Anzeige
Anzeige
Anzeige
Beitrag drucken

IT-Angriffe

Schutzzonen errichten

Die Digitalisierung und das Internet der Dinge bieten dem deutschen Mittelstand einzigartige Chancen. Durch die Umsetzung von Industrie 4.0-Anwendungen können Fertigungsunternehmen nicht nur schneller und effizienter, sondern individualisierter produzieren. Die Vernetzung von Produkten jeglicher Art mit dem Internet birgt enorme Potenziale für neue, disruptive Geschäftsmodelle und ist ein Innovationsmotor für die deutsche Wirtschaft. Dennoch fassen die Technologien nicht in dem Maße Fuß, wie es heute schon möglich wäre. Die Gründe liegen verschiedenen Studien und Umfragen zufolge hauptsächlich in einer gewissen Investitionsträgheit, aber in noch höherem Maße in Sicherheitsbedenken. Wenn sich der deutsche Mittelstand nicht über kurz oder lang von agileren internationalen Wettbewerbern abhängen lassen will, muss er diese Herausforderung jetzt annehmen. Denn bereits heute ist es möglich, mit mehrstufigen Sicherheitskonzepten die Risiken für cyberphysikalische Systeme zu minimieren.



Bild: Euromicron Deutschland GmbH

Bei der Betrachtung von neuen Sicherheitskonzepten dürfen neben internen Bedenken keinesfalls die externen Herausforderungen vernachlässigt werden. Diese sind zum einen in der enorm gestiegenen Bedrohungslage zu verorten. Mit Advanced Persistant Threats und Zero-Day-Exploits stehen Sicherheits- verantwortliche hochkomplexen Angriffsarten gegenüber, die mit herkömmlichen Methoden schon lange nicht mehr in den Griff zu bekommen sind. Seit das Internet der Dinge durch die totale Vernetzung die Angriffsfläche auf IT-Systeme exponentiell vergrößert hat, lässt sich die Schutzaufgabe damit vergleichen, einen Dammbruch mit einem Korken reparieren zu wollen. Unternehmen, die kritische Infrastrukturen betreiben und schützen müssen, sind darüber hinaus gesetzlichen Regelungen wie dem IT-Sicherheitsgesetz unterworfen, die bestimmte Standards vorgeben. Da zu den kritischen Infrastrukturen neben der öffentlichen Verwaltung und Energieversorgern, dem Gesundheitswesen, der Wasserversorgung sowie dem Transport- und Verkehrswesen auch solche aus der Informations- und Telekommunikationstechnik, Lebensmittelindustrie, Finanzwesen, Versicherungen und Einrichtungen der Medien und Kultur gehören, liegt es auf der Hand, dass weite Teile der deutschen Wirtschaft von diesen Fragestellungen betroffen sind.

Verschiedene Faktoren berücksichtigen

Um die Tragfähigkeit eines Sicherheitskonzepts zu gewährleisten, müssen neben der Vernetzung selbst noch weitere Faktoren berücksichtigt werden. Denn Systeme zur Maschinensteuerung in der Produktion haben technisch wenig mit herkömmlichen IT-Systemen gemein, sodass ausgereifte, in der Office-IT bewährte Firewalls oder Security-Appliances dort nicht greifen. Durch die Vernetzung des Maschinenparks mit der Office-Ebene wiederum öffnen sich weitere Einfallstore für IT-Angriffe. Die größte technische Herausforderung liegt also in der sicheren Integration von Industrie 4.0- beziehungsweise IoT-Komponenten in die IT-Welt, und zwar in einer ganzheitlichen Art und Weise.

Konzepte für Office-IT und IoT gleichen sich

Gleichzeitig gilt: So sehr sich die Technologien beider Welten auch unterscheiden, gleichen sich doch die Kriterien eines Sicherheitskonzepts für die Office-IT und für das Internet der Dinge. Zwar kann es nie einen hundertprozentigen Schutz geben, aber eine schrittweise Reduzierung der Risiken und Angriffsflächen ist ein wesentlicher Beitrag, die Kontrolle zu behalten, und Folgen von Vorfällen stark zu dämpfen. Euromicron hat einen ganzheitlichen Beratungs- und Umsetzungsansatz für die Risikoanalyse und die Entwicklung einer Security-Strategie in Industrie 4.0-Umgebungen entwickelt. Dabei folgt der Ansatz den Prämissen logische Segmentierung, Abschottung und Sichtbarkeit – denn Sicherheit ist kein linearer Prozess, sondern folgt einem Zyklus. Transparenz ist hier höchstes Gebot, denn nur so kann eine schrittweise Optimierung und damit Steigerung eines Schutzniveaus erreicht werden.

In vier Schritten zu höherer Sicherheit

Das Schutzzonenkonzept wird dabei in vier Schritten entwickelt. Der erste Schritt ist die Schutzzonenbedarfsanalyse. Dafür wird eine Bestands- aufnahme der momentanen Infrastruktur durchgeführt. Dazu gehören die schutzbedürftigen Systeme und deren Schutzarten sowie die Analyse weiterer geplanter Maßnahmen, jeweils unter Einbindung des Datenschutzbeauftragten. Der zweite Schritt umfasst die Ermittlung der IT-Security-Anforderungen pro Schutzzone. Dazu wird erfasst, welche Dienste auf dem jeweiligen System laufen und ob dort ein Rechtemanagement existiert. Auch die Dokumentation bekannter Schwachstellen und die Abklärung, ob eine Systemhärtung möglich ist, erfolgt in dieser Phase. Basierend auf diesen Informationen werden die benötigten Schutzzonen ermittelt.

Richtlinien für Schutzonen müssen definiert werden

Sind die Schutzzonen festgelegt, gilt es im dritten Schritt, die Richtlinie für jede Schutzzone zu definieren. Dies umfasst auch die physische Sicherheit mit den Bereichen Alarmierung, Brandschutz, Videoüberwachung oder Zutrittskontrolle. Bezogen auf die Systemlandschaft werden alle notwendigen Komponenten überprüft. So können im internen Netz einzelne Schutzzonen abgeschottet werden, Maßnahmen zur Systemhärtung eingeleitet und Verschlüsselungsinstanzen eingerichtet werden. Auch die Betrachtung des Bereichs der IT-Services und -Administration fällt unter diesen Schritt. So werden Regeln für die Kommunikationsbeziehungen, das Patch Management und die Zugriffsrechte definiert. Der vierte und finale Schritt für die Konzeption besteht in der Realisierung und stetigen Überprüfung der Schutzzonen.

Es werden die einzelnen Systeme für die jeweiligen Schutzzonen aufgebaut und die zu schützenden Einheiten in die Schutzzonen umgezogen. Vor der Abnahme erfolgt ein Review des umgesetzten Konzepts. Parallel dazu werden Reporting und Change Management Prozesse etabliert sowie die Dokumentation entsprechender Richtlinien und Verfahren vorgenommen. Auch die Nutzer- schulung wird in dieser Phase durchgeführt. Durch die Reportingprozesse sind Verantwortliche in der Lage, die Sicherheit in einen Ongoing-Prozess im Sinne eines Security Lifecycle weiterzuführen. Denn bei geschätzt 300.000 neuen Schadprogrammvarianten pro Tag wird ein Sicherheitskonzept nie als abgeschlossener Prozess betrachtet werden können.

google plus


Das könnte Sie auch interessieren:

Altair hat Simsolid übernommen. Das Unternehmen arbeitet auf Grundlage detailgetreuer CAD-Baugruppen und bietet schnelle, genaue und robuste Struktursimulationen, die ohne Geometrievereinfachung, Bereinigung und Vernetzung auskommen.‣ weiterlesen

Die Montage von Kunststoff-Führungshülsen für die Kopfstützenverstellung der SUV-Baureihen eines deutschen Premiumherstellers stellt hohe Ansprüche an die Automation. Der Automobilzulieferer Ros setzt deshalb auf eine in Eigenregie konzipierte Anlage mit zwei Sechsachs-Robotern, um die Ziele zu erfüllen.‣ weiterlesen

Aufgrund der hohen Zahl zu testender Fahrsituationen spielt zukünftig Simulation eine zentrale Rolle bei der Homologation automatisierter Fahrzeuge. Zur Validierung der Simulation als Methode für die Fahrzeugzulassung starten TÜV Süd, der Chip-Hersteller Nvidia und der Antriebssystem-Anbieter AVL aus Österreich eine Kooperation. Ziel ist es, Sicherheitsanforderungen, kritische Fahrszenarien sowie die notwendigen Bewertungskriterien zu definieren und die Simulation als Prüfwerkzeug zu etablieren.‣ weiterlesen

Die Volkswagen AG will ihr Vertriebsmodell umbauen: Der Konzern hat angekündigt, den Online-Vertrieb massiv auszubauen und somit auch den Direktvertrieb seiner Fahrzeuge zu ermöglichen. Ziel ist zudem eine nahtlose und individuelle Betreuung der Kunden über den Fahrzeugkauf hinaus mittels neuer Kunden-ID.‣ weiterlesen

Deutschland fehlt es nicht nur bei technisch-naturwissenschaftlichen Berufen an Fachkräften, das Phänomen macht sich branchenübergreifend bemerkbar. Mit digitalen Assistenzsystemen (Datenbrillen) lassen sich den daraus folgenden Effekten entgegenwirken.‣ weiterlesen

Anzeige
Anzeige
Anzeige