Die meisten Unternehmen sehen Cyber Sicherheit immer noch als bloßen Kostenblock den es zu Controllen und klein zu halten gilt. Sachverstand fehlt oft bei den Entscheidern und die Bedarfe werden klein geredet. Es ist ja noch nichts passiert. Die Sicherheit der relevanten Dienstleister ist oft eine Blackbox.
Bestenfalls wird das gerade nötige getan für Prüfer und Zertifizierungen. Das ist aber oft eher compliance als echt Sicherheit.

Zum einen kann ich zustimmen, bei einigen Entscheidern ist der Knall immer noch nicht angekommen. Man schaue nur bei JaguarLand Rover an - da haben die Angriffe vor rund 3 Wochen für einen langen Produktionsstop gesorgt, der immer noch anhält und jetzt sogar Arbeitsplätze kostet, weil Zulieferer unverschuldet jetzt unter Druck kommen. Schaden geht in den dreistelligen Millionenbereich.

Dienstleister für die Abfertigung an den Flughäfen fallen unter den KRITIS Begriff (kritische Infrastruktur). Dadurch sind sie jetzt (zumindest hier in Deutschland) gezwungen sich intensiver mit dem Thema auseinander zu setzen. Das Problem ist aber nicht nur, dass es Geld kostet und man nur durch den Einwurf von immer mehr Geld das Risiko ein Angriffsopfer zu werden minimiert (ausschließen wird man es niemals können). Das Problem ist auch, dass die Spezialisten auf dem Gebiet rar sind und man das Know-How nur schwerlich bekommt.

Gleich wohl ist es erschreckend, wie viele Systeme auf der Welt bei teilweise wichtigen Einrichtungen auf nicht mehr unterstützten Software-Systemen laufen oder wo überall unm Lizenzgebühren zu sparen Eigenentwicklungen betrieben werden, die Sicherheitslücken haben, größer als ein Scheunentor.

Ja das ist leider alles so richtig, was Sie schreiben FRAHAM.

Die KRITIS-Audits sind aber auch nicht viel mehr als, ein ein etwas aufgewertetes ISO 27001 Audit... Besonders anspruchsvoll ist das nicht. Und bis zur letzten Novelle sind im Logistik Sektor auch kaum Unternehmen unter KRITIS gefallen. Dürfte jetzt mehr sei, hab den Sektor dahingehend gerade nicht mehr so auf dem Schirm.

Grundsätzlich ist das schon der richtige Ansatz mit KRITIS. Aber da wird halt auch oft dann nur geschaut, wie komm ich möglichst günstig dahin, die Audits zu bestehen. Und die zu bestehen ist halt nicht so schwer. Am Ende ist es dann wieder Compliance und nicht unbedingt echte Cyber-Sicherheit und Resilienz. Leider.

Mit den Sicherheitslücken ist ja ein schönes Beispiel. Ein Schwachstellen-Managementprozess und Risiko-Managementprozess und KPIs auf auf Schwachstellen bringen dann am Ende auch wenig, wenn die KPIs alle rot leuchten und das Risiko hoch eingestuft ist. Außer natürlich, dass man damit das Audit besteht, weil es wird ja alles super gesteuert und ist entlang definierter Prozesse ausgerichtet.

Ich arbeite auch in einem IT Unternehmen, dass auch darunter fällt. Zwischen BSI und ISO27001 ist noch mal größerer Unterschied - zumindest bei den bisherigen Audits. Natürlich sind am Anfang die Hausaufgaben gemacht, sobald man die Prozesse, Kennzahlen und Maßnahmen beschrieben hat, als nächstes kommen die formalen Nachweise. Aber ich kenne in durch Aufsichtsbehörden überwachten Branchen auch, dass die Aufsichtsbehörden Personal zur Überwachung abstellt und mit Lizenzentzug droht. Hier speziell im Banken-Umfeld. Sowas würde ich dann auch analog zur Bafin durch eine Aufsichtsbehörde für die Luftfahrt sehen - wird ja auch schon jede Menge anderes geprüft, warum also nicht auch die IT.

Gleich wohl ist es erschreckend, wie viele Systeme auf der Welt bei teilweise wichtigen Einrichtungen auf nicht mehr unterstützten Software-Systemen laufen oder wo überall unm Lizenzgebühren zu sparen Eigenentwicklungen betrieben werden, die Sicherheitslücken haben, größer als ein Scheunentor.

Der Einsatz von Systemen spezialisierter Softwareentwickler ist auch nicht die Sicherheitslösung schlechthin. Die machen auch Fehler und der kann dann schlagartig bei vielen Kunden gleichzeitig Schaden anrichten, so wie jetzt mit Collins.
Die leider "erfolgreichen" Attacken auf die Luftfahrt häufen sich, da müsste die IATA und ICAO im Rahmen von ISMS mit den Nationalstaaten verstärkt aktiv werden.

 https://konbriefing.com/de-topics/cyber-angriffe-2024-ind-luftfahrt.html

Unbedingt sogar - und nicht nur bei begleitenden Unternehmen, sondern auch bei den Kernprodukten. FLugzeuge haben auch immer mehr Kommunikationskanäle und theoretisch Interaktions-Schnittstellen. Ich würde mir sehr wünschen, dass das immer alles sehr sauber programmiert wurde und sicher ist. Wenn ich mir aber manche "Schlamperei" an viel einfacheren Punkten im Flugzeugbau anschaue, habe ich da doch Sorgen.