Chief Cybersecurity Officer gibt Einblicke

Wie Siemens Zero Trust umsetzt

Von 
CSO | 02. Mai 2023 05:00 Uhr

Supply-Chain-Security im Fokus

Interne und Legacy-Systeme abzusichern ist bei Siemens allerdings nur die halbe Cybersecurity-Miete. Die Zero-Trust-Strategie bezieht nämlich auch alle Zulieferer mit ein. Eine sinnvolle Maßnahme, wie ein Blick in den "Cyber Security Industry Report" des Sicherheitsanbieters Bulletproof zeigt: Demnach gehen 40 Prozent aller Sicherheitsbedrohungen auf die Supply Chain zurück.

"Wir haben es teilweise mit Anbietern zu tun, die noch nicht bereit für Zero Trust sind", offenbart Sicherheitsentscheiderin Negre. In der Tat fährt Siemens eine separate Supply-Chain-Security-Initiative, die Zero Trust beinhaltet. Wie Negre erklärt, gehe es dabei vor allem darum, herauszufinden, welche Anbieter die Cybersecurity-Kriterien von Siemens erfüllten. Sei das nicht der Fall, stünden ehrliche Gespräche mit den jeweils betroffenen, internen Geschäftsbereichen an: "Ein einzelner Anbieter oder Dienstleister könnte ein unkalkulierbares Risiko darstellen. Für diesen müssen wir dann eventuell eine Alternative finden."

Einen bestimmten, ausschlaggebenden Faktor für das Attribut "zu riskant" gebe es jedoch nicht, beteuert Negre: "Wir bewerten die Technologie ganzheitlich, basierend auf einer Reihe von Kriterien. Dazu gehören unter anderem globale Cybersicherheitsstandards, öffentlich zugängliche Informationen über Schwachstellen und aktuelle Cybervorfälle."

Ein weiterer wichtiger Aspekt der Lieferkettensicherheit: Software-Stücklisten (SBOM, Software Bill of Material). Einige Geschäftsbereiche von Siemens unterliegen bereits gesetzlichen Anforderungen hinsichtlich SBOMs. Der kommende Cyber Resilience Act wird Software Bill of Materials auch in Europa für die meisten kritischen Infrastrukturen vorschreiben. "Manchmal werden Produkte in den USA entwickelt und in Europa verkauft oder andersherum. Wir müssen also sicherstellen, dass sämtliche unserer Abhängigkeiten so weit wie möglich definiert sind", merkt Negre an.

Wie Siemens sich für die (Security-)Zukunft rüstet

Der europäische Cyber Resilience Act ist dabei nur eine von vielen regulatorischen Änderungen, die Siemens im Auge behalten muss. Auch in den Vereinigten Staaten wurden mehrere neue Cybersicherheitsinitiativen auf den Weg gebracht, zuletzt die National Cybersecurity Strategy.

Siemens fördert darüber hinaus weltweit die Zusammenarbeit mit Regierungsorganisationen und ISACs (Information Sharing and Analysis Center). Und das aus gutem Grund, wie die CCO erklärt: "Der wichtigste Punkt für uns als Unternehmen ist es, Beziehungen aufzubauen. In jedem Land, in dem wir präsent sind, haben wir sehr wahrscheinlich Beziehungen zur Regierung, die es uns ermöglichen, Informationen auszutauschen und uns ein Bild von der spezifischen Bedrohung im jeweiligen Land zu machen. Wir arbeiten auch mit Behörden wie CISA, NIST, dem FBI und vielen anderen zusammen, um Fachwissen auszutauschen, Insights zu erhalten und sicherzustellen, dass wir alle gesetzlichen Anforderungen erfüllen. Das trägt auch zur Schaffung eines sichereren Cybersicherheitsökosystems für alle Unternehmen bei."

Es gebe davon abgesehen auch große technologische Veränderungen beziehungsweise Herausforderungen, die in Zukunft nicht nur auf Siemens in Sachen Cybersecurity zukämen, weiß die Managerin. Eine davon sei Quanten-Computing, das nach Meinung von Experten das Potenzial aufweise, alle derzeitigen Verschlüsselungstechniken auszuhebeln. "Eine echte Bedrohung", kommentiert Negre, relativiert jedoch: "Aber nicht unbedingt eine unmittelbare. Das Thema wird seit zehn Jahren propagiert - aber die Rechner, die tatsächlich in der Lage sind, in diesem Bereich zu arbeiten, sind rar gesät und entsprechende Algorithmen noch nicht entwickelt. Jeder sollte sich darauf vorbereiten, aber derzeit steht das Thema nicht unbedingt ganz oben auf der Tagesordnung."

Ein weiterer, ganz aktueller, Trend: künstliche Intelligenz. Siemens genießt dabei den Luxus, auf eine eigene KI-Forschungsabteilung und Datenwissenschaftler zurückgreifen zu können. Das bleibt nicht ohne positive Folgen: "KI unterstützt uns dabei, effizienter zu arbeiten. Sie sollten sich fragen, wo Sie KI sinnvoll für manuelle Tasks einsetzen können, um Ihren Experten zu ermöglichen, sich um die wirklich wichtigen Dinge kümmern zu können."

Angesichts einer Milliarde Security-Ereignissen pro Tag musste Siemens seine eigenen Lösungen in diesem Bereich entwickeln - arbeitet aber auch mit externen Anbietern zusammen, um deren Lösungen in seine Umgebung zu integrieren. "Wir schauen uns alle Versionen von KI an und finden heraus, wie wir sie am besten in unserem Unternehmen einsetzen können", unterstreicht Negre und ergänzt anschließend, dass Siemens derzeit ChatGPT intern nicht einsetze, weil Bedenken hinsichtlich der Kommunikationssicherheit bestünden: "Wir stellen unseren Mitarbeitern unsere eigene Version zur Verfügung." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Maria Korolov berichtet seit über zwanzig Jahren über aufstrebende Märkte und Technologien. Sie schreibt für die US-amerikanische IDG-Publikation CSO.