller abzielen. Leider verfügen viele kleine Unternehmen nicht über geeignete Sicherheitsmaßnahmen, da diese Unternehmen nicht glauben, dass sie Ziele sind.

Cyberkriminelle sind möglicherweise an Ihrem geistigen Eigentum (IP) interessiert oder möchten auf Informationen darüber zugreifen, mit wem Sie zusammenarbeiten oder wen Sie beschäftigen. Der Kundendatenverstoß von Target im Jahr 2013 ist einer der bekanntesten Fälle dafür. Ihr HVAC-Systemanbieter wurde absichtlich von Cyberkriminellen ins Visier genommen, weil die Hacker wussten, dass sie über diesen HVAC-Anbieter Zugang zu den Systemen von Target erhalten konnten. Die Datenschutzverletzung führte dazu, dass die Kreditkarteninformationen von Millionen Menschen gestohlen wurden.

Frage:Was können diese SMMs angesichts der Tatsache, dass kleine und mittlere Hersteller (SMMs) häufig Hauptziele sind, aber auch oft über begrenzte Ressourcen verfügen, tun?

Pat: Es mag kompliziert und wahrscheinlich ein wenig überwältigend erscheinen, aber es gibt Dinge, die SMMs tun können, die kostengünstig bis kostenlos und einfach zu implementieren sind.

Worauf es wirklich ankommt, ist die Einführung von Richtlinien und die Ausbildung der Mitarbeiter. Verschiedene Studien haben ergeben, dass Mitarbeiter einer der verwundbarsten Punkte in der Sicherheit jedes Unternehmens sind. Die meisten Mitarbeiter wissen einfach nicht, worauf sie achten müssen und wie sie einen potenziellen oder tatsächlichen Cyber-Vorfall identifizieren können, bis es zu spät ist. Unternehmen müssen regelmäßig kommunizieren, um den Mitarbeitern zu helfen, die Taktiken von Cyberkriminellen und die entscheidende Rolle zu verstehen, die sie bei der Verhinderung von Cybervorfällen spielen.

Zum Beispiel sollte Ihr Unternehmen eine Richtlinie für die Nutzung sozialer Medien am Arbeitsplatz haben. Einige Mitarbeiter erwarten, dass sie während des Arbeitstages auf soziale Medien zugreifen. Unternehmen stehen vor einem Spagat – Mitarbeitern den Zugang zu sozialen Medien zu ermöglichen und ihre Systeme zu schützen. Also, wie machst du das? Sie haben eine Richtlinie aufgestellt. Die Richtlinie könnte lauten, dass Sie die Verwendung von sozialen Medien auf Unternehmenssystemen nicht zulassen. Vielleicht stellen Sie ein separates, halböffentliches Netzwerk bereit, über das Menschen den ganzen Tag über auf soziale Medien zugreifen können, das Ihr Unternehmen keinen Risiken aussetzt. Was auch immer Ihre Richtlinie ist, stellen Sie sicher, dass Ihre Mitarbeiter sich dieser bewusst sind, verstehen, warum sie existiert und welche möglichen Folgen ein Verstoß gegen die Richtlinie hat.

Frage:Es ist gut zu hören, dass es kostenlose und kostengünstige Lösungen gibt, die Hersteller implementieren können. Wenn ein Unternehmen bereit ist, seine Cybersicherheit zu verbessern, wo sollte es anfangen?

Pat: Sehen Sie sich zunächst das NIST Cybersecurity Framework und NISTIR 7621 Small Business Information Security:The Fundamentals an. Das Cybersecurity Framework besteht aus Standards, Richtlinien und Best Practices zum Management von Cybersicherheitsrisiken. Es bietet einen priorisierten, flexiblen und kostengünstigen Ansatz zum Schutz von Systemen. Informationssicherheit für kleine Unternehmen:Die Grundlagen basieren auf dem Cybersecurity Framework und bieten Entscheidungsträgern in Unternehmen, die möglicherweise keinen technischen Hintergrund haben, einen leichter zu handhabenden Überblick. Ein weiterer Schwerpunkt liegt auf der Bewertung und Priorisierung von Sicherheitsfunktionen.

Um Ihnen den Einstieg zu erleichtern, finden Sie hier eine kurze Zusammenfassung dessen, was Sie im Framework finden.

Der erste Schritt ist Identifizieren . Identifizieren Sie die wertvollsten Informationen für Ihr Unternehmen. Dies sind die Informationen, die bei Verlust oder Änderung Ihren Betrieb zum Erliegen bringen würden. Nehmen wir zum Beispiel an, Sie sind ein Lebensmittelhersteller und machen Schokoladenkekse nach dem Rezept Ihrer Großmutter. Dieses Rezept ist für Ihr Unternehmen von entscheidender Bedeutung und sollte vor Diebstahl oder Änderung geschützt werden, damit Ihr Geschäft weitergeführt werden kann.

Der zweite Schritt ist Schützen . Sie haben mit Führungskräften und Mitarbeitern gesprochen und dieses Feedback genutzt, um die wichtigsten Informationen für Ihr Unternehmen zu identifizieren. Jetzt ist es an der Zeit zu entscheiden, was getan werden muss, um diese Informationen richtig zu schützen. Dieser Schritt hängt weitgehend von den Bedrohungen und Schwachstellen ab, die für Ihr Unternehmen spezifisch sind. Kleine Unternehmen, die einfach mit Kunden durch persönliche Interaktion oder über das Telefon zusammenarbeiten, haben nicht so viel zu schützen wie Unternehmen, die ihre Geschäfte über E-Mail und Webportale abwickeln. Es hängt wirklich von Ihrer Betriebsumgebung ab, welchen Schutz Sie implementieren müssen.

Der dritte Schritt ist Erkennen . Sie müssen in der Lage sein, zu erkennen, wann ein Cyber-Vorfall aufgetreten ist. Sie sollten über aktuelle Anti-Spyware-, Antivirus- und Intrusion Detection-Systeme verfügen. Sie sollten auch Ihren physischen Raum berücksichtigen. Überlegen Sie beispielsweise, ob Sie benachrichtigt werden müssen, wenn Personen auf Bereiche zugreifen, die sie nicht sollten. Unabhängig davon, ob es sich um einen digitalen oder physischen Vorfall handelt, ist es wichtig zu wissen, wann der Vorfall passiert ist und worauf die Person(en) Zugriff hat.

Der vierte Schritt ist Antworten . Wenn ein Cyber-Vorfall auftritt, muss Ihr Unternehmen schnell reagieren, um potenzielle Schäden zu minimieren. Sie müssen einen Plan haben, bevor etwas passiert. Der Plan sollte beinhalten, wer verantwortlich ist und wer kontaktiert werden sollte, wenn etwas passiert. Außerdem müssen die Mitarbeiter wissen, wie sie während und außerhalb der Geschäftszeiten auf den Plan zugreifen können.

Erinnern Sie sich an die Grundschule, als wir ein paar Mal im Jahr Feuerübungen machten? Genau wie bei diesen Brandschutzübungen sollte Ihr Unternehmen seine Reaktion auf Cyber-Vorfälle regelmäßig üben, damit die Mitarbeiter genau wissen, was zu tun ist, wenn ein Cyber-Vorfall auftritt.

Der fünfte und letzte Schritt ist Wiederherstellen . Sie sollten regelmäßige Backups durchführen, damit Sie Ihre Systeme wiederherstellen können. Diese Backups sollten an einem separaten Ort oder in der Cloud gespeichert werden. Sie müssen Ihre Backups testen. Wenn Sie Ihre Backup-Informationen nicht testen, können Sie nicht sicher sein, dass Sie sich nach einem Ereignis vollständig wiederherstellen können. Wie oft Sie sich entscheiden, Ihre Backups zu testen, sollte davon abhängen, wie wichtig die Informationen für den Betrieb des Unternehmens sind.

Dies ist keine „One-Size-Fits-All“-Situation, und Sie müssen entscheiden, was für Ihr Unternehmen und seine Kultur funktioniert. Für ein Unternehmen kann es ausreichen, einmal im Jahr zu testen. Bei einem anderen Unternehmen muss es möglicherweise einmal pro Woche getestet werden. Diese Antwort ist nicht leicht zu hören, aber es erfordert wirklich einen Blick auf Ihre Systeme, um zu sehen, wo Sie verwundbar sind, und wissen Sie, welchen Bedrohungen Sie ausgesetzt sind und wie Sie ihnen begegnen können.

Frage:Nehmen wir an, mein Unternehmen hat geeignete Sicherheitsmaßnahmen ergriffen und wir haben einen Reaktionsplan erstellt:Was kommt als nächstes?

Pat: Dies ist keine "einmalige" Aktivität. Sie können keinen Reaktionsplan schreiben und in ein Regal stellen. Dies sollte ein lebendes Dokument sein. Jeder muss Ihre Cybersicherheitsposition kennen und wissen, wie Sie sie weiter verbessern können.

Jedes Mal, wenn Sie ein neues Gerät kaufen oder einen neuen Mitarbeiter einstellen, müssen Sie darüber nachdenken, wie sich diese Aktivitäten auf Ihre Sicherheit auswirken. Für kleinere Unternehmen kann dies schwierig sein. Allzu oft sehe ich Fälle, in denen ein Unternehmen schnell gewachsen ist und vergisst, dass nicht jeder Zugriff auf alle Informationen braucht. Es kann einige Zeit dauern, aber das Management muss eine Liste der Mitarbeiter durchgehen und sehen, worauf sie Zugriff haben und auf was nicht. Jemand in der Werkstatt benötigt keinen Zugriff auf Gehaltsabrechnungsinformationen. Die Definition von Rollen und die Implementierung der Trennung dieser Rollen kann schwierig sein, ist jedoch notwendig, wenn Sie Ihr Unternehmen vor Cyber-Bedrohungen schützen möchten.

Ich denke, Cybersicherheit und Qualität haben viele Gemeinsamkeiten in Bezug auf die Akzeptanz. Viele Unternehmen haben Qualitätssysteme wie ISO 9000 nur langsam eingeführt. Ein wichtiger Bestandteil der Qualität ist die Denkweise eines Unternehmens. Cybersicherheit wird nicht nur auf die IT-Person oder den Cyber-Verantwortlichen beschränkt – jeder Mitarbeiter auf allen Ebenen des Unternehmens trägt eine gewisse Verantwortung. Cybersicherheit muss – ebenso wie Qualität – Teil der Unternehmenskultur sein, um effektiv zu sein.

Fragen:Wo finde ich Informationen, um meine Mitarbeiter darüber aufzuklären, was sie tun können, um das Cyberrisiko des Unternehmens zu verringern?

Pat: Rufen Sie die NIST MEP Cybersecurity Resource-Webseite auf. Auf dieser Seite finden Sie eine Reihe von Ressourcen, darunter ein einfaches Selbstbewertungstool, das Sie (basierend auf dem Cybersecurity Framework von NIST) verwenden können, um das Cyberrisiko Ihres Unternehmens selbst einzuschätzen. Die Selbstbewertung kann Ihnen dabei helfen, die Schwächen Ihres Unternehmens zu erkennen und Ressourcen für deren Verbesserung einzusetzen. Wir verfolgen Ihre Informationen nicht und speichern die Ergebnisse nicht. Nachdem Sie die Bewertung abgelegt haben, erhalten Sie eine Punktzahl, damit Sie wissen, wo Ihre Schwächen in Bezug auf Ihre Cybersicherheitsbemühungen liegen. Sie können sich auch an eines der 51 MEP-Zentren in allen 50 Bundesstaaten und Puerto Rico wenden, die Teil des MEP National Network ^TM sind für Fragen oder Hilfe.