Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Lernen aus WannaCry und Co.

Das IT-Sicherheitsgesetz als starkes Argument

Trotz der aufsehenerregenden Cyberangriffe wie mit der Ransomware WannaCry im letzten Jahr ist die IT-Sicherheit auf der Prioritätenliste vieler Unternehmen noch immer nicht weit genug oben. Doch zumindest bei versorgungskritischen Infrastrukturen fordert der Gesetzgeber mittlerweile ein Bündel von Sicherheitsmaßnahmen. Diese könnten künftig auch Produzenten umsetzen müssen, die Kritis-Betreiber mit wichtigen Komponenten versorgen.

Lernen aus WannaCry und Co.

Bild: © Peter Eggermann / Fotolia.de

In der Transformation hin zur Industrie 4.0, beziehungsweise zur Integrated Industry, nimmt die IT eine tragende Rolle innerhalb der Produktions- und Wertschöpfungskette ein. Denn die Vernetzung aller Gegenstände und Systeme sowie deren Ausstattung mit zusätzlicher Intelligenz zur besseren Nutzung und Überwachung ermöglichen innovative Anwendungen und Geschäftsmodelle. So lassen sich Effizienzsteigerungen unter anderem realisieren, indem Produktionsabläufe digital simuliert oder Stillstände in der Fertigung durch vorausschauende Wartung minimiert werden. Zunehmend kommen mobile Endgeräte und Apps zum Einsatz. Meist werden diese zum Monitoring der Produktionsanlagen genutzt, doch einige davon gestatten bereits weiterführende Eingriffsoptionen: Werks- und Produktionsleiter können zu jeder Zeit von jedem Standort die Produktionsprozesse kontrollieren und Einfluss auf Steuerungsparameter nehmen. Nachweislich bringt die hochgradige Vernetzung viele Vorteile für den Betriebsablauf, andererseits jedoch ebenso viele Angriffspunkte, die ausgenutzt werden können. Dies basiert zum einen auf den immer komplexer werdenden IT-Landschaften sowie den immanenten Schwachstellen von Komponenten der OT und zum anderen auf dem Fehlen adäquater Schutzkonzepte.

Genug offene Flanken

Die fortschreitende Digitalisierung und die daraus resultierende Entwicklung neuer Geschäftsmodelle wie Predictive Maintenance auf Basis von Internet-technologien bringen einen massiven Anstieg der Gefahrenpotentiale mit sich. Ungeachtet dieses Fakts finden jedoch die unsicheren Basistechnologien wie Web-Sprachen, Kommunikationsprotokolle, Datenbanken oder Betriebssysteme im Produktionsumfeld Verwendung und stoßen auf Produktionsnetze und -komponenten, die hochsensibel sind und meist für solche Szenerien nicht konzipiert wurden. Aufgrund der langen Lebenszyklen der Systeme im Produktionsumfeld sind sehr häufig noch IT-Komponenten ohne spezifische IT-Wartung wie Upgrades im Einsatz, für die es zudem teilweise bereits seit längerem keine Sicherheitspatches mehr gibt, weil der Hersteller die Wartung eingestellt hat. Mittlerweile haben sich bestimmte Angreifer darauf spezialisiert, direkt nach Sicherheitslücken zu suchen, sobald Produktionsanlagen mit dem Internet – also in einem TCP/IP Netz – verbunden sind. Dass dies keine theoretische Gefahr ist, belegen diverse Studien – bereits im Jahr 2016 erfolgte jeder vierte Cyberangriff auf industrielle Systeme. Dafür gibt es verschiedene Gründe: Der Datentransfer zwischen den Systemen der Produktion läuft vermehrt über offene Standards – zur Absicherung der OT sind jedoch teils völlig andere Konzepte und Lösungen notwendig, als im klassischen IT-Umfeld, die dort vorherrschenden Ansätze sind nur sehr bedingt übertragbar. Zudem erfordert jede weitere Anbindung von Applikationen sowie Vernetzung von Geräten und Systemen neue Schnittstellen, die per se ein Risiko darstellen – hier werden ständig neue Schwachstellen entdeckt. Die Ausführung der zumeist systematischen Attacken erfolgt mit regelmäßig aktualisierten Angriffsmethoden; hierfür gibt es unter anderem Standardwerkzeuge, die inzwischen auf speziellen Plattformen im Internet frei zur Verfügung stehen.

Schlecht programmierte Apps

Auch schlecht programmierte Apps und ohnehin unsichere Endgeräte bieten eine große Angriffsfläche, beispielsweise bei deren Einsatz zur Maschinensteuerung: Die Eingriffsmöglichkeiten reichen hier von Manipulation der Produktionsprozesse, was unter Umständen die Produktions- und Produktqualität stark beeinträchtigen kann, bis hin zum Abschalten einer kompletten Produktionslinie.

Kritis auch für Zulieferer

Mittlerweile ist erkennbar, dass Zulieferer von Anlagen und Komponenten, die wesentlich für eine Kritis-Umgebung sind, zumindest für die gelieferten Komponenten Kritis-Anforderungen standhalten müssen. Heute steht zur Diskussion, dass das IT-Sicherheitsgesetz analog im Kontext von Industrie 4.0 Anwendung finden soll. Dies erscheint aus dem Grund akut, da oftmals schlecht gewartete, veraltete und ungesicherte, aber dennoch innerhalb einer Wertschöpfungskette hochgradig vernetzte OT-Systeme für Angriffe leicht nutzbar sind. Das derzeitig vorzufindende IT-Sicherheitsniveau der OT entspricht bei weitem nicht den gestiegenen Anforderungen. Von daher ist es an der Zeit, Sicherheitsstrategien im industriellen Umfeld zu entwickeln.

Rat liefert der Gesetzestext

Im Grunde geht es bei der Diskussion bezüglich der erweiterten Einführung des IT-Sicherheitsgesetzes darum, Unternehmen dahingehend zu sensibilisieren, dass sie die bestehenden Probleme aktiv angehen. Dazu gehört ein Verständnis dafür zu schaffen, dass IT-Sicherheit ein kontinuierlicher Prozess ist. Hilfreich bei der Ausgestaltung einer effizienten Vorgehensweise ist das gemeinsame Thesenpapier von Teletrust und dem Bundesverband der IT-Anwender (VOICE) aus dem Jahr 2017. In diesem Leitliniendokument werden Defizite und Problembereiche im IT-Sicherheitsumfeld dargestellt, die es dringend zu beheben gilt. Dazu haben Teletrust und Voice gemeinsam sechs Thesen erarbeitet, „die jeweils spezifische ‚Gemeinsame Aufgaben‘ innerhalb jeder These skizzieren, wie vorhandene Herausforderungen erfolgreich bewältigt werden können“, etwa in der ersten These ‚Ohne IT-Sicherheit gelingt keine nachhaltige Digitalisierung‘ oder der vierten: ‚Security-by-Design, Privacy-by-Design und nachvollziehbare Qualitätssicherung sind unabdingbar‘. Mit zunehmender Digitalisierung sollten auch mittelständische Unternehmen nicht mehr den Standpunkt vertreten, dass sich kein Angreifer für sie interessieren wird. Was aber andererseits nicht zu der fatalistischen Einstellung führen sollte, dass aufgrund der hohen Komplexität ein Absichern der eigenen Infrastruktur per se unmöglich sei.


IT-Sicherheitsgesetz für die Industrie gefordert

Mit Inkrafttreten des IT-Sicherheitsgesetzes in 2015 müssen die Betreiber kritischer Infrastrukturen (Kritis) im wesentlichen zwei Vorgaben erfüllen: Die definierten Organisationen und Institutionen mit relevanter Bedeutung für das Gemeinwesen sind fortan verpflichtet binnen zwei Jahren nachzuweisen, dass sie wirksame Vorkehrungen zum Schutz der Daten getroffen haben, um deren Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu wahren. Zudem stehen sie in der Pflicht, die qua Definition kritischen Sicherheitsvorfälle unverzüglich zu melden sowie eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik (BSI) anzugeben. Relevante Bedeutung haben dem Gesetz zufolge Organisationen in den Bereichen Staat und Verwaltung, Energie, Gesundheitswesen, Finanz- und Versicherungswesen, Transport und Verkehr, IT und TK, Medien und Kultur sowie Wasser und Ernährung.


Das könnte Sie auch interessieren:

Bosch Rexroth hat mit ActiveCockpit eine interaktive Kommunikationsplattform im Portfolio, die Fertigungsdaten in Echtzeit aus verschiedenen Systemen und Datenquellen verarbeitet und visualisiert. Der Einsatz bei Bosch Thermotechnik in Wetzlar zeigt, dass die Lösung Transparenz in die Lagerlogistik bringen kann.‣ weiterlesen

Die Anpassungsmöglichkeiten eines ERP-Systems entwickeln sich immer mehr zum Unterscheidungsmerkmal aktueller Systeme. Doch welche Möglichkeiten für die individuelle Ausprägung gibt es - und welche Vor- und Nachteile bieten sie?‣ weiterlesen

Novayre Solutions SL und dessen RPA-Plattform Jidoka gehören nun zu Appian. Mit dem Erwerb will das amerikanischen IT-Unternehmen seine Prozessautomatisierungsplattform um Werkzeuge für Robotic Process Automation ergänzen.‣ weiterlesen

Nutzer von Citrix-Systemen sollten unbedingt die aktuell bekannt gewordene Sicherheitslücke per Workaround schließen. Das meldet das BSI erneut, nachdem sich die Zahl der bekannt gewordenen Cyberangriffe über diese Schwachstelle häufen.‣ weiterlesen

Jörg Jung leitet beim ERP-Hersteller Infor seit mehr als zwei Jahren als verantwortlicher Geschäftsführer die Regionen Zentral- und Osteuropa. In diesem Zeitraum konnte der Softwareanbieter sein Geschäft fast verdoppeln, merkte Jung im Gespräch mit der IT&Production an. Vor allem der Absatz mit Cloud-Lösungen scheint zu brummen: In den letzten zwei Jahren sei der Umsatz mit den Multi-Tenant-Lösungen weltweit um den Faktor zehn gestiegen.‣ weiterlesen

Rockwell Automation hat den israelischen Cybersecurity-Anbieter Avnet Data Security übernommen. Das Unternehmen bietet seinen Kunden Services wie Risikobewertungen, Penetrationstests, Netzwerk- und Sicherheitslösungen sowie Schulungen zur Verschmelzung von IT und OT unter dem Gesichtspunkt der Cybersecurity an. ‣ weiterlesen

In der Werkshalle von morgen sind nur noch die Außenwände fest verbaut. Maschinen und Anlagen bewegen sich frei und kommunizieren miteinander. Wichtige Voraussetzung hierfür: Eine dezentrale Versorgungs- und Dateninfrastruktur. Mit dem intelligenten Boden hat Bosch Rexroth ein solches System entwickelt - und dabei Lösungen von Weidmüller verbaut.‣ weiterlesen

In einer Industrie 4.0 stellen vernetzte Maschinen nicht nur Produkte her, sie generieren auch massenhaft Daten. Mit einem ERP-System als Informationsdrehscheibe lassen sich diese Produktionsdaten mit anderen Geschäftsbereichen verknüpfen und so die Wertschöpfung ankurbeln.‣ weiterlesen

Per Radiofrequenzidentifikation lassen sich Waren entlang der gesamten Lieferkette nachverfolgen - oder gleich lückenlos ihren Zustand dokumentieren. Erst RFID-Technologie ermöglicht viele Anwendungen, die mit Industrie 4.0 verbunden werden.‣ weiterlesen

Der ERP-Anbieter Proalpha hat einen Wechsel an der Unternehmensspitze bekanntgegeben. Eric Verniaut übernimmt das Amt des CEO.‣ weiterlesen

Die Siemens AG hat die AIT GmbH übernommen. Das Stuttgarter Unternehmen bietet Softwarelösungen auf der Basis von Microsoft .NET Plattformen an.‣ weiterlesen

Anzeige
Anzeige
Anzeige