Einleitung: Grundlage des aktuellen Risikoprofils - "Wie sind wir hierher gekommen?"

US-Hersteller sehen sich mit einer Vielzahl von Herausforderungen im Bereich der Cybersicherheit konfrontiert, die ihren Betrieb bedrohen, die Produktivität verringern und ihr geistiges Eigentum und ihre Daten gefährden. In den letzten zwei Jahren war das verarbeitende Gewerbe die Branche, die am häufigsten Ziel von Ransomware-Angriffen war,[1] wobei die Hersteller im Jahr 2023 durchschnittlich 1,82 Millionen US-Dollar pro Angriff ausgaben, Lösegeldzahlungen nicht eingerechnet.[2]

Diese Herausforderungen und Risiken im Bereich der Cybersicherheit werden durch die einfache Tatsache verschärft, dass Fertigungsbetriebe oft auf verschiedene miteinander verknüpfte Systeme angewiesen sind, die nicht mit Blick auf die Cybersicherheit entwickelt wurden. Die Nachrüstung dieser Systeme kann sowohl kostspielig als auch komplex sein. Aber auch Hersteller mit moderneren Systemen sind den Risiken nicht entkommen. Die rasche Integration von Technologie und Konnektivität in die Produktionsabläufe hat zwar zu einem noch nie dagewesenen Maß an Innovation und Effizienz geführt, aber auch die Angriffsfläche für Cyberangriffe exponentiell vergrößert und neue Kategorien von Schwachstellen geschaffen.

Ebenso problematisch sind die zunehmende Raffinesse, die Häufigkeit und die Kosten der Reaktion auf Cyberangriffe. Laut einer aktuellen Studie des Cybersicherheitsunternehmens Sophos waren 56 % der befragten Unternehmen aus dem verarbeitenden Gewerbe zwischen Januar und März 2023 von einem Ransomware-Angriff betroffen.[3] Von diesen Unternehmen konnte nur eines von vier die Angriffe abwehren, bevor die Daten vollständig verschlüsselt waren, und mehr als ein Drittel musste Lösegeld zahlen, um die Daten wiederherzustellen.[4] Bei 32 % dieser Angriffe verschlüsselten die Cyberkriminellen zudem nicht nur die Daten, sondern stahlen sie auch.[5]

Um das Spektrum der Cybersicherheitsherausforderungen zu bewältigen, müssen US-Hersteller einen ganzheitlichen Ansatz zum Schutz ihrer Abläufe und Daten verfolgen und sich auf ein System zubewegen, das das Unternehmen schützt und zur Steigerung der Rentabilität beiträgt. In diesem Papier skizzieren wir zunächst fünf zentrale Herausforderungen für die Cybersicherheit, mit denen Hersteller konfrontiert sind, zeigen Möglichkeiten zur Bewältigung dieser Risiken auf und beschreiben die rechtlichen und versicherungstechnischen Überlegungen, die Hersteller bei der Bewältigung dieser Probleme anstellen müssen. Anschließend schlagen wir neue Ansätze vor, die das Potenzial haben, eine neue Ära der intelligenten, sicheren Fertigung einzuläuten, die Cybersicherheit von einer Kostenstelle in ein wertorientiertes Profitcenter verwandelt. Im letzten Abschnitt beschreiben wir die Bedeutung von öffentlich-privaten Partnerschaften bei der Bewältigung von Cybersicherheitsproblemen.

I. Navigieren auf dem komplexen Terrain der Cybersicherheitsherausforderungen

Die Entwicklung eines ganzheitlichen Ansatzes zur Absicherung von Abläufen und zum Schutz von Daten erfordert die Berücksichtigung zahlreicher Herausforderungen im Bereich der Cybersicherheit, die mit dem Produktionsbetrieb einhergehen. Ohne die Bedeutung anderer, für einen bestimmten Hersteller spezifischer Herausforderungen zu schmälern, werden hier fünf wichtige alltägliche Herausforderungen genannt.

1. Die Ausbreitung des industriellen Internet der Dinge (IIoT)

Die erste Herausforderung ergibt sich aus der zunehmenden Verbreitung des industriellen Internets der Dinge (IIoT)(siehe Abbildung A unten). Obwohl diese IIoT-Geräte und -Automatisierungssysteme die Produktivität und Effizienz steigern, sind sie oft unzureichend gesichert und erweitern die Angriffsfläche für Cyberkriminelle und staatliche Angreifer. Schwachstellen in einem einzigen Gerät können einen Kaskadeneffekt auslösen, der zum Eindringen in ein ganzes Produktionsnetzwerk, zur Unterbrechung von Abläufen, zu Datenverletzungen und sogar zu körperlichen Schäden für Mitarbeiter führen kann.

Abbildung A[6]

2. Ein Mangel an qualifizierten Fachkräften für Cybersicherheit

Der Mangel an qualifizierten Fachleuten für Cybersicherheit in der Fertigungsindustrie ist ein großes Problem für Unternehmen, das sich zu einer Herausforderung für die nationale Sicherheit ausweiten kann. Hersteller brauchen Experten, die sowohl die Feinheiten industrieller Prozesse als auch deren Absicherung verstehen. Ohne diese Experten können Unternehmen Opfer verschiedener Angriffsvektoren werden, was zu wirtschaftlichen Verlusten und Produktivitätseinbußen führt. Auf nationaler Ebene suchen staatliche Gegner aktiv nach Cyber-Schwachstellen, die ausgenutzt werden können, um kritische Produktionskapazitäten in den USA lahmzulegen.

3. Schwachstellen in der Lieferkette

Schwachstellen in der Lieferkette stellen eine ernste Bedrohung für die US-amerikanischen Hersteller und die Weltwirtschaft dar. Die miteinander verwobenen globalen Lieferkettennetzwerke, die den Produktionsbetrieb aufrechterhalten, ermöglichen es Cyberkriminellen, die schwächsten und am wenigsten gesicherten Glieder der Lieferkette ins Visier zu nehmen und auszunutzen. Im Jahr 2023 war ein deutlicher Anstieg der Cyberangriffe auf die Lieferkette zu verzeichnen, insbesondere bei Angriffen auf Software, Hardware und Dienstleistungen von Drittanbietern.[7]

Indem sie kleinere Unternehmen mit einer weniger robusten Cybersicherheitsinfrastruktur ins Visier nehmen, können Cyberkriminelle die kompromittierte Drittpartei nutzen, um sich Zugang zu den Systemen der von diesen Unternehmen belieferten Hersteller zu verschaffen und diese zu kompromittieren. Jede Schwachstelle in der Lieferkette kann dazu führen, dass bösartiger Code oder Hintertüren in Produkte eingeschleust oder ganze Netzwerksysteme kompromittiert werden. Infolgedessen müssen die Hersteller bei der Auswahl externer Partner erhöhte Sorgfalt walten lassen und strengere Compliance-Prüfungen durchführen, um die von diesen potenziellen Partnern verwendeten Cyber-Tools zu untersuchen.

4. Überbrückung der IT-OT-Lücke

Eine weitere Schwachstelle kann sich aus der Konvergenz von Informationstechnologie (IT) und Betriebstechnologie (OT) und der möglichen Fehlkommunikation zwischen unterschiedlichen Sicherheitskulturen ergeben. Die IT konzentriert sich auf Datenintegrität und Vertraulichkeit, während die OT den Schwerpunkt auf Sicherheit und Zuverlässigkeit legt. Die Verschmelzung dieser Bereiche ohne angemessene Abstimmung und Kommunikation kann zu Verwirrung, Fehlkonfigurationen und Schwachstellen führen, die von Cyberkriminellen ausgenutzt werden können.

5. Sich ständig weiterentwickelnde Cyber-Bedrohungslandschaft

Cyberkriminelle werden zunehmend von Nationalstaaten finanziert und mit Ressourcen ausgestattet, die nicht nur unsere Hersteller, sondern die gesamte Weltwirtschaft stören wollen. Außerdem setzen sie eine sich ständig weiterentwickelnde Reihe von Bedrohungen ein, die von herkömmlicher Malware bis hin zu Zero-Day-Exploits und Ransomware-Angriffen reichen. Da sich die Cyberkriminellen weiterentwickeln und den Fertigungssektor ins Visier nehmen, müssen Hersteller mit noch raffinierteren Angriffen rechnen, die die Produktivität der Fertigung verringern und die Infrastruktur und Mitarbeiter der Hersteller schädigen. Hersteller müssen proaktiv vorgehen, indem sie Präventivmaßnahmen ergreifen und Secure Defensible Architectures der nächsten Generation sowie andere Technologien implementieren, die weiter unten in diesem Artikel erläutert werden.

US-Hersteller sind mit einer komplexen und sich schnell entwickelnden Cybersicherheitslandschaft konfrontiert. Die Integration des IIoT, Schwachstellen in der Lieferkette, der Mangel an ausgebildeten Fachkräften, die IT-OT-Konvergenz und eine Vielzahl von Protokollen (und Anbietern von "Lösungen") tragen alle zu dieser Herausforderung bei. Zwar tragen die einzelnen Unternehmen das Risiko und die Kosten der Cybersicherheit, doch kann die Summe der kollektiven Risiken für US-Hersteller eine erhebliche Bedrohung für die US- und die Weltwirtschaft darstellen.

II. Management von Cyber-Risiken heute

Die Hersteller müssen einen integrierten, vielschichtigen Ansatz verfolgen, um die Cybersicherheitsrisiken zu mindern. Dieser neue Ansatz muss sich schneller weiterentwickeln, flexibler sein als die Gegner und Innovationen einführen, die nachprüfbare Sicherheitsgarantien für physische Prozesse bieten . In einer Zeit, in der digitale und physische Welten miteinander verbunden sind, ist die Sicherung von Fertigungsprozessen und Daten von größter Bedeutung, um die globale Wettbewerbsfähigkeit und Widerstandsfähigkeit des amerikanischen Fertigungssektors zu gewährleisten.

Die Hersteller sollten sich nicht in falscher Sicherheit wiegen. Zum Beispiel kann der Begriff "Sichere Architektur" irreführend sein, da er:

• Bedeutet eine Verbindung von Perimeterverteidigung und Datensicherheit;
• Oftmals handelt es sich um unzureichende Sicherheitskontrollen, die nur auf einen begrenzten Aspekt des Betriebs oder der Lieferkette angewendet werden;
• wenig oder gar keine Rücksicht auf die realen physischen Folgen nimmt; und
• Ist oft nur auf die Einhaltung von Vorschriften ausgerichtet.

Derzeit gibt es bereits viele wirksame Tools. Sie konzentrieren sich jedoch in erster Linie darauf, Eindringlinge am Zugriff auf das Netz zu hindern, wobei der Perimeterschutz durch die Implementierung robuster Sicherheitsmaßnahmen erreicht wird. Zu diesen Maßnahmen gehören Firewalls, Systeme zur Erkennung und Verhinderung von Eindringlingen, sichere Zugangskontrolle und Air Gapping. Durch die Kontrolle des Zugangs zum Netzwerk können Hersteller die Wahrscheinlichkeit eines Einbruchs verringern. Darüber hinaus können Investitionen in die Schulung und Sensibilisierung der Mitarbeiter für die Cybersicherheit das Risiko weiter verringern, da das menschliche Element das größte Risiko für die Cybersicherheit darstellt. Mitarbeiter sind oft die erste Verteidigungslinie gegen Cyber-Bedrohungen. Daher ist es wichtig, sie in der Erkennung von Phishing-E-Mails, Social-Engineering-Versuchen und den Risiken im Zusammenhang mit tragbaren Geräten wie USB-Sticks zu schulen.

Regelmäßige Software-Updates sind unerlässlich. Diese Updates schützen oft vor bekannten Schwachstellen, die erst kürzlich aufgedeckt wurden. Kürzlich veröffentlichte die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) ein gemeinsames Cybersecurity Advisory, in dem bestätigt wird, dass Bedrohungsakteure in der Regel auf ältere Softwareschwachstellen abzielen, da sie oft kostengünstige und wirkungsvolle Möglichkeiten bieten, ein Ziel zu kompromittieren.[8] In der Regel sind diese Schwachstellen alt und Patches seit Jahren verfügbar. Die Hersteller sind sich bewusst, dass veraltete Software Tausende von Sicherheitslücken birgt, die Cyberkriminelle ausnutzen können. Indem sie ihre Software für das gesamte System auf dem neuesten Stand halten, können die Hersteller potenzielle Einfallstore für Angreifer schließen. Patches allein reichen jedoch nicht immer aus; Unternehmen müssen auch vorgeschlagene Erkennungstechniken für eine kontinuierliche Überwachung anwenden. In einigen Fällen können Angreifer die Aktualisierungen zurückverfolgen und Wege finden, die veröffentlichten Patches mit neuen Exploit-Varianten zu umgehen,[9] was unterstreicht, wie wichtig es für Unternehmen ist, ihre Netzwerke und Systeme kontinuierlich zu überwachen.

Folglich kann auch die Zusammenarbeit mit Drittanbietern und Lieferanten das Risiko mindern. Das kürzlich eingerichtete Manufacturing Information Sharing and Analysis Center (ISAC)(https://www.mfgisac.org/) ist eine wertvolle Quelle für öffentliche Informationen über die neuesten Cyber-Bedrohungen. ISAC stellt wichtige Informationen bereit, die Herstellern helfen, ihre eigenen Systeme zu sichern und zu schützen. Hersteller können die ISAC-Informationen auch nutzen, um ihre Zulieferer zu höheren Cybersicherheitsstandards anzuhalten und so die Wahrscheinlichkeit von Angriffen in der Lieferkette drastisch zu senken. Die Vereinigten Staaten haben auch Organisationen finanziert, die sich um die Sicherheit von US-Herstellern kümmern, darunter das Cybersecurity Manufacturing Innovation Institute (CyManII).

Darüber hinaus müssen die Hersteller cyber-bewusst bleiben und sich mit den verschiedenen Werkzeugen und Sicherheitsrahmen vertraut machen, z. B. mit den Dokumenten des National Institute of Standards and Technology (NIST), des US-Verteidigungsministeriums (DoD), des US-Energieministeriums (DOE), der National Security Agency (NSA) und des Federal Bureau of Investigation (FBI) sowie der CISA. Diese Organisationen informieren über "heiße" Cyber-Bedrohungen und wie man sie proaktiv abwehren kann. Die Hersteller sollten auch einen Plan für die Reaktion auf einen Vorfall aufstellen und vorbereiten, wie sie reagieren sollen, einschließlich der Frage, wie und an wen der Vorfall gemeldet werden soll.

Ein Hersteller kann im laufenden Cybersecurity-Krieg einen Schritt voraus sein, indem er fortschrittliche Mechanismen zur Erkennung von und Reaktion auf Bedrohungen einsetzt. Systeme zur Erkennung von Eindringlingen überwachen beispielsweise kontinuierlich den Netzwerkverkehr auf verdächtige Muster, während fortschrittliche Analysen und maschinelles Lernen dabei helfen, Anomalien zu erkennen, die oft auf einen laufenden Cyberangriff hindeuten können. Solche Systeme in Verbindung mit umfassenden und gut geschulten Plänen zur schnellen Reaktion auf Zwischenfälle tragen dazu bei, den Schaden im Falle eines vermuteten Verstoßes zu minimieren.

Leider reichen diese Vorkehrungen allein möglicherweise nicht aus, um die Hersteller zu schützen. Es ist wichtig, sich an das zugrundeliegende Problem zu erinnern: Die verwendeten Systeme wurden nicht mit Blick auf die Sicherheit entwickelt. Zwar können die oben beschriebenen "Bolt-on"-Ansätze dazu beitragen, die Sicherheit zu verbessern und vor Cyberangriffen zu schützen, doch können sie nur einen Teil des Problems lösen. Die Hersteller müssen neue, innovative Strategien entwickeln und umsetzen, um die US-Hersteller zu schützen, die Wirtschaft aufrechtzuerhalten und wachsen zu lassen und weltweit wettbewerbsfähig zu bleiben.

III. Rechtliche Auswirkungen, Verpflichtungen und Haftungen

Zusätzlich zu den oben beschriebenen Risiken im Bereich der Cybersicherheit sollten sich die Hersteller über die verschiedenen rechtlichen Verpflichtungen und Auswirkungen im Klaren sein, einschließlich der möglicherweise erheblichen finanziellen und rechtlichen Haftung.

1. Aktuelle Gesetzgebung und rechtliche Verpflichtungen

Als Reaktion auf die zunehmenden Bedrohungen der Cybersicherheit haben die Vereinigten Staaten verschiedene Gesetze und Durchführungsmaßnahmen eingeführt, um den Schutz kritischer Infrastrukturen zu verbessern. Auf Bundesebene sind dies unter anderem:

• Das Gesetz über die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) von 2018: Mit diesem Gesetz wurde das CISA als federführende Bundesbehörde für die Sicherung kritischer Infrastrukturen eingerichtet. Die Aufgaben und die Rolle der CISA umfassen:
  • Schnelle Bereitstellung: Zu den Aufgaben der CISA gehört die rasche Bereitstellung von Ressourcen und Unterstützung für die betroffenen Einrichtungen, um die laufenden Cyber-Bedrohungen zu entschärfen.
  • Vorfallsanalyse: Die CISA wird die gemeldeten Vorfälle analysieren, um Muster und Trends zu erkennen und so die Fähigkeit zu verbessern, wirksam auf neue Bedrohungen zu reagieren.
  • Austausch von Bedrohungsdaten: Das CISA wird den effizienten Austausch von Bedrohungsdaten zwischen den Einrichtungen erleichtern und so eine kollektive Abwehrhaltung im Bereich der Cybersicherheit fördern.
• Gesetz über die Meldung von Cyber-Vorfällen bei kritischen Infrastrukturen (CIRCIA): Das im März 2022 in Kraft getretene CIRCIA-Gesetz schreibt vor, dass Unternehmen mit kritischen Infrastrukturen, darunter auch solche aus dem kritischen Fertigungssektor, wesentliche Cybersicherheitsvorfälle und Ransomware-Zahlungen innerhalb von 72 bzw. 24 Stunden an die CISA melden müssen. 
• Die US-Börsenaufsichtsbehörde SEC (Securities and Exchange Commission): Im März 2022 schlug die SEC eine Vorschrift vor, nach der börsennotierte Unternehmen über Cybersecurity-Vorfälle, ihre Cybersecurity-Kapazitäten und die Cybersecurity-Expertise und -Aufsicht ihres Vorstands berichten müssen.
• Defense Federal Acquisition Regulation Supplement (DFARS): Hersteller, die Verträge mit dem Verteidigungsministerium abschließen, müssen die DFARS einhalten, die den Vertragspartnern spezifische Anforderungen an die Cybersicherheit auferlegt. Dazu gehören der Schutz kontrollierter, nicht klassifizierter Informationen (CUI) und die Einhaltung der Standards der NIST Special Publication 800-171. Die Nichteinhaltung dieser Anforderungen kann zur Vertragskündigung und zu rechtlichen Konsequenzen führen.
• Bundesaufsichtsbehörde für Energie (FERC): Die FERC legt Cybersicherheitsstandards für den Energiesektor fest, um die kritische Energieinfrastruktur der Nation zu schützen. Die Einhaltung der FERC-Vorschriften ist für energiebezogene Hersteller und Versorgungsunternehmen von entscheidender Bedeutung. Die Nichteinhaltung kann zu Strafen, dem Verlust von Lizenzen und der Beeinträchtigung der Zuverlässigkeit des Energienetzes führen.

Die Einhaltung der durch Rechtsvorschriften wie CIRCIA und FERC auferlegten Meldepflichten ist von entscheidender Bedeutung. Die Nichteinhaltung dieser Anforderungen kann erhebliche Strafen und rechtliche Konsequenzen nach sich ziehen. CISA hat zwar bis März 2024 Zeit, um die Vorschriften zu entwickeln und fertigzustellen, die die betroffenen Unternehmen dazu verpflichten, Cybervorfälle und Ransomware-Zahlungen an CISA zu melden,[10] doch wird ein proaktiver Informationsaustausch während des Zeitraums der Regelsetzung empfohlen. Dementsprechend müssen Unternehmen in den 16 vom CISA definierten kritischen Infrastruktursektoren, einschließlich derjenigen im kritischen Fertigungssektor, und alle bei der SEC registrierten Unternehmen die Meldung von Vorfällen an die zuständigen Behörden in Betracht ziehen und vorbereiten und die geltenden Vorschriften einhalten.

Aufkommende staatliche Gesetzgebung: Mehrere Bundesstaaten, darunter Colorado, Florida, Maryland und New York, arbeiten aktiv an Gesetzen zur Cybersicherheit kritischer Infrastrukturen. Diese Gesetze sind zwar noch nicht verabschiedet, aber es ist wahrscheinlich nur eine Frage der Zeit, bis sie in Kraft treten.[11]

Diese gesetzgeberischen Maßnahmen zielen darauf ab, den Informationsaustausch zu verbessern, Cybersicherheitsstandards zu entwickeln und öffentlich-private Partnerschaften zum Schutz kritischer Infrastrukturen zu fördern. Die betroffenen Unternehmen müssen jedoch damit beginnen, sich auf einen Cybervorfall vorzubereiten und dessen Einhaltung sicherzustellen.

2. Potenzielle rechtliche Verpflichtungen

Hersteller sind im Falle eines Vorfalls im Bereich der Cybersicherheit mit verschiedenen rechtlichen Verpflichtungen konfrontiert und sollten diese Fragen im Rahmen ihrer Reaktion auf einen Vorfall berücksichtigen.

• Datenschutzgesetze: Wenn ein Cybersicherheitsangriff zu einer Verletzung des Schutzes personenbezogener Daten führt, können Hersteller aufgrund von Datenschutzgesetzen haftbar gemacht werden. Wenn ein Fertigungsunternehmen beispielsweise große Mengen personenbezogener Daten, einschließlich Kunden- oder Mitarbeiterdaten, kontrolliert, unterliegt es Datenschutzgesetzen wie der General Data Protection Regulation (GDPR) in der Europäischen Union, dem California Privacy Rights Act (CPRA) und anderen umfassenden Datenschutzgesetzen in den Vereinigten Staaten. Die Nichteinhaltung dieser Gesetze kann zu erheblichen Bußgeldern und Strafen führen, die bis zu 4 % des weltweiten Jahresumsatzes bzw. 20 Millionen Euro im Rahmen der GDPR betragen können. Darüber hinaus können die Hersteller durch Sammelklagen betroffener Personen erheblich haftbar gemacht werden. In ähnlicher Weise kann die Nichteinhaltung von Bundesvorschriften wie CIRCIA zu Sanktionen, Geldstrafen oder der völligen Schließung führen.
• Haftung von Direktoren und Führungskräften: Direktoren und leitende Angestellte von Produktionsunternehmen haben treuhänderische Pflichten gegenüber den Aktionären und können wegen einer angeblichen Verletzung der treuhänderischen Pflichten gerichtlich belangt werden. So kann die Sorgfaltspflicht eines Vorstandsmitglieds oder leitenden Angestellten beispielsweise als Verpflichtung zur Umsetzung angemessener Cybersicherheitsmaßnahmen ausgelegt werden. Wenn ein Angriff auf die Cybersicherheit zu erheblichen finanziellen Verlusten führt, könnten Direktoren und leitende Angestellte wegen Verletzung der Sorgfaltspflicht haftbar gemacht werden. Wenn ein Angriff auf die Cybersicherheit auf das Versäumnis zurückzuführen ist, die Cybersicherheitsrichtlinien und -verfahren eines Zulieferers oder eines anderen Dritten ordnungsgemäß zu überprüfen und zu überwachen, können Hersteller möglicherweise wegen Verletzung der erforderlichen Sorgfaltspflicht verklagt werden. Aktionäre können auch Klagen einreichen, in denen behauptet wird, dass die Nachlässigkeit der Geschäftsführer und leitenden Angestellten im Umgang mit Cybersicherheitsrisiken zu finanziellen Verlusten geführt hat.
• Auswirkungen auf das geistige Eigentum (IP): Cybersicherheitsvorfälle, bei denen geistiges Eigentum verloren geht oder offengelegt wird, insbesondere in Fällen von Industriespionage, können zu kostspieligen rechtlichen Verpflichtungen führen.
• Vertragliche Verpflichtungen: Hersteller können wegen Vertragsbruchs haftbar gemacht werden, wenn ein Cybersicherheitsangriff ihre Fähigkeit beeinträchtigt, vertragliche Verpflichtungen zu erfüllen. Verträge enthalten oft Klauseln zum erforderlichen Datenschutz und zur Cybersicherheit, und die Nichterfüllung dieser vertraglichen Verpflichtungen kann verschiedene rechtliche Konsequenzen nach sich ziehen.

3. Überlegungen zur Cyber-Versicherung

Die Bekämpfung der zunehmenden Cyber-Bedrohungen und die Einhaltung der wachsenden rechtlichen Anforderungen können kostspielig sein. Cyber-Versicherungen spielen eine entscheidende Rolle bei der Abmilderung der mit Cyber-Bedrohungen verbundenen finanziellen Risiken. Hersteller sollten die verschiedenen Aspekte der Cyber-Versicherung sorgfältig prüfen. Diese Policen bestehen in der Regel aus zwei Hauptkomponenten:

• Erste-Partei-Deckung: Dieser Aspekt der Police befasst sich mit den direkten Kosten, die dem Hersteller infolge eines Cybervorfalls entstehen. Er umfasst die Deckung von Kosten für die Reaktion auf Datenverletzungen, Betriebsunterbrechung und Datenwiederherstellung. Wenn z. B. ein Ransomware-Angriff den Betrieb unterbricht, kann die Betriebsunterbrechungsdeckung dazu beitragen, entgangene Einnahmen während der Ausfallzeit zu kompensieren.
• Deckung durch Dritte: Die Haftpflichtversicherung befasst sich mit Haftungsfragen, die sich aus einem Cybervorfall ergeben. Sie umfasst den Schutz vor Gerichtskosten, z. B. im Zusammenhang mit der Abwehr von Klagen aufgrund von Datenschutzverletzungen und dem Diebstahl geistigen Eigentums. Hersteller können auch gegen Geldstrafen und Bußgelder versichert sein.

Die Bestimmung der angemessenen Höhe und des Umfangs des Cyberversicherungsschutzes beginnt mit einer umfassenden Risikobewertung. Hersteller sollten potenzielle finanzielle Verluste, rechtliche Verpflichtungen, Kosten für die Einhaltung gesetzlicher Vorschriften und Reputationsschäden bewerten, um den Versicherungsschutz angemessen auf die spezifischen Bedürfnisse und die Risikotoleranz zuzuschneiden.

IV. Proaktiver Umgang mit Cyber-Risiken

Echte Cybersicherheit erfordert mehr als kostspielige, nicht enden wollende "Bolt-on"-Anwendungen. Die Hersteller müssen mit Cyber- und Rechtsexperten zusammenarbeiten, um "sichere verteidigungsfähige Architekturen" mit den folgenden Merkmalen zu entwickeln:

• Die Implementierung des Digital Engineering Lifecycle über die gesamte Lieferkette;
• Betrachtung jedes Vorgangs, jeder Maschine und jeder Person als "Knotenpunkt" in diesem digitalen Design, um die Lieferkette nahtlos in den Betrieb zu integrieren;
• Erfassung jedes Knotens in einer cyber-physischen Identität (Reisepass), die Folgendes bietet:
  • Garantien für physische Funktionen;
  • Verknüpfung der Sicherheit mit der Produktqualität und der Energie-/Emissions-Effizienz (verkörperte Energie); und
• Überprüfbare Sicherheitseigenschaften, die auf mehrere Domänen ausgedehnt werden können.

Als Teil der Secure Defensible Architectures müssen die Hersteller einen Cyber-Physical Passport entwickeln, der sicherstellt, dass alle Lieferketten "qualifiziert" und "vertrauenswürdig" sind. Die nachstehende Abbildung B zeigt, wo wir heute stehen (blaues Dreieck) und welche Innovationen von den US-Herstellern nacheinander entwickelt und eingeführt werden müssen. Wichtig ist, dass diese Abbildung auch aufzeigt, wie wir uns Fortschritte an drei Fronten vorstellen: Cybersicherheit, Qualität und Integrität sowie Produktivität, Energieeffizienz und Dekarbonisierung.

Es handelt sich also um einen integrierten und mutigen Ansatz, der die Cybersicherheit von einer Kostenstelle in ein Profitcenter verwandelt. Der Gewinn aus Cybersecurity-Investitionen wird durch (a) die Überprüfung der Integrität und Qualität von Produkten als Verkaufsvorteil und (b) die Optimierung der Energieeffizienz und die Reduzierung von Emissionen auf der Ebene der Anlagen und des Lieferkettennetzwerks erzielt. Cybersicherheit wird von einer endlosen Investition ohne nachprüfbare Ergebnisse zu einer Investitionsstrategie, die zu nachprüfbaren Sicherheitsgarantien für physische Prozesse und Produkte führt und gleichzeitig die Qualität und Integrität erhöht sowie den Energieverbrauch und die Emissionen senkt.

Abbildung B

Ein zusätzlicher Faktor muss berücksichtigt werden - die Erkennung und Eindämmung von Cyberschwachstellen. In der sich schnell entwickelnden Landschaft der Cyber-Bedrohungen ist die Behebung von Cyber-Schwächen, Aufzählungen und Anfälligkeiten entscheidend für die Minderung von Cyber-Risiken. Eine Cyberschwäche bezieht sich auf einen Fehler oder eine Anfälligkeit in der Konzeption oder Implementierung eines Systems. Diese Schwachstellen können aufgrund von Programmierfehlern, Fehlkonfigurationen, unzureichenden Sicherheitskontrollen oder menschlichen Fehlern entstehen. Bei Aufzählungen wird ein Zielsystem systematisch untersucht, um Informationen über seine Architektur, seine Dienste und potenzielle Angriffspunkte zu sammeln. Cyber-Schwachstellen sind Lücken in der Sicherheit eines Systems, die ausgenutzt werden können, um unbefugten Zugang zu erhalten, den Betrieb zu stören oder Daten zu stehlen. Diese Schwachstellen können durch Softwarefehler, veraltete Software oder schwache Authentifizierungsmechanismen entstehen.

Derzeit versuchen die Hersteller, Cyberschwachstellen durch Software-Updates zu beheben. Angesichts der riesigen, ständig wachsenden Zahl von Schwachstellen halten viele diesen Ansatz jedoch für zu teuer und nicht skalierbar. Stattdessen müssen die Hersteller umfassende Listen von Cyber-Schwachstellen erstellen (wobei jede Schwachstelle Tausende bis Millionen von Schwachstellen widerspiegelt), diese kategorisieren und aufzählen und dann spezielle Angriffsanhänge entwickeln, um Strategien zur Schadensbegrenzung zu entwickeln. Organisationen wie MITRE haben mit Unterstützung von CyManII und vielen Unternehmen eine umfassende Liste von Cyber-Schwachstellen entwickelt(https://cwe.mitre.org/), und CyManII entwickelt Angriffsanhänge für die Fertigung, damit die US-Hersteller Schwachstellen (und Schwachstellen) angehen können, die in einem noch nie dagewesenen Ausmaß zunehmen.

Eine weitere Herausforderung ist der Mangel an Fachwissen von Managed Security Service Providern (MSSP) im derzeitigen Zustand kleiner und mittlerer Hersteller (SMM). Oft lagern SMMs ihre Sicherheit aus und glauben, dass ihre Cyberbedürfnisse ausreichend abgedeckt sind, nur um dann festzustellen, dass dies nicht der Fall ist, wenn sie mit einer Ransomware-Notiz konfrontiert werden. Viele MSSPs überschätzen ihre Fähigkeiten und ihren Einblick in die kritischen Funktionen eines SMM, während sie gleichzeitig ihre Operationen aufgrund von Personalmangel und Gewinnspannen unterbesetzen. CyManII empfiehlt, dass SMMs versuchen, sich durch gegenseitige Hilfslösungen und geeignete Werkzeuge selbst zu helfen, anstatt sich einfach auf Dritte zu verlassen. CyManII entwickelt hierfür generative KI und die korrekte Implementierung von Sicherheitskontrollen, die mit einer frühzeitigen und angemessenen Reaktion auf einen versuchten Einbruch verbunden sind. Die Kombination dieses Ansatzes mit Angriffsanhängen gegen ganze Kategorien von Common Weakness Enumerations (CWEs) ist bahnbrechend. Wir stehen vielleicht am Scheideweg, um die Cybersicherheit von der schwerfälligen Jugend zur Reife zu bringen.

Außerdem müssen wir die Hersteller mit Cyber-bewussten Arbeitskräften ausstatten. Dazu müssen wir Schulungen in großem Umfang entwickeln und durchführen. CyManII hat ein umfangreiches, auf die Fertigung ausgerichtetes OT-ICS-Curriculum entwickelt, das persönlich, virtuell und online angeboten wird. Mit diesem Ansatz und in Zusammenarbeit mit mehreren Partnern (SME ToolingU, Cyber Readiness Institute usw.) nähern wir uns rasch der Zahl von 1 Million Arbeitnehmern, die im Bereich Cybersicherheit geschult werden. Die Erweiterung der Fähigkeiten von US-Herstellern führt zu mehr Cybersicherheit und minimiert gleichzeitig Ausfallzeiten und Produktionsprobleme, die durch Cyberangriffe entstehen.

V. Die Macht öffentlich-privater Partnerschaften bei der Bewältigung von Cyber-Bedrohungen in der Fertigung

Die Fertigungsindustrie steht am Scheideweg zwischen technologischem Fortschritt und eskalierenden Cybersicherheitsrisiken. In diesem digitalen Zeitalter erweisen sich öffentlich-private Partnerschaften (PPP) als eine gewaltige Kraft bei der Bewältigung und Abschwächung der Cyber-Bedrohungen, mit denen die US-Hersteller konfrontiert sind (und die ein wichtiger Bestandteil der CIRCIA-Konformität sind). PPPs schmieden Kooperationen, Zusammenarbeit und Verträge zwischen der Regierung, privaten Unternehmen und Cybersicherheitsexperten. Durch diese Synergie wird die Stärke jedes Sektors genutzt, um die Abwehr von Cyberbedrohungen gemeinsam zu stärken. Durch die Bündelung von Ressourcen, Wissen und Know-how entwickeln PPPs umfassende und integrierte Strategien, die neue Innovationen auf den Markt bringen.

Hersteller profitieren von PPPs durch den Zugang zu Echtzeit-Bedrohungsinformationen, Anleitungen zu bewährten Praktiken und die Einführung branchenweiter Standards. Besonders wichtig ist, dass die PPPs die Unternehmen in die Erforschung, Entwicklung und Einführung neuer Cyber-Innovationen in ihre Produktionsabläufe und -anlagen einbinden, so dass die Hersteller sich besser gegen die sich entwickelnden Schwachstellen schützen können.

Cybersicherheit ist ein Teamsport, und PPPs ermöglichen es den stärksten Teams, zusammenzuarbeiten - oder vielleicht "Secure.TOGETHER". In einer Zeit, in der Cyber-Bedrohungen den Betrieb stören, geschützte Daten kompromittieren, die nationale Sicherheit beeinträchtigen und unsere Wirtschaft bedrohen können, bieten PPPs einen robusten Verteidigungsmechanismus. Die Zusammenführung des öffentlichen und des privaten Sektors ist von entscheidender Bedeutung, da diese PPPs der Dreh- und Angelpunkt für die Stärkung der Cyber-Resilienz der Fertigungsindustrie sind und ein nachhaltiges Wachstum in unserer digitalen Welt gewährleisten.

Mehr über CyManII

CyManII wurde 2020 vom US-Energieministerium ins Leben gerufen und arbeitet mit der verarbeitenden Industrie, Forschungs- und Hochschuleinrichtungen sowie Bundesbehörden zusammen, um Technologien zu entwickeln, die die Sicherheit und das Wachstum des amerikanischen Fertigungssektors fördern. Foley & Lardner ist derzeit Mitglied von CyManII.

Weitere Informationen zu Cybersecurity-Risiken, mit denen Hersteller konfrontiert sind, finden Sie in den Recommendations for Managing Cybersecurity Threats in the Manufacturing Sector (Empfehlungen für das Management von Cybersecurity-Bedrohungen im Fertigungssektor), die ebenfalls von Foley & Lardner und CyManII gemeinsam verfasst wurden.

Autoren

Aaron Tantleff

Partner

---

312.832.4367

Alex Misakian

Assoziiert

---

312.832.4389

Howard Grimes

Geschäftsführer
Cybersecurity Manufacturing Innovation Institute

---

Mehr sehen

[1] "X-Force Threat Intelligence Index 2023", IBM Security, Februar 2023.

[2] "The State of Ransomware in Manufacturing and Production 2023", Sophos, Juni 2023 (Umfrage in 14 Ländern unter Herstellern mit 100-5.000 Mitarbeitern).

[3] Id.

[4] Id.

[5] Id.

[6] "An accelerating IoT adoption rate will benefit the digital economy", Delta2020, November 29, 2016. Verfügbar unter: https://delta2020.com/blog/150-an-accelerating-iot-adoption-rate-will-benefit-the-digital-economy

[7] "Q2 2023 Threat Landscape Report: Alle Wege führen zu Infiltrationen der Lieferkette", Kroll, 2023.

[8] "CISA, NSA, FBI und internationale Partner geben Hinweise zu den wichtigsten routinemäßig ausgenutzten Schwachstellen im Jahr 2022 heraus", National Security Agency/Central Security Service, 03. August 2023. Verfügbar unter: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3481350/cisa-nsa-fbi-and-international-partners-issue-advisory-on-the-top-routinely-exp/.

[9] "Finding Something New About CVE-2022-1388", VulnCheck, 13. April 2023. Verfügbar unter: https://vulncheck.com/blog/new-cve-2022-1388

[10] CISA ist verpflichtet, innerhalb von 24 Monaten nach Inkrafttreten von CIRCIA eine Notice of Proposed Rulemaking (NPRM) zu veröffentlichen - die NPRM-Frist läuft also bis März 2024.

[11] "Cybersecurity Legislation 2022", National Conference of State Legislature, 22. Juli 2022. Verfügbar unter: https://www.ncsl.org/technology-and-communication/cybersecurity-legislation-2022

[12] Der Lebenszyklus des digitalen Engineerings bezieht sich auf den durchgängigen Prozess der Entwicklung und Verwaltung digitaler Produkte oder Systeme. Er umfasst verschiedene Phasen von der Konzeption bis zur Ausmusterung und beinhaltet Aktivitäten wie Entwurf, Simulation, Prototyping, Tests, Bereitstellung und Wartung. Im Wesentlichen handelt es sich um ein umfassendes Rahmenwerk, das digitale Technologien und Tools zur Rationalisierung und Verbesserung herkömmlicher Entwicklungsprozesse einsetzt.