Anzeige
Anzeige
Beitrag drucken

Lernen aus WannaCry und Co.

Das IT-Sicherheitsgesetz als starkes Argument

Trotz der aufsehenerregenden Cyberangriffe wie mit der Ransomware WannaCry im letzten Jahr ist die IT-Sicherheit auf der Prioritätenliste vieler Unternehmen noch immer nicht weit genug oben. Doch zumindest bei versorgungskritischen Infrastrukturen fordert der Gesetzgeber mittlerweile ein Bündel von Sicherheitsmaßnahmen. Diese könnten künftig auch Produzenten umsetzen müssen, die Kritis-Betreiber mit wichtigen Komponenten versorgen.

Lernen aus WannaCry und Co.

Bild: © Peter Eggermann / Fotolia.de

In der Transformation hin zur Industrie 4.0, beziehungsweise zur Integrated Industry, nimmt die IT eine tragende Rolle innerhalb der Produktions- und Wertschöpfungskette ein. Denn die Vernetzung aller Gegenstände und Systeme sowie deren Ausstattung mit zusätzlicher Intelligenz zur besseren Nutzung und Überwachung ermöglichen innovative Anwendungen und Geschäftsmodelle. So lassen sich Effizienzsteigerungen unter anderem realisieren, indem Produktionsabläufe digital simuliert oder Stillstände in der Fertigung durch vorausschauende Wartung minimiert werden. Zunehmend kommen mobile Endgeräte und Apps zum Einsatz. Meist werden diese zum Monitoring der Produktionsanlagen genutzt, doch einige davon gestatten bereits weiterführende Eingriffsoptionen: Werks- und Produktionsleiter können zu jeder Zeit von jedem Standort die Produktionsprozesse kontrollieren und Einfluss auf Steuerungsparameter nehmen. Nachweislich bringt die hochgradige Vernetzung viele Vorteile für den Betriebsablauf, andererseits jedoch ebenso viele Angriffspunkte, die ausgenutzt werden können. Dies basiert zum einen auf den immer komplexer werdenden IT-Landschaften sowie den immanenten Schwachstellen von Komponenten der OT und zum anderen auf dem Fehlen adäquater Schutzkonzepte.

Genug offene Flanken

Die fortschreitende Digitalisierung und die daraus resultierende Entwicklung neuer Geschäftsmodelle wie Predictive Maintenance auf Basis von Internet-technologien bringen einen massiven Anstieg der Gefahrenpotentiale mit sich. Ungeachtet dieses Fakts finden jedoch die unsicheren Basistechnologien wie Web-Sprachen, Kommunikationsprotokolle, Datenbanken oder Betriebssysteme im Produktionsumfeld Verwendung und stoßen auf Produktionsnetze und -komponenten, die hochsensibel sind und meist für solche Szenerien nicht konzipiert wurden. Aufgrund der langen Lebenszyklen der Systeme im Produktionsumfeld sind sehr häufig noch IT-Komponenten ohne spezifische IT-Wartung wie Upgrades im Einsatz, für die es zudem teilweise bereits seit längerem keine Sicherheitspatches mehr gibt, weil der Hersteller die Wartung eingestellt hat. Mittlerweile haben sich bestimmte Angreifer darauf spezialisiert, direkt nach Sicherheitslücken zu suchen, sobald Produktionsanlagen mit dem Internet – also in einem TCP/IP Netz – verbunden sind. Dass dies keine theoretische Gefahr ist, belegen diverse Studien – bereits im Jahr 2016 erfolgte jeder vierte Cyberangriff auf industrielle Systeme. Dafür gibt es verschiedene Gründe: Der Datentransfer zwischen den Systemen der Produktion läuft vermehrt über offene Standards – zur Absicherung der OT sind jedoch teils völlig andere Konzepte und Lösungen notwendig, als im klassischen IT-Umfeld, die dort vorherrschenden Ansätze sind nur sehr bedingt übertragbar. Zudem erfordert jede weitere Anbindung von Applikationen sowie Vernetzung von Geräten und Systemen neue Schnittstellen, die per se ein Risiko darstellen – hier werden ständig neue Schwachstellen entdeckt. Die Ausführung der zumeist systematischen Attacken erfolgt mit regelmäßig aktualisierten Angriffsmethoden; hierfür gibt es unter anderem Standardwerkzeuge, die inzwischen auf speziellen Plattformen im Internet frei zur Verfügung stehen.

Schlecht programmierte Apps

Auch schlecht programmierte Apps und ohnehin unsichere Endgeräte bieten eine große Angriffsfläche, beispielsweise bei deren Einsatz zur Maschinensteuerung: Die Eingriffsmöglichkeiten reichen hier von Manipulation der Produktionsprozesse, was unter Umständen die Produktions- und Produktqualität stark beeinträchtigen kann, bis hin zum Abschalten einer kompletten Produktionslinie.

Kritis auch für Zulieferer

Mittlerweile ist erkennbar, dass Zulieferer von Anlagen und Komponenten, die wesentlich für eine Kritis-Umgebung sind, zumindest für die gelieferten Komponenten Kritis-Anforderungen standhalten müssen. Heute steht zur Diskussion, dass das IT-Sicherheitsgesetz analog im Kontext von Industrie 4.0 Anwendung finden soll. Dies erscheint aus dem Grund akut, da oftmals schlecht gewartete, veraltete und ungesicherte, aber dennoch innerhalb einer Wertschöpfungskette hochgradig vernetzte OT-Systeme für Angriffe leicht nutzbar sind. Das derzeitig vorzufindende IT-Sicherheitsniveau der OT entspricht bei weitem nicht den gestiegenen Anforderungen. Von daher ist es an der Zeit, Sicherheitsstrategien im industriellen Umfeld zu entwickeln.

Rat liefert der Gesetzestext

Im Grunde geht es bei der Diskussion bezüglich der erweiterten Einführung des IT-Sicherheitsgesetzes darum, Unternehmen dahingehend zu sensibilisieren, dass sie die bestehenden Probleme aktiv angehen. Dazu gehört ein Verständnis dafür zu schaffen, dass IT-Sicherheit ein kontinuierlicher Prozess ist. Hilfreich bei der Ausgestaltung einer effizienten Vorgehensweise ist das gemeinsame Thesenpapier von Teletrust und dem Bundesverband der IT-Anwender (VOICE) aus dem Jahr 2017. In diesem Leitliniendokument werden Defizite und Problembereiche im IT-Sicherheitsumfeld dargestellt, die es dringend zu beheben gilt. Dazu haben Teletrust und Voice gemeinsam sechs Thesen erarbeitet, „die jeweils spezifische ‚Gemeinsame Aufgaben‘ innerhalb jeder These skizzieren, wie vorhandene Herausforderungen erfolgreich bewältigt werden können“, etwa in der ersten These ‚Ohne IT-Sicherheit gelingt keine nachhaltige Digitalisierung‘ oder der vierten: ‚Security-by-Design, Privacy-by-Design und nachvollziehbare Qualitätssicherung sind unabdingbar‘. Mit zunehmender Digitalisierung sollten auch mittelständische Unternehmen nicht mehr den Standpunkt vertreten, dass sich kein Angreifer für sie interessieren wird. Was aber andererseits nicht zu der fatalistischen Einstellung führen sollte, dass aufgrund der hohen Komplexität ein Absichern der eigenen Infrastruktur per se unmöglich sei.


IT-Sicherheitsgesetz für die Industrie gefordert

Mit Inkrafttreten des IT-Sicherheitsgesetzes in 2015 müssen die Betreiber kritischer Infrastrukturen (Kritis) im wesentlichen zwei Vorgaben erfüllen: Die definierten Organisationen und Institutionen mit relevanter Bedeutung für das Gemeinwesen sind fortan verpflichtet binnen zwei Jahren nachzuweisen, dass sie wirksame Vorkehrungen zum Schutz der Daten getroffen haben, um deren Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu wahren. Zudem stehen sie in der Pflicht, die qua Definition kritischen Sicherheitsvorfälle unverzüglich zu melden sowie eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik (BSI) anzugeben. Relevante Bedeutung haben dem Gesetz zufolge Organisationen in den Bereichen Staat und Verwaltung, Energie, Gesundheitswesen, Finanz- und Versicherungswesen, Transport und Verkehr, IT und TK, Medien und Kultur sowie Wasser und Ernährung.


Das könnte Sie auch interessieren:

Mit einem Manufacturing Execution System (MES) können mittelständische Fertigungsbetriebe ihre Produktion digitalisieren und sie so auf komplexere Marktanforderungen ausrichten. Auf welche Funktionalitäten Fertiger achten sollten, zeigt der folgende Beitrag.‣ weiterlesen

Das Maschinenbauunternehmen Schenck Process hat die serverlose, modulare IoT-Plattform Coniq Cloud auf den Markt gebracht. Das System ist als IoT-Backbone für die eigenen Maschinen gedacht und bietet Anwendungsprogramme etwa zu Optimierung von Produktionszeiten und für Datenauswertungen.‣ weiterlesen

Komplexe Fertigung in Kombination mit hohem Termindruck führten beim Maschinenbauer Knoll dazu, dass lediglich 53 Prozent der Liefertermine zu halten waren. Nach der Einführung der PPS-Lösung von LF Consult liegt die Termintreue bei über 90 Prozent - bei kürzeren Durchlaufzeiten.‣ weiterlesen

Wenn sich am 30. Mai die Hallentore zum Flagschiff der Deutschen Messe öffnen, kann das als Startschuss für das postpandemische Messegeschehen gelten. Denn die Hannover Messe nimmt traditionell eine Sonderrolle unter den Industrieausstellungen ein. Grund dafür ist auch das hochkarätige Begleitprogramm, das diesmal mit 600 Vorträgen auf sechs Bühnen die Angebote der 2.500 Aussteller einrahmt.‣ weiterlesen

In diesem Jahr findet die Intralogistikmesse Logimat wieder in Präsenz statt. Und laut Veranstalter bewegen sich die Buchungen wieder auf Vor-Pandemie-Niveau. 1.500 Aussteller werden vom 31. Mai bis zum 2. Juni in Stuttgart erwartet.‣ weiterlesen

Spectralink hat DECT-Geräte mit Integration in das SIP-Gateway von Microsoft Teams auf den Markt gebracht.‣ weiterlesen

Sollen Cloud-Anwendungen als Microservices implementiert werden, unterteilen Entwickler größere Applikationen bereits bei der Erstellung in Module. Bereitgestellt werden Microservices meist über Distributed Clouds, die durch ihre vernetzten und verteilten Server hochperformant und reaktionsschnell arbeiten.‣ weiterlesen

Um gesteckte Ziele etwa in Sachen Effizienz, Nachhaltigkeit und Innovationsfähigkeit zu erreichen, vernetzen Hersteller zunehmend ihre Produktionen. Das Prinzip der Composability soll Firmen dabei helfen, in ihren modularen IT-Architekturen das Beste aus MES/MOM, IoT und IIoT zu kombinieren.‣ weiterlesen

Die App 5i.Maintenance der vergleichsweise jungen Softwarfirma 5thIndustry will Anwendern einen besseren Überblick über ihre Anlagen samt Wartungsstatus vermitteln. Wesentliche Einsatzzwecke sind die Erfassung von Maschinen und Teilkomponenten samt Eigenschaften wie Standorte, Kostenstellen und Zustandsberichte.‣ weiterlesen

Die neue KI-gestützte Akustikprüfung von Porsche Digital kann Störgeräusche automatisiert erkennen. Mit der Software-as-a-Service-Lösung lassen sich über verschiedene Anwendungsfälle hinweg die Qualität von Produkten und Fertigungsprozessen steigern. Porsche-CIO Mattias Ulbrich erläutert die Arbeitsweise des KI-Systems.‣ weiterlesen

In Kooperation mit dem Zentralverband des deutschen Handwerks (ZDH) wurde die Software Edira von Etes mit dem 'Routenplaner Cyber-Sicherheit im Handwerk' ausgestattet. Diese stellt ab Mai 2022 die kostenlose digitale Version des Routenplaners für das strukturierte Abarbeiten des IT-Grundschutzprofils für Handwerksbetriebe dar.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige