IT-Sicherheit
„Das schwächste Glied ist noch immer die Produktion“
Aktuelle Untersuchungen zeigen: Mittelständische Industriebetriebe rücken häufiger in das Visier gezielter Cyber-Angriffe. Olaf Mischkovsky, TSO Technical Specialist für Endpoint Security bei Symantec, gibt Einblicke in Herausforderungen bei der Absicherung von Produktionssystemen und erklärt, warum der Einsatz von Firewalls und
Virenscannern allein noch lange keine Sicherheit bringt.
Bild: Symantec / Olaf Mischkovsky, TSO Technical Specialist für Endpoint Security bei Symantec.
IT&Production: Vor wenigen Jahren galten gezielte IT-Angriffe auf produzierende Unternehmen als Ausnahme. Inzwischen werden Steuerungssysteme und Konstruktionsdaten zunehmend Gegenstand von Sicherheitsdebatten. Wie schätzen Sie die Lage ein? Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Olaf Mischkovsky: Heute wird das ganze Ausmaß des Bedrohungspotenzials für Industriebetriebe erkennbar. Am auffälligsten ist die Zunahme gezielter Angriffe, die wir vermehrt schon im Jahr 2012 gesehen haben. Dass der Mittelstandsbereich ebenfalls betroffen ist, zeigt sich auch im direkten Austausch mit Produzenten im Rahmen von Beratungsgesprächen. Zu den aktuellen Risiken zählt neben Unterbrechungen des Produktionsbetriebs vor allem das Entfernen von Konstruktionsdaten – der Know-how-Abfluss wird zunehmend ein Thema. Gerade im Produktionsumfeld ist häufig die Rede von Schadsoftware wie Stuxnet, die industrielle Steuerungen angreifen kann. Sicherlich wurde in den letzten Jahren viel Geld in die Entwicklung komplexer Scada-Schadprogramme investiert. Dennoch möchte ich Anwender für die grundlegenden Sicherheitsrisiken sensibilisieren: Es laufen immer noch Millionen gekaperter Rechner in fremdgesteuerten ‚Conficker-Netzwerken‘, und davon ist auch die Industrie betroffen. Denn das Entfernen solcher Infektionen ist sehr aufwändig, zudem sind einige Bereiche in der Produktion, in denen sich etwa ältere Systeme im Einsatz befinden, nicht oder nur bedingt für Patchmangement geeignet. Hinzu kommen vielfach Einschränkungen in den Zugriffsrechten auf Leitsysteme, wenn Unternehmen etwa die Freigabe der Hersteller benötigen, um auf Server zuzugreifen. Auf der anderen Seite geht die Produktion vielfach zu großzügig mit Anwenderberechtigungen um: In zahlreichen Betrieben existieren ein bis zwei Accounts für die komplette Produktion, die von verschiedenen Anwendern genutzt werden und für diese breite Anwendung sind viel zu viele Rechte freigeben. Wir sprechen hier nicht von latenten Problemen, sondern einer massiven Ausnutzung. Leider muss man daher insgesamt sagen: Das schwächste Glied in der IT-Sicherheitskette ist noch immer die Produktion.
IT&Production: Lange Zeit wurden Security-Investitionen vielerorts eher als notwendiges Übel denn als strategisches Ziel gesehen, zum Teil wurde pro Arbeitsplatz weniger als für ein Taschengeld investiert. Wie stark sind Industriebetriebe inzwischen für diese Thematik sensibilisiert?
Mischkovsky: Da hat sich in den letzten Monaten einiges getan. Das Thema IT-Sicherheit ist in den Betrieben angekommen und wird zunehmend für wichtig erachtet. Anlagenbetreiber stehen dabei aber auch einer sehr komplexen Thematik gegenüber – im Gegensatz zum Office-Bereich sind die Systeme und Infrastrukturen vielfältiger. Vielfach herrschen proprietäre Lösungen in Automatisierung und Leitsystem vor und die Lebenszyklen sowohl der IT-Hardware als auch der Produktionsanlagen sind im Vergleich zum schnelllebigen Office-Geschäft sehr lang. Zudem können die Auswirkungen von Fehlfunktionen oder Manipulationen gravierender sein: Eingriffe in Produktionssysteme können Gefahr für Leib und Leben bedeuten, wenn etwa ein Generator manipuliert wird. Auf der anderen Seite steigt der Druck seitens der Kunden und Abnehmer auf die Hersteller, Sicherheit nachzuweisen – damit wird auch Zertifizierung zunehmend ein Thema.
IT&Production: Die Absicherung der Produktions-IT bleibt also ein schwieriges Thema – wie sollten Betriebe diese Herausforderung am besten angehen?
Mischkovsky: Zuerst einmal gilt es, blinden Aktionismus zu vermeiden. Sowohl Anwender als auch Anbieter denken vielfach noch zu sehr in Lösungskategorien. Es geht hier nicht um eine Technologie-Schlacht, Bedrohungsszenerien lassen sich nicht allein mit Soft- und Hardware erschlagen. Ein leider nur allzu praxisnahes Beispiel: Ein Unternehmen setzt zwar an jedem Arbeitsplatz Antiviren-Produkte ein – die Signaturen stammen aber noch aus dem Jahr 2009. Solche Situationen sind noch recht häufig anzutreffen, und durch solche mehr als fragwürdige Ansätze entsteht ein falsches Sicherheitsgefühl. Im Zentrum muss daher eine für den Betrieb passende Sicherheitsstrategie stehen, und die Menschen vor Ort müssen sowohl über das nötige Risikobewusstsein als auch das passende Know-how verfügen. Eine erste Analyse kann hier schon wichtige Handlungsfelder erschließen und ein deutliches ‚Plus‘ an Sicherheit ergeben.
