[datensicherheit.de, 18.07.2020] Nachdem der Europäische Gerichtshof (EuGH) das Datenschutzabkommen „EU-US Privacy Shield“ für unwirksam erklärt hat sei dieses Urteil „relevant für Unternehmen, die Daten von Nutzern, Kunden, Mitarbeitern, aber auch Gerätedaten, die auf einzelne Anwender beziehbar sind, mit Partnern oder verbundenen Unternehmen in den USA oder anderen nicht-europäischen Ländern austauschen“. Hogan Lovells hat hierzu einige Handlungsempfehlungen für Unternehmen zusammengestellt.

Unternehmen müssen prüfen, ob Datenschutz beim Empfänger gewährleistet ist

Wer personenbezogene Daten von Europa in die USA oder andere Drittländer außerhalb der EU und des Europäischen Wirtschaftsraumes überträgt, „muss künftig noch genauer prüfen, ob der Datenschutz beim Empfänger gewährleistet ist“. Der EuGH habe entschieden, dass das „EU-US Privacy Shield“ für den Datentransfer in die USA ab sofort keine rechtliche Grundlage mehr bilden könne.
Gleichzeitig habe er in Frage gestellt, inwieweit Unternehmen ihre Datentransfers in die USA und in andere Drittländer auf die „Standardvertragsklauseln“ der Europäischen Kommission stützen können. Damit habe das Urteil „massive Auswirkungen auf die Rechtmäßigkeit von Datentransfers in sämtliche nicht-europäische Staaten“.

Aktuelle Handlungsempfehlungen für Unternehmen

„Unternehmen sollten Maßnahmen ergreifen, um die internationalen Datentransfers in ihrem Verantwortungsbereich mit der DSGVO und dem Urteil des EuGH in Einklang zu bringen.“ Zu den möglichen Schritten zur Risikoreduzierung gehören demnach insbesondere folgende Maßnahmen:

• Data Mapping: Falls noch nicht geschehen, sollten Unternehmen die internationalen Datentransfers und implementierten Transfermechanismen in ihrem Verantwortungsbereich identifizieren. Dies umfasst sowohl Datentransfers zwischen einzelnen Konzerngesellschaften, einschließlich der gruppeninternen Übermittlung von Arbeitnehmerdaten, als auch Transfers an Dienstleister, Geschäftspartner oder sonstige Dritte.
• Überprüfung des Schutzniveaus im Einzelfall: Unternehmen müssen nach den Vorgaben des EuGH für jeden Einzelfall beurteilen und dokumentieren, ob ausreichende Garantien zur Absicherung der internationalen Datentransfers implementiert wurden. In dieser Hinsicht wird es bei Datenübermittlungen in die USA besonders relevant sein, inwieweit der Datenempfänger Eingriffsbefugnissen der US-Geheimdienste unterliegt.
• Wechsel zu alternativen Garantien: Stellt sich beim „Data Mapping“ heraus, dass ausschließlich das „Privacy Shield“ zur Legitimierung der Übermittlung verwendet wurde, müssen Unternehmen aufgrund dessen Unwirksamkeit auf andere Garantien umsteigen.
• Umsetzung von zusätzlichen Schutzmaßnahmen: Auch bei Datentransfers auf Grundlage der „Standardvertragsklauseln“ ist zu prüfen, ob durch die Umsetzung zusätzlicher Schutzmaßnahmen, einschließlich des Abschlusses weitere vertraglicher Garantien („SCC Plus“), das Schutzniveau beim Empfänger angemessen gesichert werden kann.
• Beobachtung der Stellungnahmen der Datenschutzbehörden: Die für die nächste Zeit zu erwartenden Stellungnahmen der Aufsichtsbehörden auf nationaler Ebene und des Europäischen Datenschutzausschusses sollten beachtet werden. Einzelne Stellungnahmen der Datenschutzbehörden sind bereits veröffentlicht (z.B. Hamburg, Rheinland-Pfalz und Thüringen).

Unternehmen sollten Verträge und Transfermechanismen zum Austausch von Daten mit Empfängern in den USA, aber auch anderen Drittländern, prüfen

„Das Urteil macht deutlich, dass es in der globalisierten Welt unerlässlich ist, ein hohes Schutzniveau für personenbezogene Daten sicherzustellen. Unternehmen sollten ihre Verträge und Transfermechanismen zum Austausch von Daten mit Empfängern in den USA, aber auch anderen Drittländern, nochmals gründlich prüfen“, empfehlen Christian Tinnefeld und Martin Pflüger, Partner bei Hogan Lovells und Experten für Datenschutz und IT-Recht an den Standorten Hamburg und München.
Außerdem sei es dringend ratsam, die weiteren Stellungnahmen und das Vorgehen der Datenschutzbehörden im Blick zu behalten. Für den internationalen Datentransfer müssten in den kommenden Wochen und Monaten angemessene und zugleich verlässliche Lösungen gefunden werden.

Weitere Informationen zum Thema:

Hogan Lovells Blog, 16.07.2020
„Schrems II“-Urteil: EuGH erklärt EU-U.S. Privacy Shield für unwirksam

datensicherheit.de, 17.07.2020
BlnBDI fordert digitale Eigenständigkeit für Europa

datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert

[datensicherheit.de, 07.07.2014] Der Hightech-Verband BITKOM hat im Zusammenhang mit dem geplanten IT-Sicherheitsgesetz vor hohen Bürokratiekosten gewarnt. Laut einer aktuellen Studie der Beratungsgesellschaft KPMG im Auftrag von BDI, BITKOM und weiteren Branchenverbänden entstehen allein aus der beabsichtigten Meldepflicht für schwere IT-Sicherheitsvorfälle Kosten in Höhe von rund 1,1 Milliarden Euro pro Jahr für die deutsche Wirtschaft. Nach BITKOM-Prognosen kommen Ausgaben für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe hinzu. „Das IT-Sicherheitsgesetz hat herausragende Bedeutung für den Schutz kritischer Infrastrukturen“, sagte BITKOM-Präsident Prof. Dieter Kempf. „Dabei muss das Sicherheitsinteresse mit dem praktisch Machbaren und dem wirtschaftlich Vertretbaren in Einklang gebracht werden.“ Ziel des Gesetzes ist es, den Behörden anhand von Hinweisen der Unternehmen ein besseres Bild über die aktuelle Sicherheitslage im Internet zu verschaffen. Zudem sollen für die Versorgungssicherheit besonders wichtige Branchen dazu verpflichtet werden, bestimmte Sicherheitsstandards für ihre IT-Systeme einzuhalten.

In Kürze wird ein neuer Gesetzentwurf des Bundesinnenministeriums erwartet. Ein erster Entwurf aus dem Vorjahr ist nicht verabschiedet worden. Aus Sicht des BITKOM liegt die Herausforderung in der konkreten Ausformulierung des Gesetzes. So müsse festgelegt werden, welche Unternehmen welcher Branchen als Betreiber kritischer Infrastrukturen gelten. Bei der Meldepflicht müsse präzisiert werden, welche Sicherheitsvorfälle als schwerwiegend eingestuft werden können.

© BITKOM

Studie „IT-Sicherheit in Deutschland – Handlungsempfehlungen für eine zielorientierte Umsetzung des IT-Sicherheitsgesetzes“

Auf Grundlage des vorliegenden Gesetzentwurfs geht die KPMG-Studie von rund 2,3 Millionen Meldungen pro Jahr aus. „Entscheidend ist ein Meldeverfahren für IT-Sicherheitsvorfälle, das die Anonymität des Meldenden ermöglicht. Nur so können Reputationsverluste der Unternehmen vermieden werden, sollten gemeldete Cyberattacken öffentlich werden“, betonte Kempf. Als Lösungsvorschlag wurde im Rahmen der Studie ein Verfahren entwickelt, das pseudonymisierte Meldungen an einen Treuhänder vorsieht. Kempf: „Das Treuhändermodell ermöglicht weitgehende Anonymität. Gleichzeitig besteht die Möglichkeit für die Behörden, Kontakt zu dem Unternehmen aufzunehmen.“

Zudem dürfe das Meldeverfahren nicht nur in einer Richtung funktionieren. „Die Behörden müssen ihre Erkenntnisse zur Sicherheitslage an die Wirtschaft weitergeben. Nur so können die Unternehmen darauf mit zusätzlichen Maßnahmen reagieren“, sagte Kempf. Außerdem werde die Bereitschaft der Unternehmen zur Lieferung aktueller und ausführlicher Informationen steigen, wenn sie davon im Sinne praktischer Sicherheitshinweise profitieren. Darüber hinaus müssten die Behörden möglichst transparent bezüglich der Speicherung, Verarbeitung und Weitergabe der Meldungen agieren.

Die geforderten IT-Sicherheitsstandards müssen branchenspezifisch entwickelt werden, was bereits im vorliegenden Gesetzentwurf vorgesehen ist. In diesem Zusammenhang verweist der BITKOM auch auf die Verantwortung des Staates selbst. Kempf: „Der Staat ist der größte Betreiber kritischer Infrastrukturen. Die entsprechenden Meldepflichten und Sicherheitsstandards sollten daher auch für staatliche Stellen gelten.“

Weitere Informationen zum Thema:

BITKOM
Studie „IT-Sicherheit in Deutschland – Handlungsempfehlungen für eine zielorientierte Umsetzung des IT-Sicherheitsgesetzes“

[datensicherheit.de, 16.04.2014] Die aktuelle Heartbleed-Schwachstelle zeigt, wie wichtig es ist, die Softwaresicherheit zu verbessern. Konkrete Handlungsempfehlungen dazu diskutierten IT-Experten im Eberbacher Gespräch zu Software Security . Neben der Entwicklung besserer Testwerkzeuge fordern die Teilnehmer, die Sicherheit von Software bei öffentlichen Ausschreibungen stärker zu berücksichtigen sowie eine Diskussion der Haftungsfragen. Das Fraunhofer-Institut für Sichere Informationstechnologie SIT hat die Ergebnisse jetzt in einem Bericht veröffentlicht, der die wichtigsten Herausforderungen und passende Lösungsansätze beschreibt. Unter www.sit.fraunhofer.de  lässt sich das Positionspapier kostenlos herunterladen.

Software ist heute so komplex, dass Menschen selbst schwerwiegende Fehler trotz intensiver Prüfung nicht erkennen können.  So bemerkte auch der Prüfer im Heartbleed-Fall den Fehler nicht. Dabei handelte es sich um Open-Source-Software, deren Programmcode sogar öffentlich einsehbar und nachprüfbar ist. Wie bei vielen Open-Source-Projekten nutzten Unternehmen den kostenlosen Code und sorgten so unabsichtlich für eine Verbreitung des Fehlers. „Das Beispiel zeigt, wie wichtig es ist, die Sicherheitsqualität von Programmcode vor dem Einsatz besser zu prüfen, und wie gefährlich die Nutzung von fremdem Code ist“, sagt Prof. Michael Waidner, Leiter des Fraunhofer SIT und Direktor des BMBF-Komptenzzentrums European Center for Security and Privacy by Design (EC SPRIDE). „Auch wenn noch nicht klar ist, welche Schäden durch die Schwachstelle entstanden sind, zeigt das Beispiel doch erneut, dass es wesentlich teurer ist, Softwarefehler nachträglich zu beheben, als sie in der Entwicklungsphase zu beseitigen.“

Um die Entwicklung sicherer Software zu fördern, erarbeiteten die Teilnehmer des Eberbacher Gesprächs sieben konkrete Empfehlungen: Dazu zählt neben der Beantwortung der Haftungsfrage die Entwicklung von flexiblen Sicherheitsprozessen, die sich auch für kleine und mittlere Softwarehersteller eignen. Neben einer verbesserten Ausbildung von Programmierern sollten auch die Vergaberichtlinien für Behörden so geändert werden, dass Mindestanforderungen hinsichtlich der IT-Sicherheit erfüllt werden. Um  Unternehmen Anreize zu geben, die Sicherheit eingesetzter Software zu erhöhen, müssen Manager die Kostenvorteile von sicherer Software berechnen können, etwa mit Hilfe von neuen quantitativen Modellen. Darüber hinaus braucht es nach Meinung der Teilnehmer auch neue Zertifizierungsmethoden, die dem rasanten Tempo der Softwareentwicklung entsprechen sowie neue Tools zur Schwachstellen-Analyse. „Gerade im Bereich der automatisierten Testwerkzeuge ist die deutsche Forschung besonders stark“, sagt Michael Waidner. „Neue Methoden erlauben es zum Beispiel, Fehler im Programmcode schneller und besser zu finden. Diese Ansätze gilt es jetzt, in Produkte zu verwandeln.“ Auf lange Sicht könnte sich auch eine Haftungsklärung positiv auf IT-Sicherheit und Datenschutz auswirken.

Weitere Informationen zum Thema:

datensicherheit.de, 14.03.2014
Appicaptor: Start für App-Security-Test

datensicherheit.de, 07.03.2014
Schwachstellen-Scanner: Autokorrektur für Android-Entwickler

[datensicherheit.de, 16.05.2013] Die acatech – Deutsche Akademie der Technikwissenschaften setzt sich für die Entwicklung einer Kultur der Privatheit im Internet ein. Unter Privatheit wird die Fähigkeit verstanden, selbstbestimmt zu definieren und auch regulieren zu können, wann man mit wem und wieviel man von sich zeigt oder verbirgt. Neben einem vollständigen Verbergen, z.B. wenn anonym kommuniziert wird, kann sich das Verbergen auch nur auf bestimmte Aspekte, wie zum Beispiel Alter, Geschlecht, Aufenthaltsort beschränken. Diese Privatheit ist jedoch gerade im Internet durch verschiedene Umstände eingeschränkt.

Die Akademie empfiehlt daher in ihrer neu veröffentlichten POSITION „Privatheit im Internet“ (PDF) das Zusammenspiel von Bildung, Recht, Wirtschaft und Technik so zu gestalten, dass sich die grundlegenden europäischen Werte – freie Selbstbestimmung, politische Teilhabe und wirtschaftliches Wohlergehen der Bürger – optimal entwickeln können. Dazu legte acatech am 15. Mai 2013 in Berlin zahlreiche Empfehlungen vor und präsentierte den Software-Prototypen eines Privatheits-Agenten, der die Bürger beim Schutz ihrer Privatsphäre wirkungsvoll unterstützen kann.

Weltweit nutzen heute über 1,5 Milliarden Menschen das World Wide Web; in Deutschland sind es mindestens 50 Millionen. Besonders wichtig: Das Internet fördert die freie Selbstbestimmung, demokratische Partizipation und wirtschaftliches Wohlergehen. So unterstützen Informations- und Bildungsangebote im Netz die Menschen bei der Entwicklung eines selbstbestimmten Lebensentwurfs. Menschen, die eine politische Überzeugung miteinander teilen, können sich in Interessengruppen vernetzen. Durch das Internet sind in den vergangenen Jahren viele neue Jobs entstanden. Aber nahezu jedes Unternehmen, das seine Dienste im Internet ohne Bezahlung anbietet, verlangt dafür Daten und verdient mit ihnen Geld, zum Beispiel durch ihre Verwendung für gezielte Werbung. So sind persönliche Daten Ware und Währung. Das schürt Misstrauen und viele Internetnutzer sind skeptisch, ob Diensteanbieter mit ihren persönlichen Daten im Internet sorgfältig umgehen und bezweifeln, dass ihre Privatheit stets angemessen geschützt ist.

Das Vertrauensverhältnis zwischen Nutzern und Diensteanbietern ist aber die Grundvoraussetzung dafür, das Wertschöpfungspotenzial des Internets zum Wohle und Fortschritt der Gesellschaft voll auszuschöpfen. Aus diesem Grunde wurde von der acatech eine vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Projektgruppe unter Leitung von Johannes Buchmann (CASED und Technische Universität Darmstadt) eingesetzt.

Foto: Carsten Pinnow

Prof. Dr. Dr.-Ing. E. h. Henning Kagermann, Präsident der acatech

Prof. Henning Kagermann, Präsident der acatech, betonte in seinem Grußwort zum Abschlussforum „INTERNET PRIVACY“ am 15. Mai 2013, dass sich die acatech als Kompetenznetzwerk verstünde, das seine Aufgabe in der Erhaltung der Zukunftsfähigkeit Deutschlands und der konstruktiven Technikbegleitung sehe. Datensicherheit, Privatsphäre und Betriebssicherheit spielten in einer zunehmend „Digitalen Gesellschaft“ eine herausragende Rolle. Dabei führe der Umgang mit persönlichen Daten in Verbindung mit der im Internet vorherrschenden „Umsonstmetalität“ zu Unsicherheit, die latent alle gesellschaftlichen Gruppe beträfe. Es müsse schon in der Schule angesetzt werden, um die Internetkompetenz der Gesellschaft zu stärken. Professor Kagermann zeigte sich zufrieden, dass eine derart inhomogene Projektgruppe mit vielen unterschiedlichen Denkkulturen in der Lage gewesen sei zu gemeinschaftlichen Positionen zu kommen.

Foto: Carsten Pinnow

Projektleiter Prof. Dr. Dr. h.c.Johannes Buchmann, Technische Universität Darmstadt/CASED/acatech

Die Wissenschaftler aus Recht, Wirtschaft, Technik, Ethik und Soziologie und Wirtschaftsvertreter erarbeiteten Vorschläge, die einen Beitrag zur Etablierung einer Kultur der Privatheit im Internet leisten und damit der Auflösung des Spannungsverhältnisses zwischen dem großen Wert des Internets für seine Nutzer einerseits und der Sorge um die Beeinträchtigung ihrer Privatheit andererseits dienen.

„Den Umgang mit Internet-Privatheit an grundlegenden europäischen Werten zu orientieren, ist für die Entwicklung einer Kultur des Vertrauens im Internet richtungsweisend“, sagte Prof. Wolf-Dieter Lukas, Ministerialdirektor, Abteilungsleiter Schlüsseltechnologien, BMBF. „Die konkreten Empfehlungen des Projekts liefern wichtige Impulse für die weitere Diskussion in Politik, Wirtschaft und Gesellschaft.“

„Die Zusammenarbeit in der interdisziplinären Arbeitsgruppe hat sich als sehr fruchtbar erwiesen“, so der Projektleiter Johannes Buchmann. „Wir hoffen, dass unsere gemeinsam erarbeiteten Handlungsempfehlungen national und international von Politik, Wirtschaft und Gesellschaft aufgegriffen werden. Gleichzeitig sehen wir erheblichen weiteren Forschungsbedarf, zum Beispiel bei der Weiterentwicklung unseres Privacy-Agenten.“

Die veröffentlichen Handlungsempfehlungen richten sich an Politik, Öffentlichkeit, Wirtschaft und Wissenschaft und umfassen die folgenden Bereiche:

• BILDUNG – Internetkompetenz für alle ermöglichen
  Ein bewusster Umgang mit dem Internet braucht Internetkompetenz und Internetkompetenz erfordert Bildung. Ein zentrales Ziel ist die Förderung von Internetkompetenz für alle – in Schulen, in der Berufsausbildung und durch öffentliche Kampagnen.
• RECHT – Vertrauen im Internet durch verlässliche Rahmenbedingungen fördern
  Nutzer sollten zum Beispiel ohne Hürden zwischen Diensten wechseln können. Zu verlässlichen Rahmenbedingungen trägt auch die Harmonisierung des Privatheitsrechts bei und die vertrauenswürdige Zertifizierung von Diensten. Wichtig ist aus der Sicht von acatech, dass die Realisierung solcher Vorschriften den Anbietern von Internetdiensten überlassen bleibt.
• WIRTSCHAFT – Vertrauenswürdigkeit von Internetdiensten erhöhen
  Die Vertrauenswürdigkeit von Internetdiensten ist eine wesentliche Voraussetzung für ihren Erfolg. acatech vertritt die Auffassung, dass ein solches Vertrauen gesteigert werden kann, wenn den Nutzern Optionen gegeben werden, ihre Privatheit individueller zu gestalten. Dazu gehört etwa die Nutzung von Pseudonymen. Außerdem sollen Dienstanbieter die Nutzung von spezieller Software, sogenannten Privacy-Agenten, unterstützen durch zum Beispiel Standardisierung von Schnittstellen. Solche Agenten unterstützen die Nutzer beim Schutz ihrer Privatheit.
• TECHNIK – Privacy by Design
  Privatheitsschutz ist wirkungsvoll und gleichzeitig kostengünstig, wenn er schon bei Design und Entwicklung von Internetdiensten berücksichtigt wird. Dazu sind viele technische Werkzeuge notwendig: von langfristig sicherer Kryptographie über Methoden für die anonyme Nutzung von Diensten bis zu Techniken, die das Vergessenwerden im Internet ermöglichen. Solche Lösungen können ihre Wirkung jedoch nur entfalten, wenn sie von Anfang an nutzerfreundlich angelegt sind.

Im acatech-Projekt wurde der Prototyp eines Privacy-Agenten entwickelt. Er zeigt Nutzern, welche Informationen aus ihren Statusdaten in sozialen Netzwerken abgeleitet werden können, macht unverständliche AGBs zugänglich, verhindert die Übermittlung ungewollter Nachrichten und identifiziert Dienste, die die Privatheitsvorstellungen der Nutzer missachten. Der Agent wurde auf dem Abschlussforum vorgestellt und konnte von Teilnehmern ausprobiert werden.

Die interdisziplinäre Forschungsgruppe unter der Leitung von Johannes Buchmann, CASED und Fachbereich Informatik an der Technischen Universität Darmstadt, hat sich über die Projektdauer von 18 Monaten intensiv damit auseinandergesetzt, wie man Privatheit angemessen gestalten kann.

Die Mitglieder der Projektgruppe waren:

• Rafael Capurro, Mitbegründer der Capurro-Fiek-Stiftung für Informationsethik;
• Michael Eldred, Köln;
• Daniel Nagel, Stuttgart;
• Martina Löw und Carsten Ochs, Institut für Soziologie an der Technischen Universität Darmstadt;
• Günter Müller, Gründungsdirektor des Instituts für Informatik und Gesellschaft an der Universität Freiburg;
• Christian Flender und Martin Peters, Universität Freiburg;
• Alexander Roßnagel, Projektgruppe verfassungsverträgliche Technikgestaltung und Leiter Fachgebiet Öffentliches Recht, insb. Umwelt- und Technikrecht an der Universität Kassel;
• Philipp Richter und Maxi Nebel, Universität Kassel;
• Alexander Pretschner, Leiter des Lehrstuhls für Softwaretechnik, Fakultät für Informatik an der Technischen Universität München;
• Florian Kelbert, Technische Universität München;
• Michael Waidner, CASED und Leiter Fachgebiet für Sicherheit in der Informationstechnik an der Technischen Universität Darmstadt;
• Hervais Simo und Fatemeh Shirazi, Technische Universität Darmstadt;
• Wieland Holfelder und Thomas Heimann, Google Germany GmbH;
• Göttrik Wewer, Deutsche Post DHL;
• Michael Bültmann, Nokia GmbH und
• Dirk Wittkopp, IBM Deutschland.

Im Rahmen des Forschungsprojektes sind zwei acatech-STUDIEN mit der Bestandsaufnahme zu Beginn des Projektes sowie Privacy Analysen und Optionen für Online Social Networks und E-Commerce (jeweils auf Deutsch und Englisch) und die acatech-POSITION mit den Handlungsempfehlungen (auf Deutsch und Englisch) zum Ende des Projektes erschienen.

Informationen zum Projekt, zur Projektgruppe und Download der Publikationen: www.acatech.de/privacy

[datensicherheit.de, 28.09.2010] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Unternehmen Handlungsempfehlungen zur Überprüfung ihrer IT-Systeme auf Manipulationen durch die Stuxnet-Schadsoftware zur Verfügung:
Unternehmen, die das Prozessvisualisierungssystem Windows Control Center (WinCC) von Siemens zur Anlagensteuerung einsetzen, werden vom BSI Handlungsempfehlungen zur Überprüfung der Systeme auf Manipulationen angeboten.
„Stuxnet“ ist eine spezialisierte Schadsoftware, mit der WinCC sowie speicherprogrammierbare Steuerungen (SPS bzw. engl. PLC) angegriffen und manipuliert werden können.
Die sofort umsetzbaren Handlungsempfehlungen zur PLC-Überprüfung können beim BSI per E-Mail unter stuxnet [at] bsi [dot] bund [dot] de angefordert werden.
Um die aktuelle Gefährdungslage besser einschätzen zu können und potenziell betroffene Unternehmen bei weiteren verfügbaren Informationen zu „Stuxnet“ direkt adressieren zu können, bittet das BSI die Besteller dabei auch um die Benennung des Einsatzfeldes der WinCC-Software im jeweiligen Unternehmen. Zur Überprüfung der WinCC-Software stellt Siemens auf seiner Website ein entsprechendes Tool bereit.
Moderne Industrietechnik hat heute einen hohen Grad an Komplexität und
Automatisierung erreicht, so dass ihre Steuerung oft nur mithilfe von
Computersystemen möglich ist. Prozesssteuerungslösungen – auch als SCADA-Systeme bezeichnet – unterstützen eine Vielzahl von Abläufen und enthalten dabei immer mehr Bestandteile aus der Standardinformationstechnik.
Anwendern bietet dies Vorteile wie Kosteneinsparungen oder einfaches
zentralisiertes Management. Der Einsatz der Standard-IT birgt jedoch auch Risiken – beispielsweise werden jährlich Tausende sicherheitstechnisch relevante Schwachstellen in Standardsoftware bekannt. IT-basierte Angriffe auf Prozesssteuerungssysteme werden in einschlägigen Arbeitskreisen schon seit Jahren diskutiert, die tatsächliche Realisierbarkeit wurde bisher aber nur unter Laborbedingungen nachgewiesen.
Mit „Stuxnet“ ist nun erstmalig eine auf Prozesssteuerungssysteme spezialisierte Schadsoftware öffentlich bekannt geworden. Bemerkenswert sind dabei der Aufwand und das fachliche Knowhow, das in die Entwicklung des Trojaners eingeflossen ist. Neben der Ausnutzung mehrerer bislang unbekannter Schwachstellen in Microsoft Windows – sogenannte „Zero-Day-Lücken“ – und der Verwendung gültiger Zertifikate, welche der Schadsoftware das Einnisten auf den Host-Systemen der WinCC-Software ermöglichten, verfügte der Angreifer über genaue Kenntnisse der WinCC-Plattform sowie der Programmiersprache STEP 7. Durch sogenannte Root-Kits versteckt sich der „Stuxnet“-Trojaner nicht nur auf den WinCC-Systemen, sondern erschwert auch eine Erkennung von Manipulationen der angegriffenen PLCs.

Weitere Informationen zum Thema:

Siemens
SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan

Bundesamt für Sicherheit in der Informationstechnik
Empfehlungen zum Schutz Kritischer Informations-Infrastrukturen / Empfehlungen zum Schutz der unternehmenseigenen IT

datensicherheit.de, 27.09.2010
Sicherheitsexperte sieht Beginn eines Globalen Webkriegs / Zahlreiche Staaten bereiten das Schlachtfeld für zukünftige Auseinandersetzungen vor