Das Risiko verschwindet nicht
Von Axel Oppermann
Aus der Vernetzung von Maschinen, Produktionsmitteln und Mensch in der Industrie 4.0 entstehen neue Gefahren. Unternehmen werden mit neuen Cyberrisiken konfrontiert, einschließlich Erst- und Drittschäden, Betriebsunterbrechungen und regulatorischen Konsequenzen. Ein Informationssicherheitsvorfall kann neben massivem Reputationsverlust ein immenser finanzieller Schaden sein. Nicht nur wegen der Maßnahmen zur Abwehr, Wiederherstellung der Systeme und Nachbereitung, sondern auch wegen des Verlusts bzw. der Veröffentlichung von vertraulichen Unternehmensinformationen.
Die derzeitige Ausgangslage
Getrieben wird diese Entwicklung durch eine immer stärkere Interkonnektivität der Prozesse, Arbeitsabläufe und Daten. Das zentrale Buzzword: Internet of Things (IoT) bzw. Industrial Internet of Things (IIoT). Das Internet der Dinge ist ein essenzielles Thema im Kontext industriebezogener Sicherheit. Ausgerichtet ist es zunächst aufs Optimieren der betrieblichen Effizienz und Rationalisierung, Automatisierung und Wartung; zunehmend mit einer wichtigen Rolle für die Konvergenz zwischen IT (Informationstechnologie) und Operational Technology (OT) und somit die industrielle Steuerung, geht es über in On-demand-Servicemodelle oder die Schaffung neuer Ertragsmodelle (als reifere Ziele der digitalen Transformation).
Das IIoT ist Segen und Fluch zugleich, wenn immer mehr Industriesysteme und Geräte online gehen. Weil Manager meinen, auf diese Weise mehr Geld zu verdienen oder zu sparen; je nach Blickwinkel. Vernetzte Maschinen sollen Daten für Analysen liefern. Diese Analysen liefern wiederum Erkenntnisse fürs Optimieren des Fertigungsprozesses. Mit dieser Öffnung der Systeme entsteht Unsicherheit; entstehen Risiken.
AIG-Schadenfälle im Bereich Cyber 2013–2016, nach Typ. Aktuelle Zahlen sind generell Mangelware. Die AIG-Zusammenfassung listet für 2016 bis zum September des Jahrs 121 Schadenfälle. Herstellung/Produktion rangieren mit 8 % Anteil noch auf Platz 6 der Zielbranchen. (Bild: AIG)
Klassische Cyberrisiken betreffen in erster Linie die Datenintegrität. Das meinen IT-Fachleute mit „Security“. Wenn dagegen Automatisierer von Sicherheit sprechen, beziehen sie sich in der Regel auf „Safety“, auf die sicherheitsgerichteten Funktionen von Maschinen und Komponenten. Das IoT führt beides zusammen, und zwar verschärft. In der schönen neuen Welt entstehen aus der IT heraus direkte und indirekte Gefahren für die physikalische Sicherheit, zum Beispiel die Gefahr der Verletzung von Menschen oder von Überhitzung, ausgelöst durch Hackerangriffe. Ferner entstehen Risiken durch Datenlecks bzw. Datenmissbrauch sowie durch den Verlust von Produktivitäts- und Qualitätskontrolle. Ein Beispiel: Ein Produktionsroboter wird gehackt und bohrt die Löcher nicht 4, sondern 5 mm. Diesen Fehler erfasst das Qualitätsmanagement nicht. Millionen Teile könnten so gefertigt und ausgeliefert werden, ohne dass es jemand bemerkt.
Die üblichen Lösungen
Die skizzierten Probleme und Herausforderungen sind nicht ganz neu. Es wird schon seit einigen Jahren an ihrer Lösung gearbeitet. OT und IT arbeiten immer enger zusammen, Sicherheitskonzepte werden entwickelt und implementiert. Das geht von der Identifizierung und Authentifizierung aller Geräte und Maschinen im System über die Verschlüsselung der gesamten Kommunikation zwischen diesen Geräten bis hin zur Steigerung der Integrität der Daten und Systeme. Der ganze Kladderadatsch wie Patches und Virenschutzupdates, rollenbasierte Zugriffssteuerung und hostbasierte Systeme zum Erkennen unerlaubter Zugriffe ist schon lange in der OT angekommen. Und so weiter. Und so fort. Die Aufzählung könnte schier endlos weitergehen. Mit Studien und Marktzahlen unterlegt werden. Kennen und wissen wir alle. Klar ist: Sicherheitskonzepte werden erarbeitet, überarbeitet, ergänzt und erweitert. Klar ist aber ebenso: Sicherheitskonzepte verfehlen ihr Ziel. Warum nur?
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Sonderheft Industrial Security zur Hannover Messe Industrie 2018. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Das verschärfte Problem
Bei all der wachsenden Professionalität: Es wird nicht reichen. Die Bemühungen werden nie reichen. Egal, welche Schutzmaßnahmen getroffen werden: Eine einhundertprozentige Sicherheit gibt es nicht. Weil einerseits das Wissen asymmetrisch verteilt ist und andererseits die Motivation und Mittel unendlich sind.
Auf der einen Seite sind die Verletzbarkeiten – die Angriffsvektoren – zu nennen. Also die Angriffsflächen. Sie sind nahezu unendlich. Die Fragilität der digitalen Systeme, seien es Netzwerke, Geräte, Services oder beteiligte Menschen, kombiniert mit dem ständigen Drang zur Erneuerung, sorgt permanent für neue Risiken. Die Interkonnektivität wird erhöht. Immer mehr Sensoren und Datenquellen werden in die Produktionsprozesse eingebunden. Ältere Systeme, die darauf gar nicht ausgelegt sind, werden in das neue Zeitalter adoptiert. Es werden immer auch ältere Geräte im Einsatz sein, die veraltete Betriebssysteme und nicht mehr unterstützte Software benötigen. Neue Systeme sind agil und anpassbar gehalten. Alles Tor- und Türöffner. Alles neue Risiken.
Auf der anderen Seite stehen die Bedrohungen bzw. die Bedrohungsmotive: primär Spionage, Terrorismus, Kriminalität, Hacktivism sowie Aktivitäten von Regierungen. Die Mittel und Motive sind unendlich. Also: Die Breite an Bedrohungen in Kombination mit der Masse an Verletzbarkeiten führt dazu, dass es keine umfassende Sicherheit der Unternehmens-IT und der Operational Technology geben kann.
Hat man diesen Sachverhalt als richtig erkannt, wird klar, dass der Nutzen von Investitionen in IT-Sicherheit mit jedem weiteren investierten Euro abnimmt. Das heißt: Der Versuch, Sicherheitsreserven im Unternehmen durch weitere Investitionen oder das Optimieren von Prozessen zu erzielen, lässt sich nur bis an eine gewisse Grenze treiben. Danach treten negative Effekte ein; etwa schlechte Usability oder ungeeignete Performance der Systeme. Deshalb ist es wichtig, die richtigen, nämlich zukunftsfähigen Security-Systeme einzuführen; im Einklang mit den Anforderungen des Tagesgeschäfts.
Die erweiterte Lösung
Die Antwort auf das Buzzword IoT und die daraus abgeleiteten Risiken, quasi das „Safeword“, heißt Risktransfer. Es bedeutet die erweiterte Lösung: Risktransfer – das Risiko verlagern. Ein Risiko, das nicht beherrschbar ist, wird an einen Dienstleister ausgelagert, der es kann oder der es sozialisiert. Solche Dienstleister sind Versicherungen. Der Markt nennt sich Cyberrisk-(Insurance-)Markt. Der ist momentan etwa 2 Milliarden US-Dollar groß und wird sich in den kommenden Jahren auf mindestens 20 Milliarden aufblähen.
Der Markt für Cyberversicherungen ist relativ jung. Nach ersten Analysen von Avispador sind derzeit weltweit zwischen 60 und 70 Versicherer bzw. Syndikate im Cyberversicherungsmarkt tätig; mit teils deutlich abweichenden Versicherungswerken. Da sind die üblichen Verdächtigen wie Ergo, AXA, Zurich, Swiss Re, AIG etc. Aber auch R+V, die Sparkassenversicherung oder Munich Re. Insgesamt ist eine starke Zunahme von Anbietern erkennbar.
Der Markt entwickelt sich allerdings sehr stark in die Breite und nicht in die Tiefe. Das heißt: viele Me-too-Angebote und wenig Unterschiede im Wording oder für Unternehmen relevante bzw. notwendige Konditionen. So bieten die bestehenden Wordings – also die Rahmenwerke – zwar grundsätzlich auch an, Ertragsfolgeschäden aufgrund einer Cyberattacke abzusichern. In der Produktwelt der Versicherer wird dabei oft in Fremd- und Eigenschäden kategorisiert. Insbesondere für Eigenschäden sind oft die Sublimits, also die abweichenden Obergrenzen einer Versicherungssumme innerhalb eines Versicherungsvertrags, für viele industrielle Szenarien nicht am Bedarf der Unternehmen ausgelegt. Hier muss der Versicherungsmarkt nachbessern. Aber: Den Versicherungen fehlt das Risikowissen. Noch tun sie sich damit schwer, das eigentliche Risiko jetzt und in naher Zukunft zu bewerten. Auch haben die Kollektive noch nicht das Ausmaß erreicht, um einen Risikoausgleich, insbesondere bei größeren Schadenszenarien, zu decken. Es ist sogar fraglich, ob die systematische Übernahme einer Vielzahl gleichartiger Gefahren in ein möglichst homogenes Risikoausgleichskollektiv bedingt durch die Art der Bedrohung überhaupt möglich ist.
Ferner müssen Versicherungskonzepte und Formulierungen optimiert werden. Es wird dabei in jedem Fall zu Rechtsstreitigkeiten kommen. So oder so: Cyberrisk-Versicherungen sind ein zentraler Baustein in Sicherheitskonzepten von Unternehmen, besonders in solchen, die industrielles Internet einsetzen oder anstreben.
Versicherung und Security-Strategie
Cyber-(Risk-)Versicherungen sind zwingender Bestandteil einer Security-Strategie in mittelständischen Unternehmen, in Großunternehmen und Konzernen. Hierzu gilt es, den optimalen Punkt zwischen gemanagtem und transformiertem Risiko zu finden; quasi den ganz individuellen Security-Break-even-Point für ein Unternehmen. Der Punkt, an dem die Investitionen in Security einen relevanten zusätzlichen Nutzen bringen und die Ausgaben für Versicherungen so hoch oder so niedrig sind, dass sie das Restrisiko abdecken. Dies ist auch wichtig: Die Kosten für die Versicherungen hängen vom OT-/IT-Sicherheitsniveau ab: Je schwächer/schlechter die Security-Konzepte sind, desto teurer die Versicherung – und umgekehrt. Es ist also ein Abwägen von Kosten und Nutzen auf unterschiedlichen Dimensionen.
Ergänzend dazu gilt: Der Security-Break-even liegt da, wo Investitionen in Security(-Lösungen/-Services) einen relevanten zusätzlichen Nutzen bringen und/oder (gleichzeitig oder ausschließlich) die Kosten für das Hedging des Risikos reduziert werden. Generell ist Risiko-Hedging unwirtschaftlich, wenn die zusätzliche (Ver-)Sicherung teurer ist als die dem abzusichernden Risiko zugrunde liegende reale Gefahr und/oder die technische Sicherung es wäre. Dabei gilt: Grundsätzliches Ziel ist es, die Gesamtkosten für OT-/IT-Security zu optimieren und das reale und abstrakte Risiko zu minimieren. Ausgangspunkt ist dabei entweder ein gegebenes Budget oder ein gewünschtes Sicherheitslevel (bzw. Restrisikolevel).