„Sicherheit vor Cyberangriffen ? Sie wissen schon, dass wir nur eine mittlere Kläranalage sind und nicht die Deutsche Bank?“ fragt mich der Abwassermeister einer Kläranlage irgendwann Ende 2010. Wir stehen vor dem Server der Leittechnik und haben soeben an diesem doch so wichtigen Rechner eine direkte Verbindung auf die Internetseite eines großen Shoppingportals geöffnet. Anstelle der Statusanzeigen des Prozesses drängen sich auf dem Monitor in bunten leuchtenden Farben, Strech-Jeans und Flanellhemden-sets.
Damals war das Thema IT-Sicherheit den Betreibern von kritischen Infrastrukturen noch sehr fremd. Jeder Hinweis auf die drohenden Gefahren aus dem Cyberraum glich dem berühmten Kampf gegen Windmühlen.
Heute, im Jahre 2020, ist dem Betreiber einer kritischen Infrastruktur, unabhängig von dessen Ausbaugröße, durchaus bewusst das ein Industrie-Netzwerk mit Leitsystemen und Steuerungen bedroht wird durch Cyberangriffe. Die Medien schreiben inzwischen täglich über Opfer von Verschlüsselungstrojanern und anderen Risiken in der IT. Die Bundesregierung hat Maßnahmen ergriffen um die Anhebung des Sicherheitsstandard in der IT von kritischen Infrastrukturen zu voran zu treiben. Diverse Gremien haben Branchenstandards (b3s) zur Festlegung des Stands der Technik geschaffen.
Mit dieser neuen Flut an Informationen sollte der Betreiber einer kritischen Infrastruktur sensibilisiert sein und alles in Bewegung setzen um nicht selbst Opfer eines Angriffs zu werden. Leider passiert das, nach unseren Erfahrungen, nicht in hinreichendem Maße. Viele Betreiber kritischer Infrastrukturen, insbesondere diejenigen die kleinere und mittlere Anlagen betreuen, wiegen sich in einem Gefühl der Sicherheit - „Warum sollte es mich erwischen“. Nun die Antwort liegt auf der Hand: Weil andere Ihre Sicherheitsstandards erhöht haben und eben Anlagen mit geringeren Sicherheitsstandards anfälliger für die Opferrolle sind! Hinzu kommt eine bedenklich hohe, und stetig steigende, Zahl an Angriffen mit hohem Schadenspotential.
Warum aber wird das Thema nach wie vor so nachrangig behandelt ?
Die Branchenstandards definieren den Stand der Technik sowohl für kleine Anlagen wie auch für Große. Sie sind ursprünglich als Leitfaden und Richtlinie für die Betreiber geschrieben. Leider verfügen die meisten Betreiber kleiner und mittlerer Infrastrukturen nicht über das geeignete Personal mit der hinreichenden Qualifikation um die Inhalte der Branchenstandards zu „übersetzen“. Die Standards sind nicht selten verwirrend beschrieben und suggerieren dem Betreiber einen „Gordischen Knoten“ der kein Anfang und kein Ende zu haben scheint. Nach unseren Erfahrungen sind viele Betreiber kritischer Infrastrukturen einfach überfordert und wissen nicht was sie zu tun haben und wo oder wie sie anzufangen haben.
Mit dem Gewinn der Erkenntnis haben wir von der SEGNO ein System entwickelt um gemeinsam mit den Betreibern kritischer Infrastrukturen diesen „Gordischen Knoten“ zu lösen. Wir haben einen pragmatischen Weg gefunden für unsere Kunden angemessene, branchenkonforme, Standards zu etablieren und dem Betreiber das Verständnis für das komplexe Thema „IT-Sicherheit“ nahe zu bringen.
IT-Sicherheit ist kein Produkt, dass man „von der Stange“ erwerben kann. Vielmehr ist es eine individuelle, maßgeschneiderte Lösung die ein sehr abgestimmtes Zusammenspiel zwischen Hardware, Software und Organisation erfordert.
Da die SEGNO seit 25 Jahren in der Leit- und Automatisierungstechnik auf kritischen Infrastrukturen tätig ist, sind wir in der Lage die Anforderungen der IT-Sicherheit in Kombination mit den industriellen Anforderungen der Automatisierungsnetze zu bringen.
Was vielleicht noch wichtiger ist: Wir sprechen die Sprache der Branche!
Wir sind in der Lage die komplexen Themen zur IT-Sicherheit mit Fachabteilungen des Anlagenbetreibers so zu besprechen, dass diese die Aufgabenstellungen und die Lösungsansätze auch wirklich verstehen.
Letztendlich entscheidet der Verantwortliche des Betreibers einer kritischen Infrastruktur, welche Risiken er bereit ist einzugehen. Doch dazu muss er zumindest die Risiken kennen.
Bei uns wird Ihnen geholfen!
Was wir Ihnen bieten
Damals war das Thema IT-Sicherheit den Betreibern von kritischen Infrastrukturen noch sehr fremd. Jeder Hinweis auf die drohenden Gefahren aus dem Cyberraum glich dem berühmten Kampf gegen Windmühlen.
Heute, im Jahre 2020, ist dem Betreiber einer kritischen Infrastruktur, unabhängig von dessen Ausbaugröße, durchaus bewusst das ein Industrie-Netzwerk mit Leitsystemen und Steuerungen bedroht wird durch Cyberangriffe. Die Medien schreiben inzwischen täglich über Opfer von Verschlüsselungstrojanern und anderen Risiken in der IT. Die Bundesregierung hat Maßnahmen ergriffen um die Anhebung des Sicherheitsstandard in der IT von kritischen Infrastrukturen zu voran zu treiben. Diverse Gremien haben Branchenstandards (b3s) zur Festlegung des Stands der Technik geschaffen.
Mit dieser neuen Flut an Informationen sollte der Betreiber einer kritischen Infrastruktur sensibilisiert sein und alles in Bewegung setzen um nicht selbst Opfer eines Angriffs zu werden. Leider passiert das, nach unseren Erfahrungen, nicht in hinreichendem Maße. Viele Betreiber kritischer Infrastrukturen, insbesondere diejenigen die kleinere und mittlere Anlagen betreuen, wiegen sich in einem Gefühl der Sicherheit - „Warum sollte es mich erwischen“. Nun die Antwort liegt auf der Hand: Weil andere Ihre Sicherheitsstandards erhöht haben und eben Anlagen mit geringeren Sicherheitsstandards anfälliger für die Opferrolle sind! Hinzu kommt eine bedenklich hohe, und stetig steigende, Zahl an Angriffen mit hohem Schadenspotential.
Warum aber wird das Thema nach wie vor so nachrangig behandelt ?
Die Branchenstandards definieren den Stand der Technik sowohl für kleine Anlagen wie auch für Große. Sie sind ursprünglich als Leitfaden und Richtlinie für die Betreiber geschrieben. Leider verfügen die meisten Betreiber kleiner und mittlerer Infrastrukturen nicht über das geeignete Personal mit der hinreichenden Qualifikation um die Inhalte der Branchenstandards zu „übersetzen“. Die Standards sind nicht selten verwirrend beschrieben und suggerieren dem Betreiber einen „Gordischen Knoten“ der kein Anfang und kein Ende zu haben scheint. Nach unseren Erfahrungen sind viele Betreiber kritischer Infrastrukturen einfach überfordert und wissen nicht was sie zu tun haben und wo oder wie sie anzufangen haben.
Mit dem Gewinn der Erkenntnis haben wir von der SEGNO ein System entwickelt um gemeinsam mit den Betreibern kritischer Infrastrukturen diesen „Gordischen Knoten“ zu lösen. Wir haben einen pragmatischen Weg gefunden für unsere Kunden angemessene, branchenkonforme, Standards zu etablieren und dem Betreiber das Verständnis für das komplexe Thema „IT-Sicherheit“ nahe zu bringen.
IT-Sicherheit ist kein Produkt, dass man „von der Stange“ erwerben kann. Vielmehr ist es eine individuelle, maßgeschneiderte Lösung die ein sehr abgestimmtes Zusammenspiel zwischen Hardware, Software und Organisation erfordert.
Da die SEGNO seit 25 Jahren in der Leit- und Automatisierungstechnik auf kritischen Infrastrukturen tätig ist, sind wir in der Lage die Anforderungen der IT-Sicherheit in Kombination mit den industriellen Anforderungen der Automatisierungsnetze zu bringen.
Was vielleicht noch wichtiger ist: Wir sprechen die Sprache der Branche!
Wir sind in der Lage die komplexen Themen zur IT-Sicherheit mit Fachabteilungen des Anlagenbetreibers so zu besprechen, dass diese die Aufgabenstellungen und die Lösungsansätze auch wirklich verstehen.
Letztendlich entscheidet der Verantwortliche des Betreibers einer kritischen Infrastruktur, welche Risiken er bereit ist einzugehen. Doch dazu muss er zumindest die Risiken kennen.
Bei uns wird Ihnen geholfen!
Was wir Ihnen bieten
- Konzeption und Umsetzung verschiedener Branchenstandards (b3s)
- Statusaufnahme und Schnellanalyse
- Bestandsaufnahme mit Dokumentation
- Technische und allgemeine Konzeptberatung
- Netzwerk Redesign
- Ferneinwahlkonzepte
- Login- und Passwortmanagement
- Technische Umsetzung des Sicherheitskonzeptes
- Härtung von leittechnischen Assets
- Appliance/Firewall Einführung
- Aktive Anomalierkennung
- Administration und Betreuung
