KMU sollten Cybersicherheit eine hohe Priorität einräumen

In der heutigen digitalen Welt ist Cybersicherheit für Betreiber überwachungsbedürftiger Anlagen ein unverzichtbares Thema, das sowohl aus wirtschaftlichem Eigeninteresse als auch aus sicherheitstechnischer Perspektive von zentraler Bedeutung ist: Die zunehmende Zahl von Cyberangriffen stellen Unternehmen vor große Herausforderungen. Demgegenüber steht eine wachsende Komplexität regulatorischer Anforderungen durch etliche Verordnungen und Vorschriften. Aus Sicht von TÜV NORD müssen sich Unternehmen mit der Frage auseinandersetzen, wie sie ihre technischen Anlagen und Daten effektiv schützen können, ohne den Überblick über die Vorschriften zu verlieren. Insbesondere für kleine und mittlere Unternehmen (KMU) ist die Umsetzung der Anforderungen meist eine riesige Hürde.

80 Prozent der Angriffe erfolgen laut Cybercrime Report des Bundeskriminalsamts über Ransomware. Diese Schadprogramme sind darauf ausgelegt, Rechnersysteme zu verschlüsseln und Daten zu stehlen, um Lösegeld zu erpressen. Besonders anfällig für solche Angriffe sind vernetzte Produktionsanlagen, da eben diese Vernetzung unter Umständen auch Einfallstore Angreifer darstellen kann. Auch Phishing und Deepfake-Anrufe sind gängige Methoden der Cyberkriminalität. Diese Angriffe gefährden nicht nur den Schutz sensibler Informationen, sondern auch die kontinuierliche und sichere Produktion, was erhebliche wirtschaftliche und sicherheitstechnische Risiken mit sich bringt.

Regulatorische Herausforderungen und praktische Lösungen

Boris Göppert, Leiter Portfoliomanagement Process Technology bei TÜV NORD, betont die Notwendigkeit eines allumfassenden Ansatzes: „Ein umfassender Cybersicherheitsprozess, der alle relevanten Schutzziele und regulatorischen Anforderungen integriert, kann erhebliche Synergien schaffen.“ Dies bedeutet, dass Betreiber durch eine gründliche Vorbereitung und die Einbeziehung aller für sie relevanten Regelwerke in einen sorgfältig abgestimmten Prozess, die wesentlichen Schritte der Cybersicherheit – von der Risikoanalyse über die Implementierung bis zur Überprüfung – nur einmal durchlaufen müssen. Die Empfehlung lautet daher, die Regulierungsbereiche nicht einzeln abzuarbeiten, sondern Anforderungen und Maßnahmen für gleiche und ähnliche Schutzziele gebündelt zu betrachten. Je nach Anlage zählen vor allem die Technische Regel für Betriebssicherheit (TRBS) 1115 Teil 1 (sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen), die NIS2-Richtlinie (Cyberresilienz kritischer Einrichtungen), die Störfallverordnung (Verhinderung schwerer Unfälle durch gefährliche Stoffe) sowie die Arbeitsschutzvorschriften (Gesundheitsschutz im Betrieb) zu den gängigsten Vorschriften und Regulierungen.

Beispiele für überwachungsbedürftige Anlagen in KMU

Zu den überwachungsbedürftigen Anlagen, die in KMU häufig anzutreffen sind, gehören zum Beispiel Aufzüge, Druckanlagen und vernetzte Steuerungssysteme. Diese Anlagen sind oft mit temporären oder vollständigen Netzverbindungen ausgestattet, die potenzielle Angriffswege darstellen können. Angreifer wollen mit ihren direkten Angriffen über das Internet sabotieren, Daten stehlen oder verschlüsseln, um Lösegeld zu erpressen. Boris Göppert warnt auch vor einem anderen Weg: „Indirekte Angriffswege über Wartungsrechner, per USB-Schnittstelle verbundene Datenträger oder temporäre Verbindungen werden oft unterschätzt.“ So kann die Verwendung eines unwissentlich verseuchten Datenträgers selbst in einer nicht mit dem Internet verbundenen Anlage großen Schaden anrichten.

Praktische Ansätze für mehr Cybersicherheit

Um KMU bei der Umsetzung von Cybersicherheitsmaßnahmen zu unterstützen, bietet die TRBS 1115 Teil 1 einen neuen Anhang, der praktische Maßnahmen zur Cybersicherheit beschreibt. Eine Erhöhung der IT-Sicherheit ist durch viele Einzelmaßnahmen erreichbar. Dazu zählen das Entfernen unnötiger Dienste und Software, individuelle Anpassung der Sicherheitseinstellungen, die regelmäßige Aktualisierung von Software und Betriebssystemen, die Segmentierung von Netzwerken, die Nutzung von VPN-Verbindungen für den Fernzugriff auf Systeme, Zugriffskontrollen sowie die Einrichtung von Überwachungs- und Protokollierungssystemen. Laut Boris Göppert würde bereits die konsequente Vermeidung grundlegender Sicherheitsmängel einen erheblichen Fortschritt bedeuten. Dazu gehört die umfassende Inventarisierung aller potenziell angreifbaren Systeme, der Zugriffsschutz und bewusste Entscheidungen zur Vernetzung.

Koordiniertes Vorgehen für Verantwortung und Effizienz

Eine koordinierte Herangehensweise ist die Grundvoraussetzung für Cybersicherheit. Zugelassene Überwachungsstellen (ZÜS) wie TÜV NORD spielen eine entscheidende Rolle, indem sie Betreiber bei der unbürokratischen Dokumentation unterstützen, zwischen Landesbehörden und Betreibern vermitteln und auf länderspezifische Anforderungen hinweisen. Boris Göppert unterstreicht: „Eine abgestimmte, bereichsübergreifende Cyberregulierung würde nicht nur die Sicherheit weiter verbessern, sondern auch Aufwände minimieren und Bürokratie abbauen.“ Dazu zählen eine Harmonisierung von Vorschriften, die Koordination zwischen Regulierungsbehörden, und die Förderung bewährter Verfahren und Technologien.

Fazit

Für KMU ist es entscheidend, frühzeitig einen ganzheitlichen Ansatz zur Cybersicherheit zu etablieren, der alle relevanten Schutzziele berücksichtigt. Die Unterstützung durch zugelassene Überwachungsstellen und die Nutzung praktischer Leitfäden wie der TRBS 1115 Teil 1 können dabei helfen, die Herausforderungen der Cybersicherheit effizient und wirtschaftlich zu meistern, sowohl technisch als auch organisatorisch mit dem Ziel, Industrieanlagen bestmöglich gegen Cyberkriminalität zu schützen. Göppert: „Um diese Aufgabe bestmöglich zu bewältigen und den individuellen Anforderungen der Anlagenarten gerecht zu werden, stehen wir bei TÜV NORD mit Rat und Tat zur Seite.“