Anzeige
Anzeige
Anzeige
Beitrag drucken

Lernen aus WannaCry und Co.

Das IT-Sicherheitsgesetz als starkes Argument

Trotz der aufsehenerregenden Cyberangriffe wie mit der Ransomware WannaCry im letzten Jahr ist die IT-Sicherheit auf der Prioritätenliste vieler Unternehmen noch immer nicht weit genug oben. Doch zumindest bei versorgungskritischen Infrastrukturen fordert der Gesetzgeber mittlerweile ein Bündel von Sicherheitsmaßnahmen. Diese könnten künftig auch Produzenten umsetzen müssen, die Kritis-Betreiber mit wichtigen Komponenten versorgen.

Lernen aus WannaCry und Co.

Bild: © Peter Eggermann / Fotolia.de

In der Transformation hin zur Industrie 4.0, beziehungsweise zur Integrated Industry, nimmt die IT eine tragende Rolle innerhalb der Produktions- und Wertschöpfungskette ein. Denn die Vernetzung aller Gegenstände und Systeme sowie deren Ausstattung mit zusätzlicher Intelligenz zur besseren Nutzung und Überwachung ermöglichen innovative Anwendungen und Geschäftsmodelle. So lassen sich Effizienzsteigerungen unter anderem realisieren, indem Produktionsabläufe digital simuliert oder Stillstände in der Fertigung durch vorausschauende Wartung minimiert werden. Zunehmend kommen mobile Endgeräte und Apps zum Einsatz. Meist werden diese zum Monitoring der Produktionsanlagen genutzt, doch einige davon gestatten bereits weiterführende Eingriffsoptionen: Werks- und Produktionsleiter können zu jeder Zeit von jedem Standort die Produktionsprozesse kontrollieren und Einfluss auf Steuerungsparameter nehmen. Nachweislich bringt die hochgradige Vernetzung viele Vorteile für den Betriebsablauf, andererseits jedoch ebenso viele Angriffspunkte, die ausgenutzt werden können. Dies basiert zum einen auf den immer komplexer werdenden IT-Landschaften sowie den immanenten Schwachstellen von Komponenten der OT und zum anderen auf dem Fehlen adäquater Schutzkonzepte.

Genug offene Flanken

Die fortschreitende Digitalisierung und die daraus resultierende Entwicklung neuer Geschäftsmodelle wie Predictive Maintenance auf Basis von Internet-technologien bringen einen massiven Anstieg der Gefahrenpotentiale mit sich. Ungeachtet dieses Fakts finden jedoch die unsicheren Basistechnologien wie Web-Sprachen, Kommunikationsprotokolle, Datenbanken oder Betriebssysteme im Produktionsumfeld Verwendung und stoßen auf Produktionsnetze und -komponenten, die hochsensibel sind und meist für solche Szenerien nicht konzipiert wurden. Aufgrund der langen Lebenszyklen der Systeme im Produktionsumfeld sind sehr häufig noch IT-Komponenten ohne spezifische IT-Wartung wie Upgrades im Einsatz, für die es zudem teilweise bereits seit längerem keine Sicherheitspatches mehr gibt, weil der Hersteller die Wartung eingestellt hat. Mittlerweile haben sich bestimmte Angreifer darauf spezialisiert, direkt nach Sicherheitslücken zu suchen, sobald Produktionsanlagen mit dem Internet – also in einem TCP/IP Netz – verbunden sind. Dass dies keine theoretische Gefahr ist, belegen diverse Studien – bereits im Jahr 2016 erfolgte jeder vierte Cyberangriff auf industrielle Systeme. Dafür gibt es verschiedene Gründe: Der Datentransfer zwischen den Systemen der Produktion läuft vermehrt über offene Standards – zur Absicherung der OT sind jedoch teils völlig andere Konzepte und Lösungen notwendig, als im klassischen IT-Umfeld, die dort vorherrschenden Ansätze sind nur sehr bedingt übertragbar. Zudem erfordert jede weitere Anbindung von Applikationen sowie Vernetzung von Geräten und Systemen neue Schnittstellen, die per se ein Risiko darstellen – hier werden ständig neue Schwachstellen entdeckt. Die Ausführung der zumeist systematischen Attacken erfolgt mit regelmäßig aktualisierten Angriffsmethoden; hierfür gibt es unter anderem Standardwerkzeuge, die inzwischen auf speziellen Plattformen im Internet frei zur Verfügung stehen.

Schlecht programmierte Apps

Auch schlecht programmierte Apps und ohnehin unsichere Endgeräte bieten eine große Angriffsfläche, beispielsweise bei deren Einsatz zur Maschinensteuerung: Die Eingriffsmöglichkeiten reichen hier von Manipulation der Produktionsprozesse, was unter Umständen die Produktions- und Produktqualität stark beeinträchtigen kann, bis hin zum Abschalten einer kompletten Produktionslinie.

Kritis auch für Zulieferer

Mittlerweile ist erkennbar, dass Zulieferer von Anlagen und Komponenten, die wesentlich für eine Kritis-Umgebung sind, zumindest für die gelieferten Komponenten Kritis-Anforderungen standhalten müssen. Heute steht zur Diskussion, dass das IT-Sicherheitsgesetz analog im Kontext von Industrie 4.0 Anwendung finden soll. Dies erscheint aus dem Grund akut, da oftmals schlecht gewartete, veraltete und ungesicherte, aber dennoch innerhalb einer Wertschöpfungskette hochgradig vernetzte OT-Systeme für Angriffe leicht nutzbar sind. Das derzeitig vorzufindende IT-Sicherheitsniveau der OT entspricht bei weitem nicht den gestiegenen Anforderungen. Von daher ist es an der Zeit, Sicherheitsstrategien im industriellen Umfeld zu entwickeln.

Rat liefert der Gesetzestext

Im Grunde geht es bei der Diskussion bezüglich der erweiterten Einführung des IT-Sicherheitsgesetzes darum, Unternehmen dahingehend zu sensibilisieren, dass sie die bestehenden Probleme aktiv angehen. Dazu gehört ein Verständnis dafür zu schaffen, dass IT-Sicherheit ein kontinuierlicher Prozess ist. Hilfreich bei der Ausgestaltung einer effizienten Vorgehensweise ist das gemeinsame Thesenpapier von Teletrust und dem Bundesverband der IT-Anwender (VOICE) aus dem Jahr 2017. In diesem Leitliniendokument werden Defizite und Problembereiche im IT-Sicherheitsumfeld dargestellt, die es dringend zu beheben gilt. Dazu haben Teletrust und Voice gemeinsam sechs Thesen erarbeitet, „die jeweils spezifische ‚Gemeinsame Aufgaben‘ innerhalb jeder These skizzieren, wie vorhandene Herausforderungen erfolgreich bewältigt werden können“, etwa in der ersten These ‚Ohne IT-Sicherheit gelingt keine nachhaltige Digitalisierung‘ oder der vierten: ‚Security-by-Design, Privacy-by-Design und nachvollziehbare Qualitätssicherung sind unabdingbar‘. Mit zunehmender Digitalisierung sollten auch mittelständische Unternehmen nicht mehr den Standpunkt vertreten, dass sich kein Angreifer für sie interessieren wird. Was aber andererseits nicht zu der fatalistischen Einstellung führen sollte, dass aufgrund der hohen Komplexität ein Absichern der eigenen Infrastruktur per se unmöglich sei.


IT-Sicherheitsgesetz für die Industrie gefordert

Mit Inkrafttreten des IT-Sicherheitsgesetzes in 2015 müssen die Betreiber kritischer Infrastrukturen (Kritis) im wesentlichen zwei Vorgaben erfüllen: Die definierten Organisationen und Institutionen mit relevanter Bedeutung für das Gemeinwesen sind fortan verpflichtet binnen zwei Jahren nachzuweisen, dass sie wirksame Vorkehrungen zum Schutz der Daten getroffen haben, um deren Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu wahren. Zudem stehen sie in der Pflicht, die qua Definition kritischen Sicherheitsvorfälle unverzüglich zu melden sowie eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik (BSI) anzugeben. Relevante Bedeutung haben dem Gesetz zufolge Organisationen in den Bereichen Staat und Verwaltung, Energie, Gesundheitswesen, Finanz- und Versicherungswesen, Transport und Verkehr, IT und TK, Medien und Kultur sowie Wasser und Ernährung.


Das könnte Sie auch interessieren:

Lieferkettenschwierigkeiten verursachen rund 20 Prozent der Kosten von Fertigungsunternehmen, errechnen Fachleute. Robotergestützte Prozessautomatisierung kann viele der Stolpersteine aus dem Weg räumen, die zu diesen Ausgaben führen. Denn sie machen keine Fehler, halten sich an Regeln und arbeiten pausenlos - im Büro, Lieferantenmanagement und bei der Prozessoptimierung.‣ weiterlesen

Stimmen die Artikeldaten? Sind die Stammdaten genau und rechtskonform? Diese Fragen entscheiden über die Qualität fundamentaler Datenquellen. Wenn sich Fehler in die Stammdaten eingeschlichen haben, wirken sie womöglich quer durch alle Datenbanken und Prozesse hindurch. Diese und weitere Stolpersteine fasst folgende Checkliste zusammen.‣ weiterlesen

Viele neue Produkte und Geschäftsmodelle erfahren heutzutage Geburtshilfe durch Simulation. Mit digitalen Zwillingen verschmelzen Grenzen zwischen simulierten und realen Produktwelten. Entwicklung und Fertigung lassen sich so deutlich effizienter organisieren.‣ weiterlesen

Die Forschungspartner Technische Hochschule Deggendorf und die Technische Universität München sowie den beiden Unternehmen Schindler & Schill (EasyLogix) und Systema haben das BMWi-ZIM-Projekt MobiCM erfolgreich abgeschlossen. Ziel war die Entwicklung eines Systems zur Zustandsüberwachung von Produktionsmaschinen.‣ weiterlesen

Die Engineering-Plattform DesignSpark von RS Components hat die Marke von einer Million Mitglieder geknackt. Seit seiner Einführung 2010 unterstützt die Plattform Ingenieure, Techniker und Studierende mit einer Vielzahl an technischen Tools und Ressourcen.‣ weiterlesen

Die Normungsorganisationen DIN und VDE DKE haben eine Kooperationsvereinbarung mit 'Enterprise Singapore' getroffen. Die Zusammenarbeit soll unter anderem die Bereiche Industrie 4.0 sowie künstliche Intelligenz umfassen.‣ weiterlesen

Als globale Krise ist die Corona-Pandemie eine besondere Herausforderung für die Automobilindustrie. Der Absatz neuer PKW ging weltweit um 23 Prozent, in Europa sogar um 27 Prozent zurück. VDA-Geschäftsführer Dr. Kurt-Christian Scheel erläutert, wie sich die Branche gegen die Krise stemmt und dabei ihre Flexibilität unter Beweis stellt.‣ weiterlesen

Pandemien gehören im aktuellen Allianz-Risiko-Barometer zu den größten Bedrohungen für Unternehmen. Die damit einhergehenden Sorgen haben sogar den Klimawandel verdrängt, der in der aktuellen Erhebung den 9. Platz belegt.‣ weiterlesen

Der Impuls für einen ERP-Wechsel kommt häufig aus dem mittleren Management. Dies ist nicht verwunderlich, weil in den Fachabteilungen die größten Berührungspunkte zur Software bestehen. In der Praxis bewegen immer wieder ähnliche Gründe Unternehmen dazu, ein neues ERP-System zu suchen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige