Anzeige
Anzeige
Beitrag drucken

Lernen aus WannaCry und Co.

Das IT-Sicherheitsgesetz als starkes Argument

Trotz der aufsehenerregenden Cyberangriffe wie mit der Ransomware WannaCry im letzten Jahr ist die IT-Sicherheit auf der Prioritätenliste vieler Unternehmen noch immer nicht weit genug oben. Doch zumindest bei versorgungskritischen Infrastrukturen fordert der Gesetzgeber mittlerweile ein Bündel von Sicherheitsmaßnahmen. Diese könnten künftig auch Produzenten umsetzen müssen, die Kritis-Betreiber mit wichtigen Komponenten versorgen.

Lernen aus WannaCry und Co.

Bild: © Peter Eggermann / Fotolia.de

In der Transformation hin zur Industrie 4.0, beziehungsweise zur Integrated Industry, nimmt die IT eine tragende Rolle innerhalb der Produktions- und Wertschöpfungskette ein. Denn die Vernetzung aller Gegenstände und Systeme sowie deren Ausstattung mit zusätzlicher Intelligenz zur besseren Nutzung und Überwachung ermöglichen innovative Anwendungen und Geschäftsmodelle. So lassen sich Effizienzsteigerungen unter anderem realisieren, indem Produktionsabläufe digital simuliert oder Stillstände in der Fertigung durch vorausschauende Wartung minimiert werden. Zunehmend kommen mobile Endgeräte und Apps zum Einsatz. Meist werden diese zum Monitoring der Produktionsanlagen genutzt, doch einige davon gestatten bereits weiterführende Eingriffsoptionen: Werks- und Produktionsleiter können zu jeder Zeit von jedem Standort die Produktionsprozesse kontrollieren und Einfluss auf Steuerungsparameter nehmen. Nachweislich bringt die hochgradige Vernetzung viele Vorteile für den Betriebsablauf, andererseits jedoch ebenso viele Angriffspunkte, die ausgenutzt werden können. Dies basiert zum einen auf den immer komplexer werdenden IT-Landschaften sowie den immanenten Schwachstellen von Komponenten der OT und zum anderen auf dem Fehlen adäquater Schutzkonzepte.

Genug offene Flanken

Die fortschreitende Digitalisierung und die daraus resultierende Entwicklung neuer Geschäftsmodelle wie Predictive Maintenance auf Basis von Internet-technologien bringen einen massiven Anstieg der Gefahrenpotentiale mit sich. Ungeachtet dieses Fakts finden jedoch die unsicheren Basistechnologien wie Web-Sprachen, Kommunikationsprotokolle, Datenbanken oder Betriebssysteme im Produktionsumfeld Verwendung und stoßen auf Produktionsnetze und -komponenten, die hochsensibel sind und meist für solche Szenerien nicht konzipiert wurden. Aufgrund der langen Lebenszyklen der Systeme im Produktionsumfeld sind sehr häufig noch IT-Komponenten ohne spezifische IT-Wartung wie Upgrades im Einsatz, für die es zudem teilweise bereits seit längerem keine Sicherheitspatches mehr gibt, weil der Hersteller die Wartung eingestellt hat. Mittlerweile haben sich bestimmte Angreifer darauf spezialisiert, direkt nach Sicherheitslücken zu suchen, sobald Produktionsanlagen mit dem Internet – also in einem TCP/IP Netz – verbunden sind. Dass dies keine theoretische Gefahr ist, belegen diverse Studien – bereits im Jahr 2016 erfolgte jeder vierte Cyberangriff auf industrielle Systeme. Dafür gibt es verschiedene Gründe: Der Datentransfer zwischen den Systemen der Produktion läuft vermehrt über offene Standards – zur Absicherung der OT sind jedoch teils völlig andere Konzepte und Lösungen notwendig, als im klassischen IT-Umfeld, die dort vorherrschenden Ansätze sind nur sehr bedingt übertragbar. Zudem erfordert jede weitere Anbindung von Applikationen sowie Vernetzung von Geräten und Systemen neue Schnittstellen, die per se ein Risiko darstellen – hier werden ständig neue Schwachstellen entdeckt. Die Ausführung der zumeist systematischen Attacken erfolgt mit regelmäßig aktualisierten Angriffsmethoden; hierfür gibt es unter anderem Standardwerkzeuge, die inzwischen auf speziellen Plattformen im Internet frei zur Verfügung stehen.

Schlecht programmierte Apps

Auch schlecht programmierte Apps und ohnehin unsichere Endgeräte bieten eine große Angriffsfläche, beispielsweise bei deren Einsatz zur Maschinensteuerung: Die Eingriffsmöglichkeiten reichen hier von Manipulation der Produktionsprozesse, was unter Umständen die Produktions- und Produktqualität stark beeinträchtigen kann, bis hin zum Abschalten einer kompletten Produktionslinie.

Kritis auch für Zulieferer

Mittlerweile ist erkennbar, dass Zulieferer von Anlagen und Komponenten, die wesentlich für eine Kritis-Umgebung sind, zumindest für die gelieferten Komponenten Kritis-Anforderungen standhalten müssen. Heute steht zur Diskussion, dass das IT-Sicherheitsgesetz analog im Kontext von Industrie 4.0 Anwendung finden soll. Dies erscheint aus dem Grund akut, da oftmals schlecht gewartete, veraltete und ungesicherte, aber dennoch innerhalb einer Wertschöpfungskette hochgradig vernetzte OT-Systeme für Angriffe leicht nutzbar sind. Das derzeitig vorzufindende IT-Sicherheitsniveau der OT entspricht bei weitem nicht den gestiegenen Anforderungen. Von daher ist es an der Zeit, Sicherheitsstrategien im industriellen Umfeld zu entwickeln.

Rat liefert der Gesetzestext

Im Grunde geht es bei der Diskussion bezüglich der erweiterten Einführung des IT-Sicherheitsgesetzes darum, Unternehmen dahingehend zu sensibilisieren, dass sie die bestehenden Probleme aktiv angehen. Dazu gehört ein Verständnis dafür zu schaffen, dass IT-Sicherheit ein kontinuierlicher Prozess ist. Hilfreich bei der Ausgestaltung einer effizienten Vorgehensweise ist das gemeinsame Thesenpapier von Teletrust und dem Bundesverband der IT-Anwender (VOICE) aus dem Jahr 2017. In diesem Leitliniendokument werden Defizite und Problembereiche im IT-Sicherheitsumfeld dargestellt, die es dringend zu beheben gilt. Dazu haben Teletrust und Voice gemeinsam sechs Thesen erarbeitet, „die jeweils spezifische ‚Gemeinsame Aufgaben‘ innerhalb jeder These skizzieren, wie vorhandene Herausforderungen erfolgreich bewältigt werden können“, etwa in der ersten These ‚Ohne IT-Sicherheit gelingt keine nachhaltige Digitalisierung‘ oder der vierten: ‚Security-by-Design, Privacy-by-Design und nachvollziehbare Qualitätssicherung sind unabdingbar‘. Mit zunehmender Digitalisierung sollten auch mittelständische Unternehmen nicht mehr den Standpunkt vertreten, dass sich kein Angreifer für sie interessieren wird. Was aber andererseits nicht zu der fatalistischen Einstellung führen sollte, dass aufgrund der hohen Komplexität ein Absichern der eigenen Infrastruktur per se unmöglich sei.


IT-Sicherheitsgesetz für die Industrie gefordert

Mit Inkrafttreten des IT-Sicherheitsgesetzes in 2015 müssen die Betreiber kritischer Infrastrukturen (Kritis) im wesentlichen zwei Vorgaben erfüllen: Die definierten Organisationen und Institutionen mit relevanter Bedeutung für das Gemeinwesen sind fortan verpflichtet binnen zwei Jahren nachzuweisen, dass sie wirksame Vorkehrungen zum Schutz der Daten getroffen haben, um deren Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu wahren. Zudem stehen sie in der Pflicht, die qua Definition kritischen Sicherheitsvorfälle unverzüglich zu melden sowie eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik (BSI) anzugeben. Relevante Bedeutung haben dem Gesetz zufolge Organisationen in den Bereichen Staat und Verwaltung, Energie, Gesundheitswesen, Finanz- und Versicherungswesen, Transport und Verkehr, IT und TK, Medien und Kultur sowie Wasser und Ernährung.


Das könnte Sie auch interessieren:

Ab und zu fehlte ein Schlüssel im Kloster der Franziskanerinnen der ewigen Anbetung von Schwäbisch Gmünd. Beim letzten Mal gab das den Impuls, anstatt neue mechanische Zylinder in die rund 220 Türen des Komplexes einzubauen, die alte Technik durch das Bluesmart-System von Winkhaus zu ersetzen.‣ weiterlesen

Mit 100,5 Punkten hält sich das IAB-Arbeitsmarktbarometer im November stabil und liegt weiter im leicht über der neutralen Marke. Auf europäischer Ebene sank der Frühindikator allerdings erneut.‣ weiterlesen

In einer neuen Expertise des Forschungsbeirats Industrie 4.0 untersuchen das FIR an der RWTH Aachen und das Industrie 4.0 Maturity Center den Status-quo und die aktuellen Herausforderungen der deutschen Industrie bei der Nutzung und wirtschaftlichen Verwertung von industriellen Daten und geben Handlungsempfehlungen für Unternehmen, Verbände, Politik und Wissenschaft.‣ weiterlesen

Im Forschungsprojekt FabOS soll eine KI-Bin-Picking-Anwendung entstehen, die ein verbessertes Erkennen, Greifen und definiertes Ablegen von Blechteilen in der Produktion ermöglicht.‣ weiterlesen

Die Digitalisierung des Qualitätsmanagements stellt Unternehmen vor Herausforderungen. Daher haben das Fraunhofer IPT und die FH Südwestfalen im Forschungsvorhaben 'Qbility - Quality 4.0 Capability Determination Model' ein datengetriebenes Reifegradmodell entwickelt, das die Anforderungen eines digitalisierten Qualitätsmanagements bei KMU adressiert.‣ weiterlesen

Im Gegensatz zu anderen Cyberangriffen bieten Attacken mit Ransomware auf den ersten Blick einen einfachen Ausweg: die Zahlung des geforderten Lösegelds.‣ weiterlesen

Nach 84,5 Punkten im Oktober kletterte der Ifo-Geschäftsklimaindex im November auf 86,3 Punkte. Die Unternehmen blicken demnach weniger pessimistisch auf die nächsten Monate.‣ weiterlesen

In Kombination mit einer Augmented-Reality-Brille bietet eine neue Software des Fraunhofer IGD digitale Unterstützung von Absortiervorgängen. Zusammengehörige Bauteile werden direkt im Sichtfeld der Beschäftigten an der Produktionslinie farblich überlagert. Anwender im Automotive-Bereich können so etwa durch beschleunigte Prozesse und eine minimierte Fehleranfälligkeit Kosten reduzieren.‣ weiterlesen

Edge Management, Digital Twin und Data Spaces bilden die Schwerpunkte einer Zusammenarbeit zwischen der Open Industry 4.0 Alliance und dem Labs Network Industrie 4.0.‣ weiterlesen

Wer im öffentlichen Sektor der USA künftig Software vermarktet, muss eine Software Bill of Materials (SBOM) über die verwendeten Komponenten mitliefern. Ist diese Executive Order 14028 der US-Regierung auch für deutsche Firmen relevant? Die IT-Sicherheitschefin von MongoDB, Lena Smart, ordnet das ein - und verweist dabei auf das IT-Sicherheitsgesetz 2.0.‣ weiterlesen

Das Angebot an cloudbasierter Infrastruktur für SAP Hana wächst rasant. Zudem haben sich durch die weitere Option auf die Software-as-a-Service-Version S/4Hana Cloud die Rahmenbedingungen für den Umstieg auf S/4Hana signifikant verändert. Doch insbesondere deutsche Unternehmen zögern laut einer Untersuchung des Marktforschungsunternehmens ISG weiterhin, auf die Cloud umzusteigen.‣ weiterlesen