"Security ist keine 'One-Man-Show', sondern ein Mannschaftsspiel"

Jetzt mal rein hypothetisch, ihr Unternehmen wird von einem Ransomware-Angriff getroffen. Wie würden Sie reagieren?

Zauner: Ich würde unsere Notfallpläne verwenden, in denen die wichtigsten Informationen offline verfügbar sind. Dies sind zum Beispiel ausgedruckte Telefonnummern von Mitarbeitern, um die ersten Schritte einzuleiten. Doch das Wichtigste in so einem Fall ist ein aktuelles Backup.

Dabei kommt es zum Beispiel darauf an, dass ich weiß, wie ich mein Backup wieder zurückbringe und wie lange das dauert. Denn, wenn ich ein komplettes Rechenzentrum wiederherstellen will, lässt sich das nicht an einem Wochenende erledigen. Aufgrund der großen Datenmengen wird das länger dauern.

Im besten Fall hat man sich bereits im Vorfeld Gedanken über eine mögliche Reihenfolge gemacht, so dass der Wiederherstellungsprozess möglichst reibungslos funktioniert. Im Prinzip geht es darum, aus eigener Kraft wieder auf die Beine zu kommen. Dazu braucht es - ähnlich wie beim Brandschutz - regelmäßige Übungen, in denen der Ernstfall durchgespielt und trainiert wird.

Auf der anderen Seite sollte ermittelt werden, was zu der Ransomware-Attacke geführt hat. Dafür sind die Forensiker zuständig, mit dem denen man im besten Fall im Vorfeld Verträge geschlossen hat und diese dann kurzfristig abrufen kann. Schließlich will man die erneute Bedrohung und weitere Attacken vermeiden.

Wo liegen aktuell die größten Herausforderungen der Cybersicherheit?

Zauner: Als größte Herausforderung sehe ich im Moment tatsächlich die Bekämpfung von Ransomware-Attacken. Bei solchen Angriffen kommt es häufig zu einer Verkettung von verschiedenen Ereignissen. Zum einen werden Daten exfiltriert. Das heißt, der Angreifer hat Zugang zu vertraulichen Informationen, die er für weitere Erpressungsschritte nutzen kann. Zum anderen werden die Systeme verschlüsselt, wodurch das Unternehmen nicht mehr arbeitsfähig ist. Die Schwierigkeit besteht vor allem darin, die passenden technischen und organisatorischen Maßnahmen zu ergreifen, um das Risiko für derartige Attacken zu minimieren und im Fall der Fälle schnell und effizient reagieren zu können.

Welche Maßnahmen würden Sie denn empfehlen?

Zauner: Klar ist, dass es keine hundertprozentige Sicherheit gibt. Im Hinblick auf die Infrastruktur ist es besonders wichtig, dass die Kronjuwelen geschützt werden. Zudem sollte die IT von der OT (Operational Technologie) getrennt sein. Auch Tiering-Konzepte können sinnvoll sein. (Anm. d. Red.: Tiering, auch Enhanced Security Admin Environment genannt, soll die administrative Architektur einer Domäne absichern. Dazu werden die administrativen Konten von den anderen Systemen getrennt.) Admins und privilegierte Anwender sollten auf jeden Fall mit separaten Accounts arbeiten. Im Idealfall sogar mit separaten Workstations. Wenn man dann noch eine Multifaktor-Authentifizierung und Verschlüsselung verwendet, ist man schon sehr sicher.

Lesetipp: Henkel-CISO im Interview - „OT-Sicherheit ist die größte Herausforderung für die Zukunft“

Darüber hinaus helfen auch VPN-Technologien, damit kritische Systeme nicht direkt über das Internet zugänglich sind. Wichtig ist auch, dass man seine Cloud-Services genauso absichert wie das eigene Rechenzentrum. Um nicht nur punktuelle Maßnahmen einzuleiten, ist die systematische Herangehensweise über Sicherheitsframeworks, wie zum Beispiel der BSI IT-Grundschutz oder das NIST Cybersecurity Framework, zielführend.

"Jeder sollte eine Phishing-Mail erkennen können"

Welche Aspekte sind aus Ihrer Sicht darüber hinaus in Sachen Security noch besonders wichtig?

Zauner: Security ist keine "One-Man-Show", sondern ein Mannschaftsspiel. Somit ist es auf jeden Fall wichtig, dass die komplette Belegschaft miteinbezogen wird. Das bedeutet, dass Awareness-Kampagnen für alle Mitarbeiter zugänglich sind. Egal aus welchem Bereich - jeder sollte eine Phishing-Mail erkennen können. Durch solche Trainings fördert man ein grundlegendes Verständnis und vermittelt das nötige Wissen. Wichtig ist auch, dass Phishing-Nachrichten nicht einfach gelöscht, sondern bei der IT-Abteilung gemeldet werden. Auf diese Weise kann die IT die Angriffsindikatoren ermitteln und die Sicherheitsmechanismen anpassen beziehungsweise weiterentwickeln.

Darüber hinaus ist es entscheidend, dass Mitarbeiter nicht durch Sicherheitslösungen ausgebremst werden. Auf der anderen Seite sollte auch nicht zu wenig Security implementiert sein. Diesen Spagat zwischen Sicherheit und Arbeitsfähigkeit zu schaffen ist nicht immer einfach, aber machbar.

Und wie sorgen Sie dafür, dass solche Vorfälle wirklich gemeldet werden? Für manche Mitarbeiter könnte das erst einmal unangenehm sein.

Zauner: Für solche Fälle haben wir eine einfache Technik für unsere Mitarbeiter. In unserem E-Mail-Programm gibt es einen sogenannten Melde-Button. Klickt der Mitarbeiter auf den Button, bekommt er zunächst eine technikbasierte Einschätzung der Gefahr. Nach einem weiteren Klick landet die Mail dann bei der IT. Dort wird die Mail dann von IT-Experten geprüft. Anschließend bekommt der Mitarbeiter eine Rückmeldung mit dem Ergebnis. Wir sehen das sehr positiv und freuen uns, wenn unsere Mitarbeiter aufmerksam sind und uns verdächtige E-Mails melden.

Sie sagen, IT-Security ist ein Mannschaftssport. Wie ist denn das IT-Sicherheits-Management grundsätzlich in die Organisation der KEB Automation eingebettet?

Zauner: Als CISO bin ich für die gesamte Informationssicherheit zuständig. Die operative IT-Sicherheit ist ein wesentlicher Teil davon und fällt in den Aufgabenbereich der IT-Abteilung. Das gesamte Thema Sicherheit wird bei uns in einer Gruppe organisiert, dem sogenannten Security Office. Dazu zählen zum Beispiel der IT-Leiter sowie ein Kollege aus der Qualitätssicherung, der gerade eine Weiterbildung zum Lead Auditor macht. Dadurch sind wir künftig besser in der Lage intern Abweichungen festzustellen. Da wir auch Produkte herstellen, die ins Netzwerk integriert sind, spielt auch die Produktsicherheit eine wesentliche Rolle und das für den gesamten Lebenszyklus. Deshalb ist auch ein Kollege aus der Produktentwicklung in unserer Gruppe.

Beim mir laufen die Fäden zusammen. Ich setzte die notwendigen Impulse und kommuniziere mit der Geschäftsführung und den Fachbereichen. Gemeinsam legen wir die Prioritäten und die Umsetzungstermine fest. Unser Ziel ist es, nicht nur für eine sichere Organisation zu sorgen, sondern auch sichere Produkte zu entwickeln und zu bauen. Unsere Tochtergesellschaften haben jeweils einen ISO (Information Security Officer) der die lokalen Anforderungen einbringt und ein direkter Ansprechpartner ist. In den Fachabteilungen haben wir "Key Users" beziehungsweise Security-affine Kollegen definiert, die erforderliche Maßnahmen in die Breite bringen und bereichsintern für Rückfragen zur Verfügung stehen.

"Die Umsetzung von Zero Trust ist kein Sprint"

Was sind Ihre wichtigsten Aufgaben für die Zukunft?

Zauner: Das Wichtigste ist, das Informationssicherheits-Management aktiv zu gestalten und in die Fläche zu bringen - das heißt nicht nur in den Headquarters, sondern auch in unsere Tochtergesellschaften. Damit erreichen wir, dass überall das gleiche Security-Level herrscht. Die EU-Anforderungen wie NIS2 und der Cyber Resilience Act gelten ja für alle Standorte in Europa.

Zudem bereiten wir uns auf die ISO-27001 Zertifizierung vor. Außerdem möchten wir für eine sichere Entwicklung unserer Produkte sorgen, also Security by Design umsetzen. Darüber hinaus verfolgen wir eine Zero-Trust-Strategie. Dabei handelt es sich um ein Konzept, das in viele Bereiche eingreift. Das fängt beim Netzwerk an und geht vom Betriebssystem bis hin zu den Applikationen und in die Cloud. Aber eines muss man dabei beachten: Die Umsetzung ist kein Sprint, sondern ein Marathon.