Anzeige
Anzeige
Beitrag drucken

IT-Sicherheitsgesetz 2.0

Neue Anforderungen für die Sicherheit

Mit Version 2.0 des IT-Sicherheitsgesetzes kommen auf viele Firmen höhere Anforderungen an ihre IT-Sicherheit zu. Die Schwellenwerte sinken, ab wann ein Unternehmen zur Umsetzung der Kritis-Auflagen verpflichtet ist. Diese betreffen jetzt auch Firmen, die laut Gesetzestext von ‚erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland‘ sind. Damit sind auch Industrieunternehmen gemeint.

 (Bild: onoff AG)

(Bild: onoff AG)

Die Notwendigkeit, Netzwerke gegen Cyberangriffe abzusichern, ist aktueller denn je. Angriffe auf Netzwerksysteme erfolgen nicht nur mit der Absicht, kritische Infrastrukturen zu sabotieren oder auszuspionieren. Oft werden auch Daten verschlüsselt und Lösegeld gefordert. Der Fokus zur Absicherung der Netze liegt oftmals auf der Office-IT. Es wird beispielsweise versucht, mit regelmäßigen Systemupdates, Sicherheitslücken zu schließen oder mit Einsatz von Virenscannern, die Angriffe zu erschweren.

Andere Prioritäten

Im Bereich der Produktion und den OT(Operational Technology)-Netzen der Automatisierungstechnik gibt es aber andere Anforderungen und Prioritäten. Dort muss der Produktionsbetrieb aufrecht erhalten werden, zudem sind Wartungsfenster nur in sehr geringem Umfang vorhanden. Die Updatezyklen der eingesetzten Automatisierungssoftware sind zudem sehr viel länger als in der Office-IT. Das bedeutet auch, dass aufgrund von Abhängigkeiten Sicherheitsupdates für das darunterliegende Betriebssystem oft nicht eingespielt werden können. Auch besteht das Risiko, dass eine Anlage nach dem Einspielen eines Updates nicht mehr funktioniert. Der Einsatz von Virenscannern ist oft kein geeignetes Mittel. Zum einen bedarf es dafür einer Freigabe durch die Hersteller der eingesetzten Automatisierungslösung, zum anderen ist eine direkte Verbindung mit dem Internet erforderlich, um die Virenscanner aktuell zu halten. Doch eine direkte Internetverbindung sollte in der Regel vermieden werden.

Programmintegrität prüfen

Anstatt eines Virenscanners empfiehlt sich der Einsatz von so genanntem Whitelisting. Damit wird für jeden Rechner festgelegt, welche Programme in welcher Version ausgeführt werden dürfen. Dies wird einmal nach Abschluss der Inbetriebnahme festgelegt. Anschließend können nur noch die Programme ausgeführt werden, die in die Liste aufgenommen wurden. Die Integrität der Programme wird über Hashwerte geprüft, die über die Programmdateien gebildet werden. Dies verhindert, dass ein Programm ausgeführt werden kann, das nur minimal verändert wurde – etwa durch Malware. Mit dieser Methode können auch Systeme abgesichert werden, die aus dem Updatezyklus des Herstellers herausgefallen sind, aber für die Produktion wichtig sind und in absehbarer Zeit nicht durch aktuelle Systeme abgelöst werden können.

Angriffserkennung

Zu den neuen Anforderungen des IT-Sicherheitsgesetzes gehört u.a. der verpflichtende Einsatz von Systemen zur Angriffserkennung. So ein System überwacht kontinuierlich und passiv den Netzwerkverkehr. Dafür wird es an einen Mirror-Port eines Switches angeschlossen, der den gesamten Netzwerkverkehr ausleiten kann. In der Regel erfolgt erst eine ‚Lernphase‘, in der das System die Netzwerkteilnehmer und die Kommunikation untereinander erfasst. In der Automatisierungstechnik und Anlagensteuerung kann man davon ausgehen, dass die Kommunikation mehr oder weniger kontinuierlich ist. Dieser Zustand wird dann als valide hinterlegt. Nach der Lernphase nimmt das System die Arbeit auf. Tritt Netzwerkverkehr auf, der so nicht erwartet wurde (Anomalie), schlägt das System Alarm und die verantwortlichen Mitarbeiter können Maßnahmen ergreifen.

In beide Richtungen sichern

Darüber hinaus ist es in der Office-IT üblich, das Netzwerk durch Firewalls gegen Zugriffe von außen zu schützen. Die Verbindung von den Automatisierungsnetzen in die Office-IT ist meist gut abgesichert. Dabei ist aber die Absicherung in die andere Richtung von viel größerer Bedeutung, da der Einbruch in das Netzwerk oft über die Office-IT erfolgt. Häufig gibt es unterschiedliche Zuständigkeiten und das OT-Netz wird nicht durch eine zentrale IT mitbetreut. Eine strikte Trennung der Netzwerke ist also Pflicht. Etabliert haben sich Sicherheitszonen und Sicherheitszellen – das Netzwerk wird horizontal in Sicherheitszonen und vertikal in Sicherheitszellen unterteilt. Die Zonen und Zellen sind untereinander durch Firewalls getrennt, die nur den absolut notwendigen Netzwerkverkehr durchlassen und für jede Richtung genau den Erfordernissen entsprechen. Der nicht autorisierte Zugriff von einem Netzwerkbereich auf den anderen wird dadurch unterbunden. Wird auf einen Netzwerkbereich generell nur lesend zugegriffen, z.B. weil Produktionsdaten in einem überlagerten System gespeichert und ausgewertet werden sollen, empfiehlt sich der Einsatz von speziellen Netzwerkdioden. Diese sind so aufgebaut, dass sie den Netzwerkverkehr physikalisch nur in eine Richtung durchlassen. Aus einem benachbarten, evtl. kompromittierten Netzsegment heraus ist es daher nicht möglich, auf den so geschützten Bereich zuzugreifen.

Sicherer Fernzugriff

Ein nach Zonen und Zellen aufgeteiltes Netzwerk darf nicht durch die ‚Hintertür‘, wie z.B. durch Fernwartungszugänge, wieder angreifbar werden. Der Wunsch von Anlagenbauern und Automatisierungsunternehmen jederzeit auf die Anlagen zugreifen zu können, um im Störfall schnell helfen zu können, ist verständlich. Ein sicherer Zugang für eine Fernwartung ist auch möglich und sinnvoll, wenn einige Grundlagen berücksichtigt werden: Der Zugang von außen darf nicht direkt auf die Anlage erfolgen, sondern geht immer über eine sogenannte Demilitarisierte Zone (DMZ). Der Zugang wird zusätzlich aktiv von ‚innen‘ durch einen verantwortlichen Mitarbeiter vor Ort freigegeben. Dabei gilt das vier-Augen-Prinzip: Der Mitarbeiter kann bei Bedarf beobachten, welche Arbeiten durchgeführt werden. Und schließlich muss sichergestellt werden, dass der Zugriff nur auf den betroffenen Anlagenteil möglich ist und nicht generell eine Verbindung ins Anlagennetz hergestellt wird, über die auch andere Anlagenteile erreichbar sind. Zusätzlich zu den physikalischen Sicherheitsmaßnahmen gilt es auch eine durchgängige Benutzerverwaltung zu etablieren. Hierfür wird das Need-to-know Prinzip eingesetzt. Die Benutzer erhalten nur genau die Rechte, die sie für die Ausübung ihrer Tätigkeiten benötigen. Oftmals werden Benutzern aus Bequemlichkeit zu viele Rechte eingeräumt. Dabei schützt eine strikte Rechteverwaltung nicht nur vor Sabotage, sondern auch vor versehentlichen Änderungen wichtiger Anlagenparameter.

Ein Plan für den Notfall

Sollte es dennoch zu einem Störfall gekommen sein, kann ein im Vorfeld erstellter Notfallplan sowie ein Plan zur Wiederherstellung hilfreich sein. Dafür können Unternehmen auch auf externe Partner zurückgreifen. Dabei spielen nicht nur aktuelle Backups eine Rolle. Es sollte auch regelmäßig geprüft werden, ob sich die Backups auch tatsächlich fehlerfrei wiederherstellen lassen.


Das könnte Sie auch interessieren:

Nach 84,5 Punkten im Oktober kletterte der Ifo-Geschäftsklimaindex im November auf 86,3 Punkte. Die Unternehmen blicken demnach weniger pessimistisch auf die nächsten Monate.‣ weiterlesen

In Kombination mit einer Augmented-Reality-Brille bietet eine neue Software des Fraunhofer IGD digitale Unterstützung von Absortiervorgängen. Zusammengehörige Bauteile werden direkt im Sichtfeld der Beschäftigten an der Produktionslinie farblich überlagert. Anwender im Automotive-Bereich können so etwa durch beschleunigte Prozesse und eine minimierte Fehleranfälligkeit Kosten reduzieren.‣ weiterlesen

Edge Management, Digital Twin und Data Spaces bilden die Schwerpunkte einer Zusammenarbeit zwischen der Open Industry 4.0 Alliance und dem Labs Network Industrie 4.0.‣ weiterlesen

Wer im öffentlichen Sektor der USA künftig Software vermarktet, muss eine Software Bill of Materials (SBOM) über die verwendeten Komponenten mitliefern. Ist diese Executive Order 14028 der US-Regierung auch für deutsche Firmen relevant? Die IT-Sicherheitschefin von MongoDB, Lena Smart, ordnet das ein - und verweist dabei auf das IT-Sicherheitsgesetz 2.0.‣ weiterlesen

Das Angebot an cloudbasierter Infrastruktur für SAP Hana wächst rasant. Zudem haben sich durch die weitere Option auf die Software-as-a-Service-Version S/4Hana Cloud die Rahmenbedingungen für den Umstieg auf S/4Hana signifikant verändert. Doch insbesondere deutsche Unternehmen zögern laut einer Untersuchung des Marktforschungsunternehmens ISG weiterhin, auf die Cloud umzusteigen.‣ weiterlesen

Stabilo wollte seine Produktion mit einem MES-System flexibilisieren. Um beim Erstellen des Anforderungskataloges jeden Irrtum auszuschließen, arbeitete der Schreibwarenhersteller mit dem Mittelstand-Digital Zentrum Augsburg zusammen. Die Praxiserfahrungen der dort Beschäftigten wurden in den Prozess eingebunden.‣ weiterlesen

Assa Abloy hat den Cliq Web-Manager seines elektronischen Schließsystems eCliq/Verso Cliq über eine Schnittstelle in die hauseigene Zutrittskontrolle Scala Net integriert. Damit lassen sich beide Systeme über eine Benutzeroberfläche verwalten. Anwendungsbeispiele zeigen, wie sich unterschiedliche Gebäudetypen mit der Lösung sichern lassen.‣ weiterlesen

Im Maschinen-, Sondermaschinen- und Anlagenbau müssen Configure Price Quote(CPQ)-Systeme neben der Angebotserstellung für Einzelsysteme auch die Projektierung und Projektkalkulation für Großmaschinen, Großanlagen und bis hin zu Fabriken unterstützen. In der Praxis erfordert das meist einen Mix aus Assemble to Order (ATO) und Engineer to Order (ETO).‣ weiterlesen

Die Initiative SEF Smart Electronic Factory hat ihren Vorsitzenden Gerd Ohl sowie den 2. Vorsitzenden Gerrit Sames sowie Kassenprüferin Heike Wilson im Amt bestätigt. Ulrike Peters und Volker Jesberger komplettieren den Vorstand.‣ weiterlesen

Das französische Team von Gaia-X Federated Services (GXFS-FR) hat einen ersten Katalog von 176 Gaia-X-konformen Cloud-Diensten erstellt. Nutzer sollen so einen Überblick über Services erhalten.‣ weiterlesen

Der MES-Spezialist Proxia wird von Shoplogix übernommen, einem IIoT-Plattform-Anbieter. Das Unternehmen, das zur FOG Software Group gehört, will mit der Übernahme das eigene Software-Portfolio ergänzen.‣ weiterlesen