IT-Sicherheitsgesetz 2.0

Neue Anforderungen für die Sicherheit

Mit Version 2.0 des IT-Sicherheitsgesetzes kommen auf viele Firmen höhere Anforderungen an ihre IT-Sicherheit zu. Die Schwellenwerte sinken, ab wann ein Unternehmen zur Umsetzung der Kritis-Auflagen verpflichtet ist. Diese betreffen jetzt auch Firmen, die laut Gesetzestext von ‚erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland‘ sind. Damit sind auch Industrieunternehmen gemeint.

(Bild: onoff AG)

Die Notwendigkeit, Netzwerke gegen Cyberangriffe abzusichern, ist aktueller denn je. Angriffe auf Netzwerksysteme erfolgen nicht nur mit der Absicht, kritische Infrastrukturen zu sabotieren oder auszuspionieren. Oft werden auch Daten verschlüsselt und Lösegeld gefordert. Der Fokus zur Absicherung der Netze liegt oftmals auf der Office-IT. Es wird beispielsweise versucht, mit regelmäßigen Systemupdates, Sicherheitslücken zu schließen oder mit Einsatz von Virenscannern, die Angriffe zu erschweren.

Andere Prioritäten

Im Bereich der Produktion und den OT(Operational Technology)-Netzen der Automatisierungstechnik gibt es aber andere Anforderungen und Prioritäten. Dort muss der Produktionsbetrieb aufrecht erhalten werden, zudem sind Wartungsfenster nur in sehr geringem Umfang vorhanden. Die Updatezyklen der eingesetzten Automatisierungssoftware sind zudem sehr viel länger als in der Office-IT. Das bedeutet auch, dass aufgrund von Abhängigkeiten Sicherheitsupdates für das darunterliegende Betriebssystem oft nicht eingespielt werden können. Auch besteht das Risiko, dass eine Anlage nach dem Einspielen eines Updates nicht mehr funktioniert. Der Einsatz von Virenscannern ist oft kein geeignetes Mittel. Zum einen bedarf es dafür einer Freigabe durch die Hersteller der eingesetzten Automatisierungslösung, zum anderen ist eine direkte Verbindung mit dem Internet erforderlich, um die Virenscanner aktuell zu halten. Doch eine direkte Internetverbindung sollte in der Regel vermieden werden.

Programmintegrität prüfen

Anstatt eines Virenscanners empfiehlt sich der Einsatz von so genanntem Whitelisting. Damit wird für jeden Rechner festgelegt, welche Programme in welcher Version ausgeführt werden dürfen. Dies wird einmal nach Abschluss der Inbetriebnahme festgelegt. Anschließend können nur noch die Programme ausgeführt werden, die in die Liste aufgenommen wurden. Die Integrität der Programme wird über Hashwerte geprüft, die über die Programmdateien gebildet werden. Dies verhindert, dass ein Programm ausgeführt werden kann, das nur minimal verändert wurde – etwa durch Malware. Mit dieser Methode können auch Systeme abgesichert werden, die aus dem Updatezyklus des Herstellers herausgefallen sind, aber für die Produktion wichtig sind und in absehbarer Zeit nicht durch aktuelle Systeme abgelöst werden können.

ANZEIGE

Intelligente Bestellprozesse

Die innovativen Retarus Cloud Services für Integration und Automatisierung machen Prozesskommunikation agiler, sicherer und zuverlässiger.‣ weiterlesen

Angriffserkennung

Zu den neuen Anforderungen des IT-Sicherheitsgesetzes gehört u.a. der verpflichtende Einsatz von Systemen zur Angriffserkennung. So ein System überwacht kontinuierlich und passiv den Netzwerkverkehr. Dafür wird es an einen Mirror-Port eines Switches angeschlossen, der den gesamten Netzwerkverkehr ausleiten kann. In der Regel erfolgt erst eine ‚Lernphase‘, in der das System die Netzwerkteilnehmer und die Kommunikation untereinander erfasst. In der Automatisierungstechnik und Anlagensteuerung kann man davon ausgehen, dass die Kommunikation mehr oder weniger kontinuierlich ist. Dieser Zustand wird dann als valide hinterlegt. Nach der Lernphase nimmt das System die Arbeit auf. Tritt Netzwerkverkehr auf, der so nicht erwartet wurde (Anomalie), schlägt das System Alarm und die verantwortlichen Mitarbeiter können Maßnahmen ergreifen.

In beide Richtungen sichern

Darüber hinaus ist es in der Office-IT üblich, das Netzwerk durch Firewalls gegen Zugriffe von außen zu schützen. Die Verbindung von den Automatisierungsnetzen in die Office-IT ist meist gut abgesichert. Dabei ist aber die Absicherung in die andere Richtung von viel größerer Bedeutung, da der Einbruch in das Netzwerk oft über die Office-IT erfolgt. Häufig gibt es unterschiedliche Zuständigkeiten und das OT-Netz wird nicht durch eine zentrale IT mitbetreut. Eine strikte Trennung der Netzwerke ist also Pflicht. Etabliert haben sich Sicherheitszonen und Sicherheitszellen – das Netzwerk wird horizontal in Sicherheitszonen und vertikal in Sicherheitszellen unterteilt. Die Zonen und Zellen sind untereinander durch Firewalls getrennt, die nur den absolut notwendigen Netzwerkverkehr durchlassen und für jede Richtung genau den Erfordernissen entsprechen. Der nicht autorisierte Zugriff von einem Netzwerkbereich auf den anderen wird dadurch unterbunden. Wird auf einen Netzwerkbereich generell nur lesend zugegriffen, z.B. weil Produktionsdaten in einem überlagerten System gespeichert und ausgewertet werden sollen, empfiehlt sich der Einsatz von speziellen Netzwerkdioden. Diese sind so aufgebaut, dass sie den Netzwerkverkehr physikalisch nur in eine Richtung durchlassen. Aus einem benachbarten, evtl. kompromittierten Netzsegment heraus ist es daher nicht möglich, auf den so geschützten Bereich zuzugreifen.

Sicherer Fernzugriff

Ein nach Zonen und Zellen aufgeteiltes Netzwerk darf nicht durch die ‚Hintertür‘, wie z.B. durch Fernwartungszugänge, wieder angreifbar werden. Der Wunsch von Anlagenbauern und Automatisierungsunternehmen jederzeit auf die Anlagen zugreifen zu können, um im Störfall schnell helfen zu können, ist verständlich. Ein sicherer Zugang für eine Fernwartung ist auch möglich und sinnvoll, wenn einige Grundlagen berücksichtigt werden: Der Zugang von außen darf nicht direkt auf die Anlage erfolgen, sondern geht immer über eine sogenannte Demilitarisierte Zone (DMZ). Der Zugang wird zusätzlich aktiv von ‚innen‘ durch einen verantwortlichen Mitarbeiter vor Ort freigegeben. Dabei gilt das vier-Augen-Prinzip: Der Mitarbeiter kann bei Bedarf beobachten, welche Arbeiten durchgeführt werden. Und schließlich muss sichergestellt werden, dass der Zugriff nur auf den betroffenen Anlagenteil möglich ist und nicht generell eine Verbindung ins Anlagennetz hergestellt wird, über die auch andere Anlagenteile erreichbar sind. Zusätzlich zu den physikalischen Sicherheitsmaßnahmen gilt es auch eine durchgängige Benutzerverwaltung zu etablieren. Hierfür wird das Need-to-know Prinzip eingesetzt. Die Benutzer erhalten nur genau die Rechte, die sie für die Ausübung ihrer Tätigkeiten benötigen. Oftmals werden Benutzern aus Bequemlichkeit zu viele Rechte eingeräumt. Dabei schützt eine strikte Rechteverwaltung nicht nur vor Sabotage, sondern auch vor versehentlichen Änderungen wichtiger Anlagenparameter.

ANZEIGE

Wie Sie smarter automatisieren

Prozesse optimieren und Kosten senken? Bildanalysen mit KI können dabei wertvolle Hilfe bieten. Auf der automatica in München stellt IDS neue Produkte und Möglichkeiten vor. Erhalten Sie hier einen Einblick, was das Unternehmen an Stand B5.203 zeigen wird.‣ weiterlesen

Ein Plan für den Notfall

Sollte es dennoch zu einem Störfall gekommen sein, kann ein im Vorfeld erstellter Notfallplan sowie ein Plan zur Wiederherstellung hilfreich sein. Dafür können Unternehmen auch auf externe Partner zurückgreifen. Dabei spielen nicht nur aktuelle Backups eine Rolle. Es sollte auch regelmäßig geprüft werden, ob sich die Backups auch tatsächlich fehlerfrei wiederherstellen lassen.

Das könnte Sie auch interessieren:

Additive Fertigung und Produktionstechnik
Sprecher für Formnext-Rahmenprogramm gesucht

Für die 3D-Druckmesse Formnext im November 2023 sucht Veranstalterin Mesago noch Sprecher. Anwender können sich bis Ende Juni mit ihren Beiträgen vorstellen. Hintergrund ist das überarbeitete Messekonzept, in dem drei Vortragsbühnen für intensiveren Austausch zwischen Anbietern und Anwendern sorgen sollen.‣ weiterlesen

Umfrage ‚IT & Sustainability – Reifegradindex 2023‘
Nachhaltigkeit ist wichtig, gehandelt wird später

Neun von zehn Firmen halten CO2-Neutralität zwar für wichtig. Doch über 50 Prozent der befragten Unternehmen verschiebt dafür nötige Investitionen ins nächste Jahrzehnt, haben die Marktforscher von PAC in einer Umfrage unter 150 Entscheidern in Fertigung und Logistik ermittelt. ‣ weiterlesen

Laser World of Photonics und World of Quantum
Photonik und Quantentechnologien im Fokus

Zeitgleich zur Automatica vom 27. bis 30 Juni trifft sich auch die internationale Photonikbranche in München, wo die Laser World of Photonics stattfindet. Die Messe informiert mit ihrem Rahmenprogramm über aktuelle Trends der Branche, vermittelt Wissen, bietet jungen Talenten eine Bühne und lässt Raum für den persönlichen Austausch mit Experten. ‣ weiterlesen

VDMA zum Auftragseingang im April
Maschinen- und Anlagenbau startet schwach ins Frühjahr

Die Bestellungen im Maschinen- und Anlagenbau gingen im April um 20 Prozent gegenüber Vorjahr zurück, meldet der VDMA. Schon im März lag der Wert sechs Prozent im Minus‣ weiterlesen

Anwendungen für Ressourceneffizienz
Nachhaltiger wirtschaften mit IoT

Nicht nur EU und Bundesregierung erwarten von der Wirtschaft, auch die Verbraucher fordern einen bewussteren Umgang mit Ressourcen. Mit einer Internet of Things-Applikation lässt sich an den Stellschrauben dazu drehen, meldete das IT-Infrastruktur- und Dienstleistungsunternehmen NTT kürzlich.‣ weiterlesen

Maintenance in Dortmund
Viele Besucher und positives Feedback

Am 24. und 25. Mai stand Dortmund im Zeichen der industriellen Instandhaltung. Mehr als 4.000 Besucher und rund 200 Aussteller zählte der Veranstalter Easyfairs am Ende der diesjährigen Maintenance.‣ weiterlesen

Konjunkturbarometer Einkaufsmanagerindex
Weniger Exporte im Mai

Die Geschäftsbedingungen in der deutschen Industrie wurden im Mai schlechter, meldet das BME im Einkaufsmanagerindex EMI. Vor allem im Ausland ging die Nachfrage kräftiger zurück, teilt der US-amerikanische Finanzdienstleister S&P Global mit, der hinter der Analyse steht.‣ weiterlesen

Unternehmensjubiläum
GFOS wird 35

Die GFOS blickt auf 35 Jahre Unternehmensgeschichte zurück und blickt in diesem Zuge auch in die Zukunft. So will der Softwareanbieter seine Geschäftsaktivitäten international erweitern.‣ weiterlesen

Digitaler Zwilling
Mitsubishi Electric tritt IDTA bei

Die 2020 gegründete IDTA wächst und begrüßt mit Mitsubishi Electric Europe ihr 100. Mitglied.‣ weiterlesen

Wechsel an der Fraunhofer-Spitze
Holger Hanselka wird Präsident der Fraunhofer-Gesellschaft

Prof. Dr.-Ing. Holger Hanselka, Präsident des Karlsruher Instituts für Technologie (KIT) wird der 11. Präsident der Fraunhofer-Gesellschaft und löst Prof. Dr.-Ing. Reimund Neugebauer nach fast elf Jahren ab.‣ weiterlesen

Neuer Vorstand
Wechsel an der Spitze bei DMG Mori

Christian Thönes, Vorstandsvorsitzender bei DMG Mori, hat am Donnerstag sein Amt niedergelegt. Sein Vertrag wurde im Rahmen einer Aufsichtsratssitzung einvernehmlich beendet. Alfred Geißler wurde vom Aufsichtsrat zum Nachfolger bestellt.‣ weiterlesen