Unter Cyber Security versteht man ein Bündel verschiedener Maßnahmen, die die Angreifbarkeit einer IT-Infrastruktur oder die Gefährdung von Unternehmen und Personen über die IT-Infrastruktur minimieren soll. Erweitert man diese Konzepte, spricht man von einem Information Security Management System (kurz ISMS). Hierbei handelt es sich um breiter aufgestellte Maßnahmen die nicht nur einzelne Systeme, sondern auch Unternehmensgrundstücke, Personen und Prozesse vor unbefugten Zugriffen schützen können.

Cyberkriminalität stellt eine wachsende Bedrohung dar

Laut aktueller Statistiken ist die Anzahl der cyberkriminellen Angriffe in den letzten Jahren rasant angestiegen: Im Jahr 2017 kam es global zu mehr als 53.000 kriminellen Angriffen. Darunter können sowohl Hacking-Attacken, als auch Phishing-Versuche und Angriffe mit Ransomeware oder kriminelle Handlungen im Rahmen von Social Engineering verstanden werden. Gemeinsam haben diese cyberkriminellen Handlungen, dass sie alle darauf abzielen, ein Unternehmen und dessen Infrastruktur zu gefährden. Besonders gefährlich kann das für Unternehmen der öffentlichen Versorgung werden, sie gelten als sogenannte kritische Infrastrukturen, deren Gefährdung oder gar Lahmlegung großen wirtschaftlichen und gesellschaftlichen Schaden anrichten können. Um sicherzustellen dass ein Unternehmen in all seinen IT-infrastrukturellen Aspekten gegen unbefugte Zugriffe und kriminelle Handlungen geschützt ist, gibt es mittlerweile den Industriestandard ISO 27001 in dem die Anforderungen und Grundlagen für ein Information Security Management System definiert wurden:

  • „Das ISMS muss fest im Unternehmen verankert sein. Anforderungen, Befugnisse und Aufgaben werden fest definiert und über eine zentrale Stelle überwacht. „
  • „Die Ziele, die durch das ISMS erreicht werden sollen, müssen kodifiziert und verbindlich festgehalten werden.“
  • „Es müssen Sicherheitsrichtlinien für den sicheren Umgang mit der IT-Infrastruktur, den Unternehmenswerten beziehungsweise den Assets definiert werden.“
  • „Die Anforderungen an die Informationssicherheit gelten auch für den Personalbereich und sollten ebenfalls bei der Einstellung, Einarbeitung sowie Beendigung oder Wechsel des Arbeitnehmers berücksichtigt werden.“
  • „Es muss sichergestellt werden, dass das im Unternehmen vorhandene Wissen über IT-Sicherheit dem aktuellen Stand entspricht.“
  • „Um die Aktualität des Wissensstands zu garantieren, sind Fort- und Weiterbildungen des zuständigen Personals wichtig.“
  • „Das angestrebte Niveau der Informationssicherheit soll den aktuellen Bedürfnissen und der potenziellen Gefährdungssituation entsprechen.“
  • „Zugänge zur Infrastruktur und die entsprechenden Zugriffsrechte werden strukturiert verwaltet.“
  • „Das Unternehmen muss für eine strukturierte Datensicherung sorgen.“
  • „Das Unternehmen muss sich auf etwaige Störungen, Ausfälle und Sicherheitsvorfälle im IT-Bereich vorbereiten.“

In der praktischen Cybersecurity sind es dabei vor allen Dingen zwei wesentliche Aspekte, auf die ein spezielles Augenmerk gerichtet werden sollte: Die Office IT und das Leitsystem.

Die Office IT

Die Office IT bietet in aller Regel die Pforte für cyberkriminelle Angriffe. Hierbei sind Malware und Phishing-Mails oft das Mittel der Wahl und stellen nach wie vor eines der größten Sicherheitsrisiken dar. Spezielle Software und ein umfassendes und konsequent umgesetztes Sicherheitskonzept kann Abhilfe schaffen und potentielle Risiken auf ein Minimum reduzieren.

Das Leitsystem

Im Leitsystem erfolgen Kontrolle und Steuerung einzelner Anlagen oder Unternehmensbereiche. In diesem besonders sensiblen Bereich gilt es, zum einen die Verbindung zu den Übertragungsnetzbetreibern zu sichern und zum anderen das Leitsystem selbst gegen Angriffe externe Zugriffe abzusichern.