Aktuelles, Branche - geschrieben von dp am Samstag, April 15, 2017 16:16 - noch keine Kommentare
Mehrstufige Sicherheitskonzepte zur erfolgreichen Automatisierung und Vernetzung
Anfallende Datenmengen in Wertschöpfungsnetzwerken erfordern professionellen DaaS-Anbieter
[datensicherheit.de, 15.04.2017] Viele Unternehmen und Institutionen haben sich häufig eher schleppend als begeistert der Sicherheit ihrer Office-IT gewidmet – nicht selten mussten erst gravierende Datensicherheitsverletzungen „Überzeugungsarbeit“ leisten, um die Notwendigkeit einzusehen und Mittel freizusetzen. Ähnlich wie mit der Zunahme der Digitalisierung und Vernetzung noch vor Jahren multimediale, spielerische Attitüden zur Informations- und Kommunikationstechnologie in Büros und bei Privatanwendern Einzug hielten (und Sicherheitsaspekte dabei gerne kleingeschrieben wurden), haben die neuen technischen Möglichkeiten zur vorschnellen Befolgung eines Hypes dann auch in industriellen Anwendungen geführt: In Medienberichten und Vorträgen auf IT-Sicherheitstagungen wird immer wieder auf die berühmt-berüchtigte Suchmaschine „Shodan“ eingegangen, mit welcher u.a. das Auffinden zumeist ungeschützter, mit dem Internet verbundener Geräte und Computersysteme möglich ist – und geradezu eine Einladung für maliziöse Hacker ist. Die industrielle IT-Sicherheit wird zu einem Qualitätsmerkmal und einer zentralen Herausforderung:
Es ist höchste Zeit, mit der Hinwendung der Wirtschaft zur Industrie 4.0 mehrstufige Sicherheitskonzepte zu entwickeln, um die Chancen dieses epochalen Wandels erfolgreich nutzen zu können.
Industrie im Visier destruktiver Absichten
Mit der Verlagerung der industriellen Wertschöpfung in durch Vernetzung geschaffene temporäre oder auch dauerhafte digitalisierte Kooperationsstrukturen ist das Eine sicher: Kriminalität, Sabotage und andere destruktive Machenschaften werden diese verstärkt ins Visier nehmen!
Malware-Attacken, als Beispiel sei hier nur „Stuxnet“ genannt, treffen die automatisierte Industrie und vernetzte Infrastrukturen. Angreifern wird es bisher leider noch zu oft sehr leicht gemacht, Malware über USB-Schnittstellen, das unternehmenseigene Intranet oder das Internet einzuschleusen. Solche Schwachstellen stellen eine große, gar existenzielle Gefahr dar.
Bestandsaufnahme aller Schwachstellen zur Ableitung von Maßnahmen
Waren vor allem kleine und mittlere Unternehmen (KMU) schon oft überfordert, sich selbst der IT-Sicherheit im Büro zu widmen, dürfte die industrielle Ebene kaum noch ohne Hilfe externer Experten zu schützen und zu sichern sein. Yokogawa z.B. verweist auf die Richtlinie ISA99 (Industrial Automation and Control Systems Security) als Grundlage der Gestaltung von Abwehrmaßnahmen gegen Angriffe. Dazu gehören demnach auch Berechtigungskonzepte und sichere Anmeldeverfahren.
Eine detaillierte Analyse der Sicherheit vor Ort sei indes immer notwendig: Im Rahmen einer Bestandsaufnahme müssten Schnittstellen und deren Offenheit sowie weitere Schwachstellen identifiziert und abgebildet werden. Im Kontext eines solchen Audits sollten auch Interviews beim Kunden mit dem Ziel einer umfassenden Risikoanalyse durchgeführt werden, um im Ergebnis einen Realisierungsplan für Sicherheitsmaßnahmen abzuleiten. Eine einfache Sicherheitsmaßnahme könnte z.B. eine regelmäßige und systematische Einspielung von Sicherheitsupdates für die jeweilige Industrieanlage oder eine vorzeitige Verriegelung der USB-Ports sein.
Mehrstufiges Sicherheitskonzept für Automatisierungssysteme
Yokogawa rät zu einem Sicherheitskonzept auf vier Ebenen:
- Physische Sicherheit und Netzwerksicherheit (z.B. Zugangsbeschränkungen bzw. -überwachung für Computer- und Schalträume, Firewall zwischen Leitsystem-Bus und anderen Netzwerken wie z.B. Büro- oder Drahtlosnetzen, VPN-Zugänge)
- Sicherheit von Servern und Applikationssoftware (z.B. Whitelisting, Antiviren-Software und Systempflege wie Updates, Upgrades und Patches)
- Sicherungs- und Wiederherstellungsoptionen (z.B. automatisches Erstellen von Backups, Backupverwaltung)
- Lebenszyklus-Management (Anpassung der Sicherungs- und Schutzmaßnahmen an den aktuellen Stand der Technik und die spezifische Bedrohungslage)
Gestützt auf ein solches Konzept sowie auf die Aufmerksamkeit und Achtsamkeit der Mitarbeiter ließen sich industrielle Anlagen zuverlässig vor Spionage und Sabotage schützen.
Sicheres Management gewaltiger Datenmengen
Die Zunahme an Sensorik und Aktorik sowie der Einsatz „smarter“ Maschinen führt zu einem gewaltigen Anwachsen der Datenmengen im „Industrial Internet of Things“ – diese müssen gesammelt, analysiert und wieder bereitgestellt und somit auch geschützt und gesichert werden. In Wertschöpfungsnetzwerken fallen unzählige Daten u.U. an verschiedenen Produktionsstandorten an – diese sollten zusammengeführt werden, um die Produktion und die Datensicherheit effektiver und effizienter zu gestalten.
Eine solche Zusammenführung, Analyse und Bereitstellung von Daten in Form einer Servicedienstleitung wird in der Branche als „Data as a Service“ (DaaS) bezeichnet. Dazu werden in einer Cloud Daten aus den verschiedensten Systemen, d.h. Anlagen, Geräten bzw. Maschinen, zusammengeführt, ausgewertet und aktiviert. DaaS umfasst somit mehr als nur die Bereitstellung des Servers zur Speicherung der Daten – es gilt, die anfallenden Daten zu überprüfen, zu sortieren, ggf. zu löschen bzw. zu sichern, diese nach Bedarf neu anzuordnen und einfach abrufbar zur Verfügung zu stellen. Für diese Aufgabe sollte ein verlässlicher externer Dienstleister, dem alle Netzwerkpartner vertrauen können, beauftragt werden.
Weitere Informationen zum Thema:
datensicherheit.de, 10.10.2016
Cluster Industrie 4.0 zu Gast bei datensicherheit.de auf der „it-sa 2016“
Aktuelles, Experten - Okt 9, 2024 19:01 - noch keine Kommentare
Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
weitere Beiträge in Experten
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren