Cyberangriffe: Wie Unternehmen ihre IT-Systeme besser schützen können

In der modernen Industrie 4.0-Umgebung wächst die klassische Büronetzwerk-IT immer weiter mit den IT-Netzwerken der Operational Technology (OT) zusammen. Mit den Systemen, welche die physischen Prozesse des operativen Tagesgeschäfts steuern. Diese Vernetzungen erhöhen aber gleichzeitig drastisch die Angriffsmöglichkeiten für Cyberattacken. Viele Industrieanlagen wurden ursprünglich für maximale Lebensdauer und technologische Zuverlässigkeit gebaut, aber nicht für die Abwehr von Hackern aus dem Internet. Vor diesem Hintergrund hat sich ein ganzes neues Tätigkeitsfeld entwickelt, das sich nur noch mit der Abwehr von Cyberangriffen beschäftigt. Die sogenannte Industrial Security (Industrielle Sicherheit) bezeichnet den Schutz von Produktionsanlagen, Maschinen und sonstigen betrieblichen Infrastrukturen vor den Angriffen von Hackern. 

Auswirkungen für den Arbeitsschutz

Die zunehmende Vernetzung bietet viele Einfallstore für Cyberangriffe. Dabei bleibt es nicht bei technischen Schäden. Wenn Schadsoftware die Kontrolle über Mess-, Steuer- oder Regeleinrichtungen von Anlagen und Maschinen übernimmt, können Sicherheitsfunktionen ausfallen und dadurch unmittelbare physische Gefahren für Leib und Leben entstehen. Hinzu kommt eine psychologische Gefahr: Fällt die IT-Infrastruktur durch Hackerangriffe aus, können die ausgelösten Betriebsausfälle in manchen Fällen bis zu einer Gefährdung der Unternehmensexistenz führen. Der Umgang mit einer derartigen Krisensituation und die damit einhergehenden Sorge um den eigenen Arbeitsplatz können bei den Beschäftigten erheblichen Stress und psychische Belastungen auslösen. Auch die Furcht vor dem Diebstahl persönlicher Daten kann zu psychischen Belastungen führen. 

NIS-2-Richtlinie fordert ganzheitliches Risikomanagement

Aus all den oben genannten Gründen ist in Deutschland die IT-Sicherheit in der Technischen Regel für Betriebssicherheit (TRBS 1115-1) fest verankert. Die NIS-2- Richtlinie ist die zweite EU-Richtlinie, die strengere Sicherheitsanforderungen für kritische und wichtige Einrichtungen in der EU festlegt. Sie gilt für Organisationen, die wichtige oder besonders wichtige Dienstleistungen für die europäische Wirtschaft und Gesellschaft erbringen. Besonders wichtige Einrichtungen sind Organisationen, die mehr als 250 Mitarbeitende oder einem Jahresumsatz von mind. 50 Mio. Euro und eine Bilanzsumme von 43 Mio. Euro haben. Wichtige Einrichtungen sind mittlere Unternehmen mit mind. 50 Beschäftigten oder einem Umsatz von über 10 Mio. Euro und einer Bilanzsumme von über 10 Mio. Euro. 

Prinzipiell verpflichtet die Richtlinie die Unternehmen, die für die Grundversorgung der Bevölkerung wichtig sind, zu strengen Sicherheitsanforderungen und Meldepflichten bei Sicherheitsvorfällen. Diese Unternehmen müssen dabei mind. folgende technische und organisatorische Maßnahmen umsetzen: 

• Risikomanagement: Konkrete Konzepte zur Risikoanalyse und IT-Sicherheit müssen vorhanden sein.
• Meldepflichten: Sicherheitsvorfälle und aktiv ausgenutzte Schwachstellen müssen den Behörden zeitnah gemeldet werden. 
• Vorfall- und Krisenmanagement: Pläne zur Aufrechterhaltung des Geschäftsbetriebs (Backup-Management, Notfallpläne) müssen aufgestellt werden. 
• Lieferkettensicherheit: Auch die Sicherheit der eigenen IT-Dienstleister und Zulieferer muss überprüft werden. 
• Schulungen und Zugriffskontrolle: Verpflichtende Cybersicherheitsschulungen für Mitarbeiter sowie strenge Zugangsbeschränkungen und Multi-Faktor-Authentifizierung müssen umgesetzt werden. 
• Verantwortung des Managements: Die Geschäftsführung haftet direkt für die Umsetzung der IT-Sicherheit und kann bei Verstößen gegen die gesetzlichen Anforderungen belangt werden.

DGUV: „Einfallstor“ Beschäftigte

Auch die DGUV fordert, dass Unternehmen beim Arbeitsschutz die IT-Sicherheit immer mitberücksichtigen und das Thema Cyberbedrohungen zwingend in die betriebliche Gefährdungsbeurteilung einbeziehen müssen. Sie sollten dabei insbesondere beachten, dass es oft die eigenen Mitarbeiter sind, die unbewusst als das „Trojanische Pferd“ der Hacker fungieren, weil sie unter anderem durch Phishing-Aktivitäten sensible Daten herausgeben oder die Einschleusung von Viren ermöglichen. Regelmäßige Schulungen der Belegschaft sind daher ein Muss, um solche Gefahren auszuschließen. Die Fachkräfte für Arbeitssicherheit und die IT-Administratoren sollten daher in einem ganzheitlichen Ansatz Hand in Hand arbeiten, um Safety (technische Sicherheit) und Security (Cybersicherheit) möglichst effektiv zu vereinen.