Anzeige
Anzeige
Anzeige
Beitrag drucken

IT-Angriffe

Schutzzonen errichten

Die Digitalisierung und das Internet der Dinge bieten dem deutschen Mittelstand einzigartige Chancen. Durch die Umsetzung von Industrie 4.0-Anwendungen können Fertigungsunternehmen nicht nur schneller und effizienter, sondern individualisierter produzieren. Die Vernetzung von Produkten jeglicher Art mit dem Internet birgt enorme Potenziale für neue, disruptive Geschäftsmodelle und ist ein Innovationsmotor für die deutsche Wirtschaft. Dennoch fassen die Technologien nicht in dem Maße Fuß, wie es heute schon möglich wäre. Die Gründe liegen verschiedenen Studien und Umfragen zufolge hauptsächlich in einer gewissen Investitionsträgheit, aber in noch höherem Maße in Sicherheitsbedenken. Wenn sich der deutsche Mittelstand nicht über kurz oder lang von agileren internationalen Wettbewerbern abhängen lassen will, muss er diese Herausforderung jetzt annehmen. Denn bereits heute ist es möglich, mit mehrstufigen Sicherheitskonzepten die Risiken für cyberphysikalische Systeme zu minimieren.



Bild: Euromicron Deutschland GmbH

Bei der Betrachtung von neuen Sicherheitskonzepten dürfen neben internen Bedenken keinesfalls die externen Herausforderungen vernachlässigt werden. Diese sind zum einen in der enorm gestiegenen Bedrohungslage zu verorten. Mit Advanced Persistant Threats und Zero-Day-Exploits stehen Sicherheits- verantwortliche hochkomplexen Angriffsarten gegenüber, die mit herkömmlichen Methoden schon lange nicht mehr in den Griff zu bekommen sind. Seit das Internet der Dinge durch die totale Vernetzung die Angriffsfläche auf IT-Systeme exponentiell vergrößert hat, lässt sich die Schutzaufgabe damit vergleichen, einen Dammbruch mit einem Korken reparieren zu wollen. Unternehmen, die kritische Infrastrukturen betreiben und schützen müssen, sind darüber hinaus gesetzlichen Regelungen wie dem IT-Sicherheitsgesetz unterworfen, die bestimmte Standards vorgeben. Da zu den kritischen Infrastrukturen neben der öffentlichen Verwaltung und Energieversorgern, dem Gesundheitswesen, der Wasserversorgung sowie dem Transport- und Verkehrswesen auch solche aus der Informations- und Telekommunikationstechnik, Lebensmittelindustrie, Finanzwesen, Versicherungen und Einrichtungen der Medien und Kultur gehören, liegt es auf der Hand, dass weite Teile der deutschen Wirtschaft von diesen Fragestellungen betroffen sind.

Verschiedene Faktoren berücksichtigen

Um die Tragfähigkeit eines Sicherheitskonzepts zu gewährleisten, müssen neben der Vernetzung selbst noch weitere Faktoren berücksichtigt werden. Denn Systeme zur Maschinensteuerung in der Produktion haben technisch wenig mit herkömmlichen IT-Systemen gemein, sodass ausgereifte, in der Office-IT bewährte Firewalls oder Security-Appliances dort nicht greifen. Durch die Vernetzung des Maschinenparks mit der Office-Ebene wiederum öffnen sich weitere Einfallstore für IT-Angriffe. Die größte technische Herausforderung liegt also in der sicheren Integration von Industrie 4.0- beziehungsweise IoT-Komponenten in die IT-Welt, und zwar in einer ganzheitlichen Art und Weise.

Konzepte für Office-IT und IoT gleichen sich

Gleichzeitig gilt: So sehr sich die Technologien beider Welten auch unterscheiden, gleichen sich doch die Kriterien eines Sicherheitskonzepts für die Office-IT und für das Internet der Dinge. Zwar kann es nie einen hundertprozentigen Schutz geben, aber eine schrittweise Reduzierung der Risiken und Angriffsflächen ist ein wesentlicher Beitrag, die Kontrolle zu behalten, und Folgen von Vorfällen stark zu dämpfen. Euromicron hat einen ganzheitlichen Beratungs- und Umsetzungsansatz für die Risikoanalyse und die Entwicklung einer Security-Strategie in Industrie 4.0-Umgebungen entwickelt. Dabei folgt der Ansatz den Prämissen logische Segmentierung, Abschottung und Sichtbarkeit – denn Sicherheit ist kein linearer Prozess, sondern folgt einem Zyklus. Transparenz ist hier höchstes Gebot, denn nur so kann eine schrittweise Optimierung und damit Steigerung eines Schutzniveaus erreicht werden.

In vier Schritten zu höherer Sicherheit

Das Schutzzonenkonzept wird dabei in vier Schritten entwickelt. Der erste Schritt ist die Schutzzonenbedarfsanalyse. Dafür wird eine Bestands- aufnahme der momentanen Infrastruktur durchgeführt. Dazu gehören die schutzbedürftigen Systeme und deren Schutzarten sowie die Analyse weiterer geplanter Maßnahmen, jeweils unter Einbindung des Datenschutzbeauftragten. Der zweite Schritt umfasst die Ermittlung der IT-Security-Anforderungen pro Schutzzone. Dazu wird erfasst, welche Dienste auf dem jeweiligen System laufen und ob dort ein Rechtemanagement existiert. Auch die Dokumentation bekannter Schwachstellen und die Abklärung, ob eine Systemhärtung möglich ist, erfolgt in dieser Phase. Basierend auf diesen Informationen werden die benötigten Schutzzonen ermittelt.

Richtlinien für Schutzonen müssen definiert werden

Sind die Schutzzonen festgelegt, gilt es im dritten Schritt, die Richtlinie für jede Schutzzone zu definieren. Dies umfasst auch die physische Sicherheit mit den Bereichen Alarmierung, Brandschutz, Videoüberwachung oder Zutrittskontrolle. Bezogen auf die Systemlandschaft werden alle notwendigen Komponenten überprüft. So können im internen Netz einzelne Schutzzonen abgeschottet werden, Maßnahmen zur Systemhärtung eingeleitet und Verschlüsselungsinstanzen eingerichtet werden. Auch die Betrachtung des Bereichs der IT-Services und -Administration fällt unter diesen Schritt. So werden Regeln für die Kommunikationsbeziehungen, das Patch Management und die Zugriffsrechte definiert. Der vierte und finale Schritt für die Konzeption besteht in der Realisierung und stetigen Überprüfung der Schutzzonen.

Es werden die einzelnen Systeme für die jeweiligen Schutzzonen aufgebaut und die zu schützenden Einheiten in die Schutzzonen umgezogen. Vor der Abnahme erfolgt ein Review des umgesetzten Konzepts. Parallel dazu werden Reporting und Change Management Prozesse etabliert sowie die Dokumentation entsprechender Richtlinien und Verfahren vorgenommen. Auch die Nutzer- schulung wird in dieser Phase durchgeführt. Durch die Reportingprozesse sind Verantwortliche in der Lage, die Sicherheit in einen Ongoing-Prozess im Sinne eines Security Lifecycle weiterzuführen. Denn bei geschätzt 300.000 neuen Schadprogrammvarianten pro Tag wird ein Sicherheitskonzept nie als abgeschlossener Prozess betrachtet werden können.

google plus


Das könnte Sie auch interessieren:

Die rapide wachsende Zahl an Anwendungen zu steuern, zu optimieren und zu schützen, wird für Unternehmen immer schwieriger. Zu diesem Ergebnis kommt eine von F5 in Auftrag gegebene Studie des Ponemon Institute.‣ weiterlesen

Cloudanwendungen sind nicht nur in großen Unternehmen anzutreffen, auch kleine Mittelständler setzen mittlerweile auf die Cloud. Dass die erhöhte Akzeptanz auch vor ERP aus der Cloud keinen Halt macht, zeigen die Ergebnisse des ITK-Budget-Benchmarks von Techconsult und Cancom Pironet.‣ weiterlesen

Mehr künstliche Intelligenz und mehr Funktionen - im Mai hat SAP Details zur neuen Version der Anwendung S/4Hana Cloud bekanntgegeben. Künftig sind Machine Learning- und Predictive Analytics-Werkzeuge in zentrale Geschäftsprozesse der Business-Anwendung integriert.‣ weiterlesen

Zum Portfolio des Kunststoffschweißspezialisten Munsch gehört auch die Reparatur der eigenen Erzeugnisse. Den Arbeitsfortschritt an den eingeschickten Geräten von Peakboard stellten die Werker lange auf einem Card-Board dar, das in der Praxis aber so gut wie nie den aktuellen Stand in der Werkstatt spiegelte.‣ weiterlesen

In Diskussionen um Blockchain-Technologie rücken zunehmend auch Smart Contracts in den Fokus. Bei dieser Form der Vertragsabwicklung lässt sich die Einhaltung ausgehandelter Bedingungen zwar transparent und sehr manipulationssicher dokumentieren, das vertragliche Rahmenwerk ersetzen Smart Contracts aber nicht.‣ weiterlesen

Mit der All about Automation in Leipzig, findet am 12. und 13. September eine regional ausgerichtete Messe für Industrieautomation für den mitteldeutschen Raum statt. Etwa 100 Aussteller werden dann in Leipzig erwartet.‣ weiterlesen

Anzeige
Anzeige
Anzeige