Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

IT-Sicherheitsgesetz 2.0

Neue Anforderungen für die Sicherheit

Mit Version 2.0 des IT-Sicherheitsgesetzes kommen auf viele Firmen höhere Anforderungen an ihre IT-Sicherheit zu. Die Schwellenwerte sinken, ab wann ein Unternehmen zur Umsetzung der Kritis-Auflagen verpflichtet ist. Diese betreffen jetzt auch Firmen, die laut Gesetzestext von ‚erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland‘ sind. Damit sind auch Industrieunternehmen gemeint.

 (Bild: onoff AG)

(Bild: onoff AG)

Die Notwendigkeit, Netzwerke gegen Cyberangriffe abzusichern, ist aktueller denn je. Angriffe auf Netzwerksysteme erfolgen nicht nur mit der Absicht, kritische Infrastrukturen zu sabotieren oder auszuspionieren. Oft werden auch Daten verschlüsselt und Lösegeld gefordert. Der Fokus zur Absicherung der Netze liegt oftmals auf der Office-IT. Es wird beispielsweise versucht, mit regelmäßigen Systemupdates, Sicherheitslücken zu schließen oder mit Einsatz von Virenscannern, die Angriffe zu erschweren.

Andere Prioritäten

Im Bereich der Produktion und den OT(Operational Technology)-Netzen der Automatisierungstechnik gibt es aber andere Anforderungen und Prioritäten. Dort muss der Produktionsbetrieb aufrecht erhalten werden, zudem sind Wartungsfenster nur in sehr geringem Umfang vorhanden. Die Updatezyklen der eingesetzten Automatisierungssoftware sind zudem sehr viel länger als in der Office-IT. Das bedeutet auch, dass aufgrund von Abhängigkeiten Sicherheitsupdates für das darunterliegende Betriebssystem oft nicht eingespielt werden können. Auch besteht das Risiko, dass eine Anlage nach dem Einspielen eines Updates nicht mehr funktioniert. Der Einsatz von Virenscannern ist oft kein geeignetes Mittel. Zum einen bedarf es dafür einer Freigabe durch die Hersteller der eingesetzten Automatisierungslösung, zum anderen ist eine direkte Verbindung mit dem Internet erforderlich, um die Virenscanner aktuell zu halten. Doch eine direkte Internetverbindung sollte in der Regel vermieden werden.

Programmintegrität prüfen

Anstatt eines Virenscanners empfiehlt sich der Einsatz von so genanntem Whitelisting. Damit wird für jeden Rechner festgelegt, welche Programme in welcher Version ausgeführt werden dürfen. Dies wird einmal nach Abschluss der Inbetriebnahme festgelegt. Anschließend können nur noch die Programme ausgeführt werden, die in die Liste aufgenommen wurden. Die Integrität der Programme wird über Hashwerte geprüft, die über die Programmdateien gebildet werden. Dies verhindert, dass ein Programm ausgeführt werden kann, das nur minimal verändert wurde – etwa durch Malware. Mit dieser Methode können auch Systeme abgesichert werden, die aus dem Updatezyklus des Herstellers herausgefallen sind, aber für die Produktion wichtig sind und in absehbarer Zeit nicht durch aktuelle Systeme abgelöst werden können.

Angriffserkennung

Zu den neuen Anforderungen des IT-Sicherheitsgesetzes gehört u.a. der verpflichtende Einsatz von Systemen zur Angriffserkennung. So ein System überwacht kontinuierlich und passiv den Netzwerkverkehr. Dafür wird es an einen Mirror-Port eines Switches angeschlossen, der den gesamten Netzwerkverkehr ausleiten kann. In der Regel erfolgt erst eine ‚Lernphase‘, in der das System die Netzwerkteilnehmer und die Kommunikation untereinander erfasst. In der Automatisierungstechnik und Anlagensteuerung kann man davon ausgehen, dass die Kommunikation mehr oder weniger kontinuierlich ist. Dieser Zustand wird dann als valide hinterlegt. Nach der Lernphase nimmt das System die Arbeit auf. Tritt Netzwerkverkehr auf, der so nicht erwartet wurde (Anomalie), schlägt das System Alarm und die verantwortlichen Mitarbeiter können Maßnahmen ergreifen.

In beide Richtungen sichern

Darüber hinaus ist es in der Office-IT üblich, das Netzwerk durch Firewalls gegen Zugriffe von außen zu schützen. Die Verbindung von den Automatisierungsnetzen in die Office-IT ist meist gut abgesichert. Dabei ist aber die Absicherung in die andere Richtung von viel größerer Bedeutung, da der Einbruch in das Netzwerk oft über die Office-IT erfolgt. Häufig gibt es unterschiedliche Zuständigkeiten und das OT-Netz wird nicht durch eine zentrale IT mitbetreut. Eine strikte Trennung der Netzwerke ist also Pflicht. Etabliert haben sich Sicherheitszonen und Sicherheitszellen – das Netzwerk wird horizontal in Sicherheitszonen und vertikal in Sicherheitszellen unterteilt. Die Zonen und Zellen sind untereinander durch Firewalls getrennt, die nur den absolut notwendigen Netzwerkverkehr durchlassen und für jede Richtung genau den Erfordernissen entsprechen. Der nicht autorisierte Zugriff von einem Netzwerkbereich auf den anderen wird dadurch unterbunden. Wird auf einen Netzwerkbereich generell nur lesend zugegriffen, z.B. weil Produktionsdaten in einem überlagerten System gespeichert und ausgewertet werden sollen, empfiehlt sich der Einsatz von speziellen Netzwerkdioden. Diese sind so aufgebaut, dass sie den Netzwerkverkehr physikalisch nur in eine Richtung durchlassen. Aus einem benachbarten, evtl. kompromittierten Netzsegment heraus ist es daher nicht möglich, auf den so geschützten Bereich zuzugreifen.

Sicherer Fernzugriff

Ein nach Zonen und Zellen aufgeteiltes Netzwerk darf nicht durch die ‚Hintertür‘, wie z.B. durch Fernwartungszugänge, wieder angreifbar werden. Der Wunsch von Anlagenbauern und Automatisierungsunternehmen jederzeit auf die Anlagen zugreifen zu können, um im Störfall schnell helfen zu können, ist verständlich. Ein sicherer Zugang für eine Fernwartung ist auch möglich und sinnvoll, wenn einige Grundlagen berücksichtigt werden: Der Zugang von außen darf nicht direkt auf die Anlage erfolgen, sondern geht immer über eine sogenannte Demilitarisierte Zone (DMZ). Der Zugang wird zusätzlich aktiv von ‚innen‘ durch einen verantwortlichen Mitarbeiter vor Ort freigegeben. Dabei gilt das vier-Augen-Prinzip: Der Mitarbeiter kann bei Bedarf beobachten, welche Arbeiten durchgeführt werden. Und schließlich muss sichergestellt werden, dass der Zugriff nur auf den betroffenen Anlagenteil möglich ist und nicht generell eine Verbindung ins Anlagennetz hergestellt wird, über die auch andere Anlagenteile erreichbar sind. Zusätzlich zu den physikalischen Sicherheitsmaßnahmen gilt es auch eine durchgängige Benutzerverwaltung zu etablieren. Hierfür wird das Need-to-know Prinzip eingesetzt. Die Benutzer erhalten nur genau die Rechte, die sie für die Ausübung ihrer Tätigkeiten benötigen. Oftmals werden Benutzern aus Bequemlichkeit zu viele Rechte eingeräumt. Dabei schützt eine strikte Rechteverwaltung nicht nur vor Sabotage, sondern auch vor versehentlichen Änderungen wichtiger Anlagenparameter.

Ein Plan für den Notfall

Sollte es dennoch zu einem Störfall gekommen sein, kann ein im Vorfeld erstellter Notfallplan sowie ein Plan zur Wiederherstellung hilfreich sein. Dafür können Unternehmen auch auf externe Partner zurückgreifen. Dabei spielen nicht nur aktuelle Backups eine Rolle. Es sollte auch regelmäßig geprüft werden, ob sich die Backups auch tatsächlich fehlerfrei wiederherstellen lassen.


Das könnte Sie auch interessieren:

Gerade bei innovativen Technologien wie künstlicher Intelligenz ist die Bedienung nicht erste Priorität der Softwarehersteller. Aus Sicht der Industrie ist das bedauerlich, denn anlagennah Beschäftigte haben oft die interessantesten Impulse für werksnahe KI-Projekte. Über integrierte Explainability rücken KI-Tools nun näher an die Prozessspezialisten heran.‣ weiterlesen

Der Begriff Industrie 4.0 ist nun schon seit fast einem Jahrzehnt präsent. Seitdem haben viele Industrieunternehmen neue Technologien ausgerollt und Produktionslayouts sowie -prozesse überarbeitet. Was hat sich auf dem Weg zur vernetzten und digitalisierten Produktion getan und was wirkt auf diese Entwicklung?‣ weiterlesen

Hinter neuen Geschäftsmodellen und Strategien sollte der Grundgedanke stehen: Was wollen die Kunden? Es geht darum, neue Strategien nicht nur am reinen Verkauf auszurichten, sondern sich an realen Bedürfnissen zu orientieren. Erst das sorgt für eine langfristige Bindung an das Unternehmen.‣ weiterlesen

Beim allem technologischen Fortschritt sollten Nutzer nicht die IT-Sicherheit aus dem Blick verlieren. Der elfte State of Software Security (SoSS) Report zeigt, dass die Fertigungsindustrie im Vergleich zu anderen Branchen im Bereich der Anwendungssicherheit schlecht abschneidet. Julian Totzek-Hallhuber, Principal Solution Architect von Veracode, fasst die Ergebnisse zusammen.‣ weiterlesen

Schneider Electric bringt mit Harmony P6 neue Industrie-PCs auf den Markt. Alle Modelle sind mit Intel-Prozessoren der 8. Generation und 4 bis 32GB RAM Arbeitsspeicher ausgestattet. ‣ weiterlesen

Seit Januar 2020 ist das Forschungszulagengesetz in Kraft. Mit dieser Forschungszulage können Unternehmehn ihre Innovationen fördern lassen. Marcus Arens, Director Sales & Marketing bei Ayming, zeigt, was Unternehmen beim Beantragen beachten sollten.‣ weiterlesen

Lieferengpässe drücken die Stimmung der deutschen Wirtschaft. So gehen die Indexwerte von Industrie, Handel und Dienstleistungen im Oktober zurück. Lediglich aus dem Bauhauptgewerbe kommen positive Signale.‣ weiterlesen

Produktionsabläufe und Wartungsmodelle werden schon länger auf der Basis von Daten optimiert. Doch gut integrierte IIoT-Plattformen ermöglichen heute Prozesse, die zu deutlich besseren Ergebnissen und einer neuen Form der Zusammenarbeit führen können.‣ weiterlesen

Die EU soll bis 2050 klimaneutral werden – über den European Green Deal und eine Abgabe auf CO2-Emissionen. Fraunhofer-Forschende unterstützen Unternehmen bei der Reduktion ihrer Emissionen mittels Net-Zero-Technologien.‣ weiterlesen

Universal Robots (UR) baut sein Vertriebsnetz in Deutschland aus. Mit SCS Robotik, JDT Robotics, PTS Automation sowie der Somack sind vier neue Partner hinzugekommen.‣ weiterlesen

Im seinem neuen Lagebericht zur IT-Sicherheit in Deutschland fordert das Bundesamt für Sicherheit in der Informationstechnik der Cybersicherheit eine stärkere Bedeutung beizumessen. Die Gefährdungslage sei hoch, so Bundesinnenminister Horst Seehofer.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige