Die Cloud in der Prozessindustrie

Datensicherheit auf höchstem Niveau

Andreas Eschbach, CEO

Cloud-basierte Lösungen für Informationsmanagement in der Prozessindustrie bieten erhebliche Vorteile in Bezug auf Erreichbarkeit, Skalierbarkeit und Einfachheit in der Wartung und Verwaltung. Aber sind Cloud-basierte Lösungen auch sicher genug für die chemische und pharmazeutische Industrie, die eine enorme Menge an hochsensiblen Daten schützen müssen? Die Antwort lautet: Ja... vorausgesetzt, die Provider berücksichtigen Datensicherheit von Anfang an.

    Der steigende Bedarf nach Anwendungen mit sicherer und schnell skalierbarer Datenspeicherung und -verarbeitung führten zu einer zunehmenden Relevanz von Cloud Computing, das heißt der Datenverarbeitung und -speicherung auf einem externen Server. Als Software-as-a-Service (SaaS)-Lösung wird Software von einem Provider bereitgestellt. Die „hauseigene IT“ muss sich nicht um die Gefahrenlandschaft, Updates und das Hosting kümmern. Zur Debatte, ob "Cloud oder Edge" einen höheren Stellenwert hat, trugen folgende Entwicklungen bei:

    • Sich schnell wandelnde Anforderungen unter volatilen Marktbedingungen
    • Anforderungen nach reduziertem E-Mail-Verkehr und einer soliden Datenbasis, die sich auch dezentral abrufen lässt
    • Sensible Daten und eine sich ständig wandelnde Gefahrenlandschaft in der IT
    • Steigende Nachfrage nach Services, wie beispielsweise KI (Künstliche Intelligenz)-basierte Anwendungen
    Data Cloud
    Data Cloud

    Noch heute zögern viele Pharmahersteller, ihre Daten in die Cloud zu geben. Doch eine gut konzipierte Cloud-Lösung, die den modernen Sicherheitsstandards und -vorschriften entspricht, kann tatsächlich sicherer sein als die Speicherung von Daten im eigenen internen Netzwerk. So bieten Cloud-Lösungen zusätzliche Sicherheit durch zentrale Datenspeicherung, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten – vor allem für Unternehmen, die bereits den Schritt in ein digitalisiertes Prozess-Management gewagt haben.

    Lokales Hosting vs. Cloud-Sicherheit:

    Bei der Bewertung der Sicherheit einer Software-Lösung sind drei wichtige Elemente zu berücksichtigen. Diese Bausteine sind als "CIA-Trias" in der Software-Branche bekannt und stehen für Confidendtiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit).

    • Die Vertraulichkeit bezieht sich darauf, wie Daten vor Offenlegung oder unbefugtem Zugriff geschützt werden. Wer darf Daten einsehen, wie wird der Zugriff kontrolliert, und welche Schutzmaßnahmen verhindern, dass Unbefugte in das System eindringen?
    • Bei der Integrität geht es darum, wie genau und zuverlässig die Daten sind. Gibt es doppelte Eingaben oder eine zuverlässige Informationsquelle?
    • Verfügbarkeit bedeutet, dass die Daten zugänglich und nutzbar sind, wann und wo wir sie brauchen, und dass sie nicht aufgrund von Systemausfällen, Netzwerkfehlern oder anderen Störungen unzugänglich geworden sind.

    In allen drei Bereichen punktet eine Cloud-Software gegenüber einer lokal gehosteten Software. Mindestens genauso schnell wie technologische Neuheiten auf den Markt kommen, verändert sich auch die Gefahrenlandschaft. Doch nur wenige Pharmahersteller haben entsprechende Netzwerke und dadurch das nötige Fachwissen, um ein umfassendes Cybersicherheitsprogramm zu entwickeln, umzusetzen und aufrechtzuerhalten. So entsprechen häufig Sicherheitsvorkehrungen bei Software-Lösungen nicht mehr dem neusten Standard und es fehlen oft wichtige Updates, um neue oder aufkommende Sicherheitsbedrohungen zu bewältigen. Darüber hinaus muss eine Software für die Prozessindustrie mit komplexen Rahmenbedingungen und Strukturen umgehen.
      Software as a service
      Software as a service

       Auch hier liegen neue Gefahrenquellen für unberechtigten Zugang. Eine eigen gehostete Lösung kann anfällig sein für:

      • Unbefugten Zugriff aufgrund schwacher Authentifizierungssysteme oder "Hintertüren", die Hackern leichten Zugang zum System verschaffen. Dadurch wird wertvolles geistiges Eigentum, Mitarbeiter- oder Kundendaten und andere sensible Informationen dem Risiko des Diebstahls, Missbrauchs oder der unbefugten Offenlegung ausgesetzt.
      • Datenmanipulationen durch unbefugte Personen, die sich Zugang zu Systemen verschaffen. Durch beschädigte oder absichtlich veränderte Daten besteht die Gefahr von Sicherheitsvorfällen, Problemen mit der Produktqualität oder anderen Problemen innerhalb der Anlage.
      • Datenverlust, wenn lokale Server bei einem Systemausfall, einer Naturkatastrophe oder einem anderen Schadensereignis beschädigt oder zerstört werden. Unzureichende Backups bergen das Potenzial für erhebliche Betriebsstörungen.

      Mit einem Cloud-basierten System können Hersteller die Cybersecurity-Expertise des Cloud Service Providers (CSP) nutzen. In einem "Software-as-a-Service"-Modell (SaaS) übernimmt der CSP die Aufgabe, Sicherheitsprogramme für die Anwendung zu pflegen und die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten. Dazu gehören die Einhaltung aktueller Cybersicherheitsvorschriften und bewährter Verfahren, die Aktualisierung der Software, wenn neue Sicherheitsbedrohungen und Schwachstellen entdeckt werden, sowie die laufende Überwachung und Erkennung von Bedrohungen:

      • Die Vertraulichkeit der Daten wird durch strenge Sicherheitskontrollen wie Datenverschlüsselung, Firewalls, sichere Benutzerauthentifizierung und Zugriffskontrolle sowie andere Maßnahmen geschützt, um den Zugriff auf das System auf autorisierte Benutzer zu beschränken und Hacker daran zu hindern, sich Zugang zu unverschlüsselten Daten zu verschaffen.
      • Die Datenintegrität wird durch Zugriffsbeschränkungen, die Implementierung digitaler Signaturen zur Verfolgung von Änderungen, die Verwendung von Datenvalidierungsmethoden zur Suche nach Anomalien und die Überwachung ungewöhnlicher Verhaltensmuster gewährleistet.
      • Die Datenverfügbarkeit wird in einer Cloud-Umgebung verbessert, da sie automatisch gesichert werden und von jedem Ort aus verfügbar sind, selbst wenn die eigenen Einrichtungen oder Server des Herstellers nicht verfügbar sind. Georedundanz bietet zusätzlichen Schutz für kritische Anlagendaten.

      Was Provider beachten sollten

      Um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten, sollten sichere Cloud-Anwendungen den aktuellen Best Practices entsprechen und alle Vorschriften zur Cybersicherheit in der Cloud einhalten. Die Verwaltung der Informationssicherheit wird durch ISO 27001 geregelt, die einen Rahmen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung von Sicherheitsmanagementsystemen, -verfahren und -richtlinien bietet. CSPs sollten ihre Sicherheitsprogramme in Übereinstimmung mit der ISO 27001 entwickeln. Sie sollten auch über eine ISO 9001-Zertifizierung verfügen, die Qualitätsmanagementsysteme für die Softwareentwicklung regelt. Sie können auch einen SOC-2-Bericht anfordern, der eine Prüfung der Unternehmenskontrollen in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz enthält.

      Die Entwicklung einer sicheren Cloud-Lösung umfasst eine Reihe verschiedener Aspekte, darunter:

      • Sichere Architektur
      • Allgemeine Vorkehrungen bei der Softwareentwicklung
      • Backup und Notfallwiederherstellung
      • Überwachung der Sicherheit
      • Prüfung und Analyse
      • Management von Zwischenfällen

      Eine sichere Cloud-Anwendung beginnt mit sicheren Entwicklungsphasen. Ein DevSecOps-Ansatz, der die Cybersicherheit in jede Phase der Entwicklung und des Betriebs integriert, stellt sicher, dass bewährte Sicherheitspraktiken während des gesamten Software-Lebenszyklus angewandt werden, die es ermöglichen, Veränderungen in der Sicherheitsumgebung frühzeitig zu erkennen und darauf zu reagieren.

      Architektur

      Eine sichere Cloud-Architektur ist eine Kombination aus Sicherheitsmaßnahmen auf Daten-, Netzwerk- und Anwendungsebene, um den Zugriff zu kontrollieren und Daten sowohl bei der Übertragung als auch bei der Speicherung zu schützen. Zu den Schlüsselelementen eines sicheren Entwurfs gehören die Identitäts- und Zugriffsverwaltung für autorisierte Benutzer, die Datenverschlüsselung für die Übertragung und Speicherung, Netzwerksicherheitsmaßnahmen wie mehrstufige Firewalls und Netzwerksegmentierung, Technologien zur Erkennung von Eindringlingen und sichere Kodierungsverfahren. So sollte beispielsweise HTTPS für die verschlüsselte Kommunikation zwischen dem Webbrowser und der Cloud-Anwendung verwendet werden, und das System sollte mit einer mandantenfähigen Architektur konzipiert werden, um die Daten der einzelnen Kunden zu isolieren.

      Sicherung und Wiederherstellung im Ausnahmezustand

      Um eine kontinuierliche Datenverfügbarkeit zu gewährleisten, sollte der CSP über einen vollständig dokumentierten Backup- und Disaster-Recovery-Plan verfügen, der die Häufigkeit der Backups, die Standorte von Primär- und Backup-Servern, automatisierte Wiederherstellungsmethoden, Sicherheitsmaßnahmen für Backups und Wiederherstellungszeitziele festlegt. Georedundante Server und Datenbanksicherungen, bei denen Daten und Anwendungen an mehreren geografischen Standorten gespeichert werden, stellen sicher, dass die Daten auch dann noch verfügbar sind, wenn es in einem Rechenzentrum zu einem katastrophalen Verlust kommt oder die Daten aufgrund eines Serverproblems oder einer Naturkatastrophe vorübergehend nicht verfügbar sind. Die Daten sollten regelmäßig nach einem Zeitplan gesichert werden, der dem Unternehmen und der Art der gespeicherten Daten angemessen ist.

      Überwachung der Sicherheit

      Die Sicherheitsüberwachung für Cloud-basierte Lösungen sollte sowohl eine externe als auch eine interne Überwachung umfassen. Die externe Überwachung von Bedrohungen umfasst das Scannen der gesamten Bedrohungslandschaft auf aufkommende Malware, neue Angriffsmethoden und neu entdeckte Schwachstellen, entweder in der Anwendung selbst oder in anderer Software, mit der sie verbunden ist, wie z. B. dem Browser oder den Betriebssystemen der Geräte. Die Bedrohungsanalyse kann eine Kombination aus automatisierten Methoden (z. B. "Honeypots") und der manuellen Überwachung von Informationen umfassen, die in Open-Source-Sicherheitsforen verfügbar sind. Die interne Überwachung von Bedrohungen umfasst die automatisierte Echtzeit-Überwachung von Systemzustand, Verfügbarkeit und Leistung. Die Überwachung in Echtzeit ermöglicht es den Anbietern, schnell zu reagieren, wenn ein Problem auftritt. Neben der Überwachung des Datenverkehrs und des Verhaltens des Systems selbst sollte der Plan auch die Überwachung der Endpunkte der Geräte umfassen, die mit dem Dienst verbunden sind, um ungewöhnliche Verhaltensmuster zu erkennen, die auf einen Verstoß hindeuten könnten. Interne Sicherheitsüberwachung

      Prüfung und Analyse

      Das Testen und Analysieren von Cloud-basierten Systemen ist ein wichtiger Aspekt, um die Sicherheit und Zuverlässigkeit des Systems zu gewährleisten. Die Infrastruktur und die gehosteten Anwendungen sollten regelmäßig getestet und analysiert werden, um Schwachstellen aufzuspüren und zu beseitigen, einschließlich externer Blackbox-Penetrationstests und Bedrohungsmodellierung sowohl für die Software als auch für die Infrastruktur. Dieses Verfahren hilft bei der Ermittlung bisher unbekannter Schwachstellen und bei der Entwicklung von Software-Patches oder anderen Abhilfemaßnahmen zur Stärkung des Systems. Grey-box-Tests erwähnen

      Management von Zwischenfällen

      Eine sichere Cloud-Anwendung muss über ein Incident Management und einen Reaktionsplan verfügen, um schnell auf Sicherheitsvorfälle reagieren zu können, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten beeinträchtigen. Dazu gehören Verfahren zur Erkennung und Meldung von Sicherheitsereignissen, zur Abschwächung ihrer Auswirkungen und zur Durchführung forensischer Analysen, um die Ursache und den Umfang des Vorfalls zu ermitteln. Mit einem gut definierten Plan für das Management von Sicherheitsvorfällen und die Reaktion darauf können CSPs schnell den Schaden eindämmen und wiederherstellen.

      Mit Blick auf verschiedenste Parameter und Randbedingungen, führt häufig an einer Cloud-Solution kein Weg vorbei. In Zukunft ist damit zu rechnen, dass Cloud Computing einen großen Zuwachs verzeichnet, angetrieben durch IIoT.

      Modernste Standards für ein Maximum an Sicherheit

      SaaS-Anbieter sollten ihre Lösungen nach den neuesten Standards für Cybersicherheit entwickeln. Für Pharmahersteller, die ein SaaS-Angebot nutzen möchten, kann das Zertifikat ISO 27001 ein gutes Indiz für die Vorgehensweise bei der Softwareentwicklung sein. Die internationale Norm für Informationssicherheitsmanagement zeigt, dass der Anbieter modernste Rahmenbedingungen bei der Entwicklung, Wartung und kontinuierlichen Verbesserung mit Blick auf Softwaresicherheit einhält. Insbesondere bei der Bewertung einer Plant Process Management-Software hinsichtlich ihrer Cybersecurity ist eine ISO 27001-Zertifizierung ein guter Anhaltspunkt. Dabei prüft eine unabhängige Zertifizierungsstelle gründlich die Vorgehensweise des Providers und bewertet diese. Ergänzend zeigt die ISO 9001-Zertifizierung, dass die Qualitätsmanagementsysteme des Anbieters den heutigen Anforderungen entsprechen.

      In den USA ist ein SOC-2-Bericht hilfreich. SOC 2 ist eine Art Audit, der Sicherheit, Verfügbarkeit und Integrität von Daten prüft.

      Wenn Plant Process Management in die Cloud verlagert wird, ist die Daten und Software-Sicherheit von entscheidender Bedeutung. Durch die Implementierung der richtigen Sicherheitsmaßnahmen bietet eine Cloud-basierte PPM-Lösung Pharmaunternehmen eine hervorragende Basis, damit sie ihre Prozesse effektiv verwalten und sensible Daten schützen können.

        Diese Website speichert Cookies auf Ihrem Computer. Diese Cookies werden verwendet, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren und ermöglichen es uns, uns an Sie zu erinnern. Wir verwenden diese Informationen, um Ihr Surferlebnis zu verbessern und anzupassen, sowie für Analysen und Metriken über unsere Besucher auf dieser Website und in anderen Medien. Weitere Informationen über die von uns verwendeten Cookies finden Sie in unserer Datenschutzrichtlinie.

        Wenn Sie dies ablehnen, werden keine Daten von Ihnen gesammelt. Lediglich ein Cookie wird dazu verwendet, um diese Auswahl zu speichern.