«Siebenundzwanzig-null-null-eins»

Cyber-Angriffe nehmen zu, die Methoden werden immer perfider. In Zeiten radikaler Schutzmodelle wie Zero Trust* ist Vertrauen in Informationssicherheit eine echte Seltenheit geworden. Wie kann ein Lieferant von Systemen für kritische Infrastrukturen das Vertrauen in seine Lösungen und Dienstleistungen rechtfertigen? Wie kann ein möglichst sicher entwickeltes Produkt entstehen? Als erster Schweizer Hersteller in der Wasser- und Energiewirtschaft ist Rittmeyer nach ISO 27001 zertifiziert, um darauf eine Antwort zu bieten. Aber was bedeutet diese Zahl eigentlich genau?

Ein Cyberkrimineller will Geld machen. Er will Daten stehlen, die er danach in Geld umwandeln kann. Die Angriffsmethoden werden immer ausgefeilter und betreffen inzwischen teilweise ganze Lieferketten. Ein mögliches Bedrohungsszenario: Ein Lieferant des Betreibers einer kritischen Infrastruktur wird erfolgreich angegriffen. Der Angriff bleibt monatelang unerkannt, ein kompromittiertes Produkt wird ausgeliefert. In der Zwischenzeit wurden Unmengen an Daten gesammelt, Profile von Mitarbeitenden erstellt, ein gezielter Angriff auf die Anlage wird vorbereitet. In einem ungeschützten Moment schlagen die Täter zu. Im Bereich kritischer Infrastrukturen besonders heikel, da hier nicht nur Daten geschützt, sondern vor allem die Systeme sicher verfügbar sein müssen.

Am attraktivsten für Angreifer seien allgemein diejenigen Unternehmen und Personen, die am schlechtesten geschützt sind. Deshalb müsse man die Eintrittsbarriere am ‹Point of Entry› so hoch setzen, dass der Aufwand zu hoch und damit der Angriff weniger lukrativ ist, stellt Michel Herzog klar. Als externer Cyber Security Consultant begleitete er Rittmeyer bei der Einführung eines nach internationalem Sicherheitsstandard ISO/IEC 27001:2013 zertifizierten Informationssicherheits-Managementsystems (ISMS).

«Bei ISO 27001 geht es nicht nur um die tech­nische Sicher­heit von System A oder Computer B. Es geht auch darum, das Bewusst­sein von Mit­arbeiten­den auf allen Ebenen zu ändern.»

Michel Herzog, Senior Cyber Security Consultant, Infoguard AG

Mit heute häufig gewünschten Features wie Fernwartung sowie ans Internet angebundene Teilsysteme erhöht sich die Zahl der potenziellen Einfallstore. Deshalb müsse man davon ausgehen, dass man früher oder später erfolgreich angegriffen wird. Entscheidend sei, die Widerstandsfähigkeit mit einer ganzheitlichen Cyber-Security-Strategie zu stärken, so Herzog. So könne man Angriffe schnell erkennen, umgehend reagieren und sich möglichst rasch von einem Cyber-Angriff erholen. «Genau dafür gibt es Richtlinien wie den IKT-Minimalstandard, das amerikanische NIST Cyber Security Framework oder die zertifizierbare ‹Königsklasse›: ISO 27001», stellt der Berater klar. Gefahren im Bereich der Informationssicherheit werden damit auf operationeller und prozessualer Ebene reduziert. Der Standard umfasst einerseits die technische Sicherheit. Er versucht zudem jedoch, das Bewusstsein von Mitarbeitenden nachhaltig zu schärfen. Deshalb sei es auch wichtig, den richtigen Mix zu finden, der zur Kultur des jeweiligen Unternehmens passt, unterstreicht Roland Hürlimann, CIO von Rittmeyer und der BRUGG Group, der den Prozess gemeinsam mit Michel Herzog etabliert hat. Was laut dem Sicherheitsberater oft missverstanden wird: Trotz der Zertifizierung darf ein Unternehmen Lücken in der Sicherheit zulassen. Es gehe vor allem um einen bewussten Entscheid des Management-Teams, wie man mit einem Risiko umgehen möchte: «Man kann es reduzieren, akzeptieren, transferieren. Hauptsache nicht ignorieren.»

Zwei Jahre bereitete ein bereichsübergreifendes Team aus dem Unternehmen mit externer Begleitung die Zertifizierung vor. Roland Hürlimann: «Informationssicherheit ist uns ein echtes Anliegen. Würde diese allein intern getrieben werden, besteht immer ein gewisses Risiko, dass man andere Dinge höher priorisiert und wichtige Entscheidungen aufschiebt.» Das Mandatsverhältnis mit einem externen Anbieter und Überprüfungen im Wochenrhythmus gab dem Thema Informationssicherheit die nötige Aufmerksamkeit. Einerseits werden die Mitarbeitenden dadurch laufend mit den entsprechenden Fragestellungen konfrontiert. Wichtiger jedoch: Massnahmen für potenzielle neue Bedrohungsszenarien können früh definiert, geplant und zeitgerecht umgesetzt werden.

Begonnen hat man 2018 mit einer Gap-Analyse bei der organisatorischen und technischen Sicherheit. Auf dieser Basis wurden ab Mitte 2019 auf Rittmeyer zugeschnittene Prozesse und Richtlinien entwickelt. «Bei Rittmeyer waren neben VertreterInnen der verschiedenen Unternehmensbereiche auch regelmässig CEO und CFO mit im Boot. Das ist nicht immer so», ist Herzog erfreut. Dadurch konnte einerseits der sportliche Zeitrahmen eingehalten werden. Vor allem habe man dadurch aber sichergestellt, dass nicht nur etwas ‹on top› gebaut wird, sondern das Thema Informationssicherheit vom obersten Management unterstützt und somit tief in die Organisation hineingetragen wird, so der Berater. Ein Voraudit im darauffolgenden Jahr gab Aufschluss über den aktuellen Stand der organisatorischen Sicherheit. Diese Vorbesprechung dient dazu, letzte Verbesserungen vor dem eigentlichen Zertifizierungsaudit umsetzen zu können. Im Juli dieses Jahres wurde das Audit dann von der Schweizerischen Vereinigung für Qualitäts- und Management-Systeme (SQS) durchgeführt und erfolgreich bestanden.

«Früher haben wir einzelne Stein­chen optimiert, jetzt das ganze Mosaik.»

Roland Hürlimann, CIO, Rittmeyer AG / BRUGG GROUP

Cyber Security war Rittmeyer seit den Anfängen des Internets ein grosses Anliegen. Risikobewertungen und entsprechende Investitionen in einzelne Systeme wurden deshalb bereits vor der Zertifizierung kontinuierlich durchgeführt. «Vor der Einführung des Standards haben wir jedoch eher einzelne Steinchen optimiert. Jetzt optimieren wir das ganze Mosaik, das Zusammenspiel dieser Steine», macht Hürlimann klar.

Rittmeyer liefert Systeme in kritische Infrastrukturen. Die ISO 27001 berücksichtigt in einem eigenen Kapitel die Sicherheit bereits in der Entwicklung. «Unter anderem setzen wir auf das Vier-Augen-Prinzip. Am Ende jedes Entwicklungszyklus wird ein abschliessender Sicherheits-Check durchgeführt. Entwicklungs-, Test- und Produktivumgebung sind selbstverständlich ohnehin strikt voneinander getrennt», so Hürlimann. Selbst das Supply Chain Management ist in das Regelwerk integriert, gibt Herzog Aufschluss: «Rittmeyer ist genauso wie seine Kunden auf Lieferanten angewiesen. Der Standard stellt sicher, dass auch an deren Sicherheit gewisse Mindestanforderungen gestellt werden.»

Es sei schon anspruchsvoll, die Motivation bei allen Beteiligten über diesen langen Zeitraum zu halten, muss Hürlimann eingestehen. Die Vorteile sichtbar zu machen, mit Abwehrhaltungen umzugehen, weil bislang fixe Prozesse geändert werden. «Aber heute kann ich stolz sagen: Wir haben unseren Job in Bezug auf Informationssicherheit gemacht.» Das sei jedoch nur eine Seite der Medaille, gibt Herzog abschliessend zu bedenken: «Rittmeyer kann seinen Beitrag zur Sicherheit nur bis zu einer gewissen Grenze leisten.» Es sei vor allem auch das Verhalten der Kunden und deren Mitarbeitenden, das für nachhaltige Informationssicherheit im laufenden Betrieb kritischer Infrastrukturen ausschlaggebend ist.