Neues Chip-Gesetz der EU soll Europas strategische Autonomie und Sicherheit stärken

[datenicherheit.de, 11.07.2023] Laut einer aktuellen Mitteilung des Europäischen Parlaments soll das verabschiedete „Chip-Gesetz“ der EU „Europas strategische Autonomie und Sicherheit stärken“. Vorgesehen sei in diesem Zusammenhang auch ein Krisenreaktionsmechanismus zur Bewältigung von möglichen Engpässen. Demnach werden 3,3 Milliarden Euro für Forschung und Innovation im Bereich „Chips“ bereitgestellt – als verstärkte Unterstützung auch gerade für kleine und mittlere Unternehmen (KMU).

Abbildung: BMWK

Mikroelektronik in Deutschland: 31 Chip-Projekte aus 11 Bundesländern verteilen sich auf insgesamt 54 Standorte

Am 11. Juli 2023 in Straßburg Pläne zur Sicherung der Chip-Versorgung in der EU gebilligt

Nach eigenen Angaben hat das Europäische Parlament am 11. Juli 2023 in Straßburg Pläne zur Sicherung der Chip-Versorgung in der EU gebilligt: „Produktion und Innovation sollen finanziell gefördert werden. Bei Lieferengpässen können Notfallmaßnahmen eingeführt werden. Dies soll auch Berlin zugutekommen.“

Das neue Gesetz, auf das sich Europäisches Parlament und Rat bereits informell im sogenannten Trilog geeinigt hätten, solle ein günstiges Umfeld für Chip-Investitionen in Europa schaffen. Genehmigungsverfahren würden beschleunigt und erhielten den „Status der höchstmöglichen nationalen Bedeutung“. Um Innovationen zu fördern, würden KMU ebenfalls stärker unterstützt, insbesondere auf dem Gebiet des Chip-Designs.

„Unterstützt werden sollen vor allem Projekte, die die Versorgungssicherheit der EU erhöhen.“ Während der Gespräche mit den Vertretern des Rates hätten die Europa-Abgeordneten 3,3 Milliarden Euro für Forschung und Innovation im Bereich „Chips“ bewilligt. Ein Netzwerk von Kompetenzzentren werde eingerichtet, um den Fachkräftemangel in der EU zu beheben und neue Talente für Forschung, Design und Produktion zu gewinnen.

Jüngste Investitionen in die Chip-Industrie der EU – ein milliardenschweres Beihilfeprogramm für Mikroelektronik

Zu den jüngsten Investitionen in die Chip-Industrie in der EU zähle ein milliardenschweres Beihilfeprogramm für Mikroelektronik. Die EU-Kommission habe das sogenannte IPCEI (Important Project of Common European Interest) „Mikroelektronik und Kommunikationstechnologien“ genehmigt und damit den Weg freigemacht für die Förderung von rund 100 Projekten in Europa.

In Deutschland ebnet dies nach Angaben des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) den Weg für vier Milliarden Euro Förderung für 31 Projekte aus elf Bundesländern.

Die Projekte verteilten sich auf insgesamt 54 Standorte, drei davon in Berlin. Bayern stehe im bundesweiten Vergleich mit 17 Standorten an oberster Stelle, gefolgt von Baden-Württemberg und Sachsen, auf die jeweils neun Standorte entfielen.

Europäische Chip-Produktion: Krisenreaktionsmechanismus zur Bewältigung von Versorgungsproblemen

Teil dieses neuen Gesetzes sei auch ein Krisenreaktionsmechanismus: „Die Kommission bewertet dabei die Risiken für die Versorgung der EU mit Halbleitern. Ein Engpass-Alarm wird ausgelöst, sobald Frühwarnindikatoren in den Mitgliedstaaten auf Lieferprobleme hinweisen.“

Dieser Mechanismus werde der Kommission ermöglichen, Notfallmaßnahmen zu ergreifen, wie z.B. die vorrangige Versorgung mit Produkten, „die von einer Verknappung besonders betroffen sind, oder die gemeinsame Beschaffung von Halbleitern für die Mitgliedstaaten“.

Die Abgeordneten hätten das System weiter verbessert, „indem sie ein Kartierungsinstrument eingeführt haben, das helfen wird, mögliche Versorgungsengpässe zu identifizieren“. Diese Maßnahmen sollten als letztes Mittel im Falle einer Krise im Halbleiter-Sektor eingesetzt werden.

Zusammenarbeit mit strategischen Partnern für Wettbewerbsvorteile und Schutz des Chip-Sektors der EU

Das Parlament habe auch eine stärkere internationale Zusammenarbeit mit strategischen Partnern unterstützt, um Wettbewerbsvorteile und Schutz für den EU-Sektor zu gewährleisten.

„Mit dem ,European Chips Act’ wollen wir die Position der EU in der Halbleiter-Landschaft weltweit stärken und die durch die ,Pandemie’ aufgedeckten Schwachstellen in den Lieferketten beheben. Wir wollen mehr Einfluss bekommen und führend sein, deshalb haben wir 3,3 Milliarden Euro für Forschung und Innovation bereitgestellt“, kommentiert Berichterstatter Dan Nica („S&D“, MEP aus Rumänien).

Laut Nica sollen die technologischen Kapazitäten ausgebaut und Maßnahmen zur Bekämpfung potenzieller Engpässe ergriffen werden. Europa sei auf die künftigen Herausforderungen in der Halbleiter-Iindustrie vorbereitet und lege dabei den Schwerpunkt auf „strategische Autonomie, Sicherheit und ein günstiges Geschäftsumfeld“.

Chip-Versorgung – bisher beispielloser Mangel an Halbleitern

Die Gesetzgebung sei mit 587 zu zehn Stimmen angenommen worden, bei 38 Enthaltungen. Die Initiative müsse nun vom Ministerrat gebilligt werden, um in Kraft zu treten.

Eine Studie des Parlaments zeige, dass der Anteil Europas an der weltweiten Produktionskapazität von Halbleitern unter zehn Prozent liege. Der Legislativ-Vorschlag ziele darauf ab, diesen Anteil auf 20 Prozent zu erhöhen. Eine weitere Analyse des Parlaments aus dem Jahr 2022 habe gezeigt, dass die „Pandemie“ seit Langem bestehende Schwachstellen in den globalen Lieferketten aufgedeckt habe, wofür der „beispiellose Mangel an Halbleitern“ in besonderer Weise exemplarisch sei.

Letztere Analyse zeige, was in den kommenden Jahren auf uns zukommen könnte: „Diese Engpässe haben u.a. zu steigenden Kosten für die Industrie und höheren Preisen für die Verbraucher geführt und das Tempo des Aufschwungs in Europa verlangsamt.“

Weitere Informationen zum Thema:

Europäisches Parlament, 11.07.2023
Legislative Entschließung des Europäischen Parlaments vom 11. Juli 2023 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Schaffung eines Rahmens für Maßnahmen zur Stärkung des europäischen Halbleiter-Ökosystems (Chip-Gesetz)

European Parliament
Legislative Observatory: 2022/0032(COD) / Chips Act

Bundesministerium für Wirtschaft und Klimaschutz, 08.06.2023
Habeck: „Wichtiger industriepolitischer Meilenstein: EU-Kommission genehmigt 31 Mikroelektronik Projekte aus 11 Bundesländern. Mikroelektronik-Standort Deutschland wird in der Breite gestärkt.“

Ab wann sich Maschinen und Steuerung „ausweisen“ sollten

Von unserem Gastautor Andreas Philipp, Business Development Manager bei PrimeKey

[datensicherheit.de, 29.06.2020] In einer vernetzten Produktionsumgebung sorgen vertrauenswürdige digitale Identitäten dafür, dass sich die einzelnen Komponenten und Systeme (Geräte) gegenseitig „kennen und vertrauen“. Was bedeutet es jedoch genau, „dass einer Geräteidentität vertraut werden kann“ und spielt es eine Rolle, wann und wie diese Identität für das Gerät ausgegeben wurde?

Die Antwort ist einfach: Die Identität muss natürlich in einem gesicherten Prozess und vorzugsweise während der Produktion ausgestellt werden. Während der Produktion werden mehrere Komponenten verbunden, und es entsteht ein fertiges Endprodukt, zum Beispiel ein Gerät. Zu diesem Zeitpunkt hat dieses seine endgültigen Eigenschaften. Damit kann nun auch die Produktidentität definiert werden. Eine vertrauenswürdige Identität ermöglicht eine sichere Lieferkette für das Gerät und eine gesicherte Kommunikation in verbundenen Produktionsumgebungen oder anderen IoT (Internet of Things)-Implementierungen.

Andreas Philipp, Business Development Manager, Bild: Primekey

Wie sieht dies in der Praxis aus? In einer Fabrik werden beispielsweise Steuergeräte für automatisierte Produktionsmaschinen hergestellt. Diese Steuereinheiten werden in mehreren Varianten produziert, eine mit einem zusätzlichen Erweiterungsmodul und eine ohne. Ob es sich um eine Steuerung mit oder ohne Erweiterung handelt, wird während des Produktionsprozesses festgelegt. Sowohl die Steuerung als auch die Erweiterung haben ihre eigene digitale Identität über eine Seriennummer und andere Attribute aus der Produktion dieser Komponenten. Es könnte sogar so sein, dass der Controller und die Zusatzteile mit einem TPM (Trusted Platform Module) oder Secure Element (SE) ausgestattet sind, bei denen kryptographische Schlüssel und Zertifikate, die ihre Identitäten festlegen, bereits während des Produktionsprozesses dieser Komponenten ausgegeben wurden. Auf den ersten Blick scheint dies für die Identifizierung dieses Produkts ausreichend zu sein, aber es gibt einen Haken: Diese Identitäten beschreiben nur die einzelnen Komponenten im Produkt. Es ist jedoch zwingend notwendig, eine weitere Identität pro Produkt auszustellen, die das komplette Produkt abbildet, während es an der Produktionslinie montiert wird.

Anpassung bewährter IT-Sicherheitsverfahren für verbundene Produktionsumgebungen

Die Public Key Infrastructure (PKI) wird seit Jahrzehnten als Best Practice für die Ausgabe und Verwaltung digitaler Identitäten in IT-Umgebungen eingesetzt. Sie hat sich inzwischen als die flexibelste und skalierbarste Lösung im Zusammenhang mit verbundenen Produktionsumgebungen, Industry 4.0 oder IIoT (Industrial Internet of Things), erwiesen. Eine PKI wird in der Regel als eine Hierarchie von CAs (Certificate Authorities) aufgebaut, die Zertifikate für untergeordnete CAs und für „Endverbraucher“ ausstellen, bei denen es sich um einen Nutzer, einen Server oder, wie im obigen Beispiel, um eine Steuereinheit handeln kann, die gerade produziert wird. Wenn ein Mitarbeiter eine digitale Identität in Form eines Zertifikats benötigt, um zum Beispiel über VPN auf das Unternehmensnetzwerk zugreifen zu können, fordert er das Zertifikat bei der Registration Authority (RA) an. Nachdem die Identität validiert wurde (gemäß der Firmenpolitik), wird das Zertifikat von der Zertifizierungsstelle erstellt und dem Nutzer zur Verfügung gestellt. Wenn der Nutzer versucht, auf das Firmennetzwerk zuzugreifen, wird er aufgefordert, seine Identität vorzulegen, und der Authentifizierungsprozess wird ausgeführt, einschließlich einer Validierung der Gültigkeit der Identität.

Ausstellung von Identitäten für Produkte in der Fertigung

Um mit einer Lösung für die Ausgabe digitaler Identitäten für Produkte in der Produktion erfolgreich zu sein, müssen Unternehmen in der Lage sein, den Registration Authority Prozess anzupassen und in bestehende Prozesse und Abläufe zu integrieren.

Die RA muss Teil der Produktionslinie sein, und die Identitätsüberprüfung muss implementiert werden, um die Sicherheitsrichtlinien des Unternehmens zu unterstützen. Der Prozess des Vergleichs und Abgleichs der Identitätsinformationen der Geräte, wie zum Beispiel MAC-Adressen, Motor-Identifikationsnummern oder ähnliche, muss in Fertigungsinfrastruktur-Systemen wie MES (Manufacturing Execution System), PLM (Product Lifecycle Management) oder ERP (Enterprise Resource Planning) integriert werden. Die Fertigungsumgebung stellt ebenfalls hohe betriebliche Anforderungen an Verfügbarkeit und Zuverlässigkeit. Daher muss unter anderem berücksichtigt und unterstützt werden, wie im Falle eines Ausfalls oder Fehlers reagiert werden muss, welche Protokollinformationen aufgezeichnet werden sollten und wann.

Kurz gesagt, die lokale Registration Authority muss sich an die bestehenden Produktionsprozesse, Schnittstellen und Datenstrukturen anpassen lassen, die durch die bestehende Produktionsumgebung definiert sind. Der Identity Authority Manager von PrimeKey bietet diese Flexibilität. Die IPC-basierte Appliance bietet eine RA, die verschiedene Geräteadapter und eine Prozessmodellierungsumgebung umfasst, um eine vertrauenswürdige Identitätsprüfung und -ausgabe in der Fertigung zu ermöglichen.

Adaptieren von Abläufen und Aktivieren weiterer Sicherheitsparameter

Eine softwarebasierte Lösung ermöglicht es Herstellern, die Identitätsfeststellung in den Produktionsprozess zu integrieren. Mit dieser lokalen Registration Authority kann die Produktionsorganisation ihren Herstellungsprozess adaptieren und modellieren, während gleichzeitig das Sicherheitsniveau für das Erstellen der Geräteidentität gewahrt bleibt.

Das Konzept des Local Registration Point kann auch andere Sicherheitsservices implementieren. Dazu gehören Code Signing, also das Signieren von Software und Patches, um Manipulation zu verhindern. Endgeräte mit den entsprechenden Zertifikaten und Identitäten können somit Software-Updates und Lizenzen auf ihre Integrität und Authentizität hin überprüfen. Dies verhindert Produktplagiate und ermöglicht eine sichere Rückverfolgbarkeit von Komponenten und Produkten, das heißt eine vertrauenswürdige Kommunikations- und Lieferkette.

Security-Appliance, Bild: Primekey

Eine Security-Appliance für ein Public Key Infrastructure: Hersteller können mit den Identity Authority Manager – Industrial von PrimeKey ihren Erzeugnissen im Fertigungsprozess digitale Identitäten eindeutig zuweisen

Weitere Informationen zum Thema:

PrimeKey
Unternehmenswebsite

datensicherheit.de, 19.02.2020
Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung

datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit

Von gehackten Autos und lahmgelegter Produktion

[datensicherheit.de, 17.06.2020] Das produzierende Gewerbe bildet die Grundlage der deutschen Wirtschaft – und ist gerade deshalb ein besonders attraktives Ziel für Cyberkriminelle. Was aktuell der entscheidende Innovationstreiber für die Industrie ist und zahlreiche Vorzüge bietet, macht es cyberkriminellen Angreifern allerdings besonders leicht: die Digitalisierung des industriellen Sektors und die Verschmelzung von IT und OT. Hans-Peter Bauer, Vice President Central Europe bei McAfee, berichtet über gehackte Autos, lahmgelegte Produktionsumgebungen und gibt Tipps, wie sich die Industrie am besten schützen kann.

Hans-Peter Bauer, Vice President Central Europe bei McAfee, Bild: McAfee

Grenzen zwischen OT und IT verschwimmen

Wer die Digitalisierung der Industrie verschläft, bleibt zurück – davon sind mittlerweile auch 94 Prozent der deutschen Industrieunternehmen überzeugt, so eine neue Studie des Branchenverbands Bitkom. Und hinter diesen Aussagen stehen auch Taten, denn 73 Prozent geben an, ihr Geschäftsmodell entsprechend der digitalen Transformation anzupassen. So verschwimmen die Grenzen zwischen operationeller Technologie (OT) und Informationstechnologie (IT) im Zuge der Industrie 4.0, dem IoT und Cloud Computing immer mehr. Diese Entwicklung bringt Unternehmen zahlreiche Vorteile: effizientere Produktionsprozesse, mehr Automatisierung, besseres Monitoring und eine Beschleunigung der Time-to-Market.

Neue Infrastrukturen sind Nährbodens für Cyberkriminalität

Leider geht mit diesen neuen Infrastrukturen aber auch die Entstehung eines neuen Nährbodens für Cyberkriminalität einher. Maschinen, die direkt mit der Cloud verbunden sind gepaart mit hochkomplexer Vernetzung von Geräten, erzeugen angreifbare Ziele für Cyberkriminelle. Dabei haben sie es auf ganz unterschiedliche Ausbeute abgesehen: geistiges Eigentum oder persönliche Daten, die im Darknet für viel Geld verkauft werden können; aber auch durch das Lahmlegen von Produktionsumgebungen und Einschleusen von Ransomware können Cyber-Kriminelle hohe Summen an Lösegeld fordern, die Unternehmen zahlen müssen, um Reputations- und auch langfristige finanzielle Schäden durch einen Produktionsausfall zu vermeiden.

KI und IoT-Sensoren zunehmend Zielscheibe für Cyberkriminelle

Aber auch künstliche Intelligenz und IoT-Sensoren, die in der Industrie für verbesserte Automatisierung und schneller Prozesse verbaut werden, entwickeln sich zunehmend zur Zielscheibe für Cyberkriminelle. So konnte das Advanced Threat Research-Team von McAfee erst im Februar ein Fahrassistenzsystem austricksen, das unter anderem im aktuellen Tesla Modell S verbaut ist. „Model Hacking“ heißt die Methode, bei der getestet wird, wie eine künstliche Intelligenz umgangen oder ausgetrickst werden kann. Dafür hat das Forscher-Team von McAfee ein kurzes Stück Isolierband auf ein Verkehrsschild geklebt, das eine Geschwindigkeitsbegrenzung von 35 Meilen pro Stunde anzeigt. Das im Fahrassistenzsystem eingesetzte MobilEye-Kamerasystem las die Höchstgeschwindigkeit auf dem Schild dann als 85 Meilen pro Stunde, was natürlich verheerende Folgen für den Verkehr haben kann. Der Sichter im technischen Labor erkannte allerdings weiterhin die 35 Meilen pro Stunde. Die Forschungsergebnisse zeigen auf, dass Produkte und Maschinen zwar oft so funktionieren, wie Ingenieure und Designer sie entworfen haben, aber ohne einen „Security-(und Privacy)-by-Design-Ansatz“ besteht eine hohe Gefahr, dass potentielle Schwachstellen von Cyberkriminellen gefunden und ausgenutzt werden können. Deshalb ist es besonders wichtig, dass Industriefirmen eng mit IT-Sicherheitsfirmen und entsprechender Forschung zusammenarbeiten, um den Sicherheitsaspekt bereits während dem Produktionsprozess miteinzubeziehen. Nur dann können Schwachstellen rechtzeitig identifiziert und behoben werden, bevor sie ein größeres Problem darstellen.

Der Einzug der Digitalisierung in den industriellen Sektor stellt einige Unternehmen also vor Herausforderungen im Bereich der IT-Sicherheit. Aber die gute Nachricht ist, dass Cyber-Kriminelle durch bestimmte grundlegende Sicherheitsmaßnahmen die Arbeit schwergemacht werden kann. Zu diesen gehören:

• Absicherung der Cloud: Im Rahmen der Digitalisierung verschieben sich auch Teile der Produktion immer mehr in die Cloud. Dabei profitieren Unternehmen von Flexibilität und Transparenz. Aber Cyber-Kriminelle sind sich dessen bewusst und versuchen stets an der Schnittschnelle zwischen Maschine und Cloud anzudocken. Durch Cloud Access Security Broker (CASB) können die lokal geltenden Sicherheitsregulierungen auch auf die Cloud angewendet werden und der Datentransfer kann somit besser überwacht und geschützt werden.
• Human Machine Security Teaming: Vernetzte Produktionsumgebungen erfordern eine ganzheitliche Sicherheitsstrategie, um potenzielle Gefahren rechtzeitig identifizieren zu können. Da diese Umgebungen allerdings extrem komplex sind, stellt die Automatisierung bestimmter Prozesse eine Entlastung der IT-Teams dar. Beim sogenannten „Human Machine Security Teaming“ (HMST) kommt künstliche Intelligenz zum Einsatz, die in einem engen Arbeitsverhältnis mit den Mitarbeitern steht. Die KI-Systeme können Bedrohungen in der Infrastruktur wesentlich schneller erkennen und diese anschließend dem IT-Team melden, welches dann fundierte Entscheidungen treffen kann.
• Regelmäßige Tests: Eine Schwachstelle in IoT-Geräten oder –Maschinen, wie die im MobilEye-Kamerasystem, kann am besten durch regelmäßige Tests während der Produktion verhindert werden. In diesen Tests müssen neue Szenarien und Grenzfälle berücksichtigt werden, für die die Technologie ursprünglich nicht ausgelegt war, die aber durchaus im realen Fall eintreten können. Besonders Automobilhersteller sollten die Sicherheit ihrer Systeme in Bezug auf Model Hacking evaluieren.

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2020
Der Data Breach Investigation Report von Verizon aus OT-Security-Sicht

[datensicherheit.de, 02.12.2019] Das sogenannte Industrielle Internet der Dinge (IIoT) bahnt sich offensichtlich seit Längerem seinen Weg in betriebliche Umfelder. Das finnische Unternehmen nixu cybersecurity weist in einer aktuellen Stellungnahme darauf hin, dass Datensicherheit jedoch in fast keinem industriellen Bereich bisher ausreichend etabliert worden sei. In produzierenden Unternehmen komme es häufig vor, „dass eine Fabrik oder sogar ein Teil ihrer Produktionssysteme schon lange bestehen, bevor überhaupt damit begonnen wurde, über die Datensicherheit zu sprechen“. Obwohl diese Situation schwierig erscheinen mag, gebe es Maßnahmen, die jedes Unternehmen ergreifen könne, um die Datensicherheit zu verbessern:

Bestandsaufnahme: Systemaufbau und der Geräteinformationen erfassen

Die Bestandsaufnahme enthält laut nixu die Dokumentation des Systemaufbaus und der Geräteinformationen. Ein gutes Verständnis von dem aktuelle Stand der Dinge bilde die Grundlage für alles, aber den meisten Unternehmen fehle eine vollständige Liste der Hard- und Software.
Manchmal seien die Informationen auf mehrere Dokumente verteilt und es gebe „keine Garantie dafür, dass sie aktuell sind“. Hinsichtlich der Datensicherheit sei es jedoch sehr wichtig, „dass alle Informationen an einem einzigen Ort aufbewahrt sind und aktualisiert werden“. Die Auflistung sollte Hardware- und Software-Informationen in einem leicht durchsuchbaren Format enthalten. Neben der Auflistung von Hardware und Software empfehle es sich, die Abhängigkeiten zwischen Geräten, Systemen oder Funktionen zu ermitteln – zumindest auf Netzwerkebene.
Dies verleihe eine klare Vorstellung davon, welche Dienste oder Aktivitäten interagieren. Insbesondere wichtig sei dies, wenn Kontinuitätspläne erstellt oder die Bedeutung einer einzelnen Sicherheitsschwachstelle für ein Produktionsumfeld bewertet werden solle.

Segmentierung des Produktionsnetzwerks empfohlen

Die Segmentierung beziehe sich auf die Aufteilung des Netzwerks in kleinere Teile, sogenannte Segmente, und die Einschränkung des Datenverkehrs zwischen diesen Netzwerksegmenten. Der Zweck der Segmentierung bestehe beispielsweise darin, die Verbreitung von Malware innerhalb des Netzwerks zu begrenzen.
Gleichzeitig würden Wartungsaufgaben deutlicher, wenn unnötiger Datenverkehr im Netzwerk vermindert wird. Richtlinien für die Netzwerksegmentierung ließen sich beispielsweise in der ISA / IEC 62443- Norm, im ISF-Framework oder in den SANS-Publikationen finden.
Es sei auch ratsam, den direkten Remote-Zugriff auf Produktionsnetzwerke zu deaktivieren oder zumindest zu überwachen. Es werde empfohlen, „dass alle Verbindungen zu Produktionssystemen über das Netzwerk des Anlagenbesitzers erfolgen und solche Dienste verwendet werden, die der Anlagenbesitzer überwachen und in Bezug auf die Datensicherheit warten kann“.

Schwachstellenmanagement: Auswirkungen und Handlungsansätze ermitteln

nixu stellt klar: „Das Schwachstellenmanagement ist nicht dasselbe wie das Installieren von Sicherheitsupdates!“ Der Hauptzweck des Schwachstellenmanagements bestehe darin, die Auswirkungen von Schwachstellen zu bewerten und eine geeignete Weise des Managements zu bestimmen.
Ein gutes Verständnis von Hardware, Software und den Abhängigkeitsbeziehungen im betreffenden Umfeld sei eine Grundvoraussetzung für das Management von Schwachstellen. Das Erkennen und Verstehen von Schwachstellen helfe auch bei Verhandlungen mit Lieferanten.
Wenn ein sich auf das gesamte Umfeld beziehendes Schwachstellenmanagement als eine zu große Aufgabe erscheint, empfiehlt nixu, mit kritischen Systemkomponenten und Peripheriegeräten (wie Firewalls und anderen Geräten, auf die von außerhalb des Netzwerks des Produktionssystems zugegriffen wird) zu beginnen.

Überwachung der Datensicherheit im Produktionsumfeld schrittweise

Der Vorteil von Produktionsnetzwerken gegenüber einem standardmäßigen IT-Netzwerk im Büro liege „in ihrem sehr statischen Datenverkehr und ihrem Aufbau“. Die Geräte müssten auf eine bestimmte Weise funktionieren. Geräte würden nicht ständig zu Produktionsnetzwerken hinzugefügt oder aus diesen entfernt.
Aus diesem Grund seien Produktionsnetzwerke in gewisser Weise einfacher zu überwachen. Andererseits seien die für IT-Umgebungen entwickelten Tools möglicherweise nicht vollständig für ihre Überwachung geeignet. Auf dem Markt seien heutzutage indes hochentwickelte Überwachungstools für Produktionsnetzwerke verfügbar.
Die Überwachung der Datensicherheit in einem Produktionsumfeld könnte und sollte schrittweise erfolgen. Der erste Schritt bestehe darin, sich auf die Schnittstellen zwischen Produktions- und IT-Netzwerk sowie auf die Überwachung zentraler Punkte zu konzentrieren. An dieser Stelle sei zu beachten, dass die IT-Netzwerküberwachung die Sicherheit des Produktionsnetzwerks nutzen könnte, „sofern keine direkten externen Verbindungen zum Produktionsnetzwerk bestehen“.

Schlussfolgerung von nixu cybersecurity

Man sollte sich bewusst sein, dass in fast jedem Produktionsprozess Umstände auftreten könnten, die niemals passieren dürften.
„Es ist gut, diese kritischen Faktoren zu identifizieren und sorgfältig zu bewerten, ob ihre Realisierung digital beeinflusst werden kann.“
Die Sicherheitsmaßnahmen sollten so ausgewählt und umgesetzt werden, „dass sie ganzheitlich betrachtet sinnvoll sind und das Geschäft des Unternehmens unterstützen“.

Weitere Informationen zum Thema:

datensicherheit.de, 19.08.2019
IoT: 90% der Firmware mit kritischer Sicherheitslücke

datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

Stromversorger und andere Betreiber kritischer Infrastruktur im Visier internationaler Hacker

[datensicherheit.de, 18.02.2019] Der Branchenverband Bitkom berichtete in seiner Meldung vom 13. September 2018, dass Attacken auf die deutsche Industrie innerhalb von zwei Jahren einen Schaden in Höhe von 43 Milliarden Euro verursacht hätten. Hierzu nimmt Marc Wilczek, Geschäftsführer von Link11, Stellung. In Deutschland, einer der führenden Wirtschaftsnationen, gerieten im Zuge der Digitalisierung Unternehmen zunehmend ins „Fadenkreuz“ von Cyber-Kriminellen. Dabei fokussierten die Angreifer vielfach auf Unternehmen in kritischen Wirtschaftszweigen, wie die Daten aus der Netzwerküberwachung durch das „Link11 Security Operation Center“ nach eigenen Angaben zeigen.

Unternehmen in kritischen Wirtschaftszweigen vorrangig im Visier

Hierzu zählten z.B. Energieversorger, das Gesundheitswesen oder die Finanzwirtschaft. Neben kritischen, über das Internet erreichbaren Systemen von Staat und Verwaltung (KRITIS), seien es immer wieder Unternehmen aus den Bereichen Banking, Logistik, Telekommunikation und Medien, welche finanziell aber zunehmend auch politisch motivierten Attacken ausgesetzt seien.
„Sind diese erfolgreich, drohen erhebliche Auswirkungen auf das staatliche Gemeinwesen und die Bevölkerung. Es besteht die Gefahr von Versorgungsengpässen, was erhebliche Auswirkungen auf die Allgemeinheit zur Folge haben kann“, warnt Wilczek. Nicht ohne Grund benenne das „World Economic Forum“ weitreichende Cyber-Angriffe als eines der „Top-5-Risiken“ weltweit – „in einem Atemzuge mit Terrorismus, einer neuen Finanzkrise oder den Auswirkungen des Klimawandels“.

Foto: Link11

Marc Wilczek: Auch Unternehmen anderer Wirtschaftszweige sollten sich an KRITIS-Vorgaben orientieren!

Anhebung der Sicherheitsstandards unerlässlich

Die Auseinandersetzung mit den Folgen von Cyber-Attacken und den Schutzmöglichkeiten sei nach Einschätzung von Link11 daher von gesamtgesellschaftlicher Relevanz. Wilczek: „Es besteht akuter Handlungsbedarf!“ Im Zuge des Digitalen Wandels nehme die Abhängigkeit von IT im tagtäglichen Leben enorm zu. Eine Anhebung der Sicherheitsstandards sei unerlässlich, um den Angreifern auf Augenhöhe zu begegnen.
Hier greife das IT-Sicherheitsgesetzt, „das sicherheitserhöhende Maßnahmen u.a. bereits für die Bereiche Energieversorgung und Telekommunikation zur Pflicht macht“. Die noch ausstehenden KRITIS-Branchen wie Transport und Verkehr sowie Gesundheitswesen müssten bis Juni 2019 ihre Sicherheitsstandards angepasst haben. Die per Gesetz vorgeschriebene IT-Sicherheit – auf der strategischen aber auch praktischen Ebene – werde die Attacken zwar nicht gänzlich verhindern, aber dank weiterer Vorkehrungen Schwachstellen ausmerzen und Risiken senken. Wilczek rät: „Wenngleich nicht verpflichtend, sollten sich auch Unternehmen anderer Wirtschaftszweige an den KRITS-Vorgaben orientieren, um Geschäftsrisken zu minimieren und ,Business Continuity‘ sicherzustellen.“

Weitere Informationen zum Thema:

Bitkom, 13.09.2018
Attacken auf deutsche Industrie verursachten 43 Milliarden Euro Schaden

WORLD ECONOMIC FORUM, 17.01.2018
Cyber risk is a growing challenge. So how can we prepare?

datensicherheit.de, 16.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung

[datensicherheit.de, 24.09.2018] Industrieunternehmen sehen Künstliche Intelligenz (KI) als Motor für ein profitables Wachstum, denn KI steigert ihrer Meinung nach ihre Effizienz, Flexibilität und Differenzierung. Um den Einsatz der Technologie weiter auszubauen, müssen die Unternehmen dabei aber vor allem zwei Probleme lösen: die unzureichende Quantität und Qualität ihrer Daten sowie ihr Mangel an KI-Expertise. Dies sind zentrale Ergebnisse einer Umfrage von Hewlett Packard Enterprise (HPE) und Industry of Things World, Europas führender Industrie-4.0-Konferenz. Befragt wurden 858 überwiegend europäische Fach- und Führungskräfte aus der Industrie [1]. Die Umfrage ergab auch, dass Unternehmen hybride Architekturen nutzen wollen, deren KI-Infrastruktur über dezentrale Edge-Ressourcen, eigene Rechenzentren oder die Cloud verteilt ist. Dies ermöglicht eine Echtzeit-Verarbeitung über das Edge Computing sowie Datenkorrelation und Deep Learning über Standorte hinweg.

„Künstliche Intelligenz ist ein Schlüssel zur Industrie 4.0, sie ermöglicht den Schritt von der Automatisierung zur Autonomie, um Wachstum und Wettbewerbsvorteile zu erzielen“, sagt Volkhard Bregulla, Vice President Global Manufacturing, Automotive und IoT von Hewlett Packard Enterprise. „Unsere Studie zeigt, dass Europas Industrie die strategischen Chancen der künstlichen Intelligenz verstanden hat, aber sie zeigt auch, dass es unerlässlich ist, die Daten- und Kompetenzlücke zu schließen, um das KI-Potenzial voll auszuschöpfen.“

Zweistelliges Wachstum bei Umsatz und Marge – 95 Prozent bisheriger KI-Projekte erfolgreich

Im Mittel erwarten die Befragten der HPE-Umfrage, dass sie bis 2030 mit KI ihren Umsatz um 11,6 Prozent und ihre Margen um 10,4 Prozent steigern können. Von KI erwarten sie über die Wertschöpfungskette hinweg Vorteile, ebenso für die Differenzierung ihrer Produkte und Dienstleistungen. Gestützt wird diese Erwartung von der Erfolgsquote der bisher umgesetzten KI-Projekte: 95 Prozent der Befragten, die bereits KI einsetzen, gaben an, dass sie ihre Ziele erreicht, übertroffen oder deutlich übertroffen haben. Entsprechend planen sie, in den nächsten zwölf Monaten im Schnitt 0,48 Prozent ihres Umsatzes in KI zu investieren – zum Vergleich: das gesamte IT-Budget in der Fertigungsindustrie [2] beträgt durchschnittlich 1,95 Prozent des Umsatzes. Zwei Drittel der Befragten erwarten zudem, dass die durch KI neu geschaffenen Arbeitsplätze jene Anzahl ausgleicht oder übersteigt, die durch KI wegfallen.

Die Mehrheit der Befragten (61 Prozent) beschäftigt sich bereits mit KI, 11 Prozent haben die Technologie bereits implementiert, 14 Prozent planen dies innerhalb der nächsten zwölf Monate und 36 Prozent evaluieren deren Einführung. Die eingeführten oder geplanten KI-Anwendungen erstrecken sich über die gesamte Wertschöpfungskette, unter anderem Forschung und Entwicklung (38), Nachfrage-Prognose (21), Produktionsplanung (18), Betrieb (32), Wartung (34), Verkauf (20) und Dienstleistungen (29).

KI wird als Werkzeug für mehr Effizienz und Differenzierung gesehen

Bei der Einführung von KI stehen nicht die Kosten im Fokus, sondern auch Flexibilität und Differenzierung. So ergab die Umfrage, dass sich über die Hälfte (57) eine Effizienzsteigerung in Betrieb, Wartung und Lieferkette erhofft. Zudem soll sich die Kundenzufriedenheit steigern (45) und Produkte und Dienstleistungen sollen sich dank neuer Funktionen verbessern (41). Weitere Ziele sind, sich schnell und automatisch an veränderte Bedingungen anzupassen (37), neue Geschäftsmodelle zu entwickeln (34) sowie Angebot und Nachfrage gezielter durch bessere Prognosen und Planung aufeinander abzustimmen (32).

Ein Beispiel dafür ist eine der häufigsten KI-Anwendungen, die vorausschauende Wartung. Über sie lässt sich die Verfügbarkeit von Anlagen und deren Instandhaltung effizienter gestalten. Darüber hinaus können Hersteller vorausschauende Wartung aber auch in die Produkte integrieren, die sie an Kunden verkaufen und sich damit  vom Wettbewerb differenzieren. Die Erwartungen der Umfrage-Teilnehmer bis 2030 spiegeln diese ausgewogene Sicht wider: Außer Umsatzwachstum und Margensteigerung erwarten sie durch KI außerdem im Durchschnitt 13,9 Prozent Kostensenkung.

Edge und Cloud Computing im Einsatz für KI

Die HPE-Umfrage untersuchte auch, in welchem Ausmaß KI-Anwendungen zentral oder dezentral betrieben werden – also im Rechenzentrum beziehungsweise der Cloud oder an der „Edge“, das heißt direkt vor Ort in der Fabrik oder Anlage. Edge Computing kommt bei zeitkritischen Prozessen zum Einsatz, wie etwa bei autonomen Fahrzeugen oder Robotern. Zudem müssen die Daten verteilter Industrieanlagen in zentralen Rechenzentren gesammelt und ausgewertet werden, um über das maschinelle Lernen wiederum die KI-Algorithmen zu verbessern.

Aktuell nutzen 39 Prozent der Befragten KI-Anwendungen aus einem Rechenzentrum/aus der Cloud und 32 Prozent an der Edge. Für 2030 erwarten die Befragten einen KI-Anteil von 55 Prozent für Rechenzentrum/Cloud sowie 52 Prozent für die Edge. Hybride KI-Architekturen werden also zur Norm werden.

Daten sind zentral für die Skalierung von KI

Die Studie belegt, dass KI in der europäischen Industrie angekommen ist, aber auch noch enormes Potenzial für die Zukunft hat. Die größten Hürden für den KI-Ausbau sind die Daten. So beklagen 47 Prozent der Befragten, dass Menge und Qualität ihrer Daten nicht für KI-Projekte ausreichen und 34 Prozent nannten den „Mangel an Data Governance und Enterprise Data Architecture“ als zentrale Herausforderungen für die Einführung von KI. Tatsächlich sind die Daten der Schlüsselfaktor für die KI-Einführung. Denn Algorithmen können nur so gut wie die Daten sein, mit denen KI-Anwendungen versorgt werden.

Ein weiteres Hindernis für die breite KI-Akzeptanz ist der Mangel an Expertise rund um KI und Analytik (42). Trotz dieses Engpasses vertrauen nur zwölf Prozent der Befragten ausschließlich auf externe KI-Expertise. Die Mehrheit (55) setzt auf eine Mischung aus internem und externem Fachwissen. Ein Drittel konzentriert sich auf den Ausbau des internen Wissens durch die Einstellung externer Fachkräfte sowie die Weiterbildung eigener Mitarbeiter.

„Leider gibt es keine Abkürzung, wenn es darum geht, durch den Einsatz von KI Wettbewerbsvorteile zu schaffen“, sagt Bregulla. „Unternehmen müssen ihre KI-Strategie definieren, vielversprechende Anwendungen identifizieren, Daten beschaffen, Technologien einführen und die richtigen Leute und Prozesse einsetzen. Aber unsere Studie zeigt deutlich, dass dies eine Reise ist, die sich lohnt.“

[1] 858 Befragte (Manager, Direktoren, C-Suite-Führungskräfte) aus Branchen wie Produktion, IT, Transport, Chemie oder Energie nahmen an der Umfrage „Gegenwart und Zukunft von KI im Industriesektor“ über einen Online-Fragebogen zwischen dem 1. August und 20. September 2018 teil. 61 Prozent der Befragten kommen aus Westeuropa, 22 Prozent aus Mittel-/Osteuropa, 7 Prozent aus Nordamerika, 5 Prozent aus Asien/Pazifik, 3 Prozent aus Südamerika und 1 Prozent aus dem Nahen Osten und Afrika.

[2] https://www2.deloitte.com/insights/us/en/focus/cio-insider-business-insights/technology-investments-value-creation.html

Weitere Informationen zum Thema:

datensicherheit.de, 18.09.2018
Künstliche Intelligenz zur Erhöhung der Sicherheit im Netzwerk

datensicherheit.de, 30.08.2018
Maschinelles Lernen für effektive Netzwerksicherheit

datensicherheit.de, 26.07.2017
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 28.06.2018
Vom Menschen lernen: Das lebende Unternehmen

Interview mit Prof. Thomas Brandstetter, SANS-Instructor und Geschäftsführer von Limes Security

[datensicherheit.de, 03.09.2018] Über die Sicherheit im Umfeld der Industrie und Kritischer Infrastruktur sprach Carsten J. Pinnow, Herausgeber und Chefredakteur von datensicherheit.de (ds), während des SANS ICS Summits mit Professor Thomas Brandstetter, Instructor des SANS Institutes und Geschäftsführer von Limes Security. Er ist Spezialist und Trainer für Cybersicherheit im industriellen Umfeld und bekannt als Incident Handler von Stuxnet für Siemens.

ds: Kritische Infrastrukturen wie die Stromnetze der Ukraine sind in der Vergangenheit Ziele von Cyberattacken geworden. Wie sicher sind kritische Infrastrukturen heute?

Brandstetter: Wir können vorsichtig optimistisch sein. Aktuell ist die Absicherung und Security zumindest im unmittelbaren KRITIS-Bereich auf einem guten Weg, aber das kann nur eine Momentaufnahme sein. Es gilt, darauf aufzubauen und auch in Zukunft den Anschluss nicht zu verlieren. Obwohl die Anlagenbetreiber grundsätzlich gut aufgestellt sind, gibt es keine Sicherheitsgarantie und eine Menge vorstellbarer Angriffsvektoren, mit denen wir rechnen müssen.

Bild: SANS

Prof. Thomas Brandstetter, SANS-Instructor und Geschäftsführer von Limes Security

ds: Wo sehen sie den wesentlichen Handlungsbedarf, damit die Sicherheit der KRITIS gewahrt bleibt?

Brandstetter: Die Security im KRITIS-Umfeld darf nicht isoliert betrachtet werden. Die echte Kerninfrastruktur ist zumeist angemessen gesichert, denn die Politik hat ihre Bedeutung verstanden und die Security in diesem Bereich durch zahlreiche Gesetze und Verordnungen hochgradig reguliert. Gerade große Betreiber haben dementsprechend Technik und Prozesse nachgezogen. Die möglichen Angreifer erkennen aber, dass die Sicherheitsstandards nicht überall so hoch sind. Eine Möglichkeit ist es für ihn daher, nicht die Infrastruktur selbst, sondern die Lieferkette anzugreifen. Viele Unternehmen, die kritische Infrastrukturen beliefern oder ihnen zuarbeiten, sind KMUs, deren Schutzniveau deutlich niedriger ist. Damit sind sie attraktive Einfallstore, um die kritische Infrastruktur indirekt zu beeinflussen, oder über die Systeme der Partner in das Netzwerk der Anlage einzudringen. Security muss deshalb über den einzelnen Sektor hinaus, ganzheitlich und übergreifend gedacht werden.

Deutlich mehr Aufmerksamkeit erhalten die industriellen Kontrollsysteme (ICS), die immer stärker auf Softwarekomponenten setzen. Dieser Wandel stellt allerdings neue Anforderungen an die Security-Ausbildung. Die ersten Schwierigkeiten machen sich bereits bemerkbar und mittelfristig kann es zu einem ernsten Problem werden, weil die Lebenszyklen der Software im Vergleich zur Lebensdauer von Industrieanlagen und Gebäudesteuerungen deutlich länger sind. Während diese auf 15 bis 20 Jahre ausgelegt sind, kann die Software bereits innerhalb von wenigen Monaten grundlegend überarbeitet werden.

Ein dritter, unterschätzter Angriffspunkt ist die Empfindlichkeit der Stromnetze und der daran hängenden Systeme, die in den letzten Jahren deutlich gestiegen ist. Eine Ursache dafür ist, dass die einzelnen Bestandteile eines Systems, wie dem Energienetz, sehr fein aufeinander abgestimmt sind, um die Energielast gleichmäßig zu verteilen. Schon die kleinsten Störungen können große Auswirkungen haben. Ein Angreifer, dem es beispielsweise gelingt, ein Windrad anzugreifen und im richtigen Moment auch nur geringfügig zu verstellen, kann damit bereits für eine Überlastung, Stromausfälle oder sogar physische Schäden an der Anlage sorgen. In diesem Bereich gilt ebenfalls, dass wir vor einem Ausbildungsproblem stehen. Immer wieder tauchen solche Anlagen als schlecht geschützt auf, weil sie von Elektrikern implementiert werden, in deren Berufsvorbereitung die notwendigen Security-Aspekte fehlen.

ds: Wie lassen sich die Defizite in der Ausbildung beheben?

Brandstetter: Zunächst müssen alle beteiligten Berufsgruppen identifiziert werden, bei denen Security in ihrer Ausbildung wichtig ist. Die Herausforderung ist dann allerdings, das geeignete Lehrpersonal für die Cybersicherheit zu finden, um eine sinnvolle Vermittlung der notwendigen Fähigkeiten, Techniken und des vorauszusetzenden Wissens zu ermöglichen. Gerade an Hochschulen empfehle ich, eine Mischung aus hochschulinternen und externen Dozenten zusammenstellen, um Cybersicherheit praxisorientiert zu vermitteln. Themenfelder wie Incident Response lassen sich nur glaubwürdig und zeitgemäß vermitteln, wenn die Lehrperson über praktische Erfahrungen mit echten Zwischenfällen verfügt, während standarisierte, langlebige Grundlagen in der Regel nicht vom beruflichen Erfahrungsschatz abhängen. Diese Mischung aus Theorie und Praxis gewährleistet eine ausgeglichene und hochwertige Ausbildung, die auch für eine spätere Weiterbildung wichtig ist.

ds: Was können Unternehmen zur Verbesserung der eigenen Security-Kompetenz tun?

Brandstetter: Die Firmen benötigen auf jeden Fall eine belastbare Basis aus Personal, Wissen und Tools. Welche Spezialkenntnisse und Fähigkeiten sie zusätzlich benötigen, muss allerdings im Einzelfall analysiert und individuell gemäß Risiko entschieden werden. Im Allgemeinen beginnen die Herausforderungen für die Planung damit, dass schon im Einkauf qualifiziertes Personal fehlt, dass das Budget mit der notwendigen Systematik und einem ganzheitlichen Ansatz verwaltet. Es ist immer möglich, externe Berater hinzuzuziehen, aber selbst dann sollten die Unternehmen in der Lage sein, deren Empfehlungen fachlich einschätzen zu können. Typische Fragen, die hier gestellt werden sollten, sind: Ist die Empfehlung in Anbetracht unseres verfügbaren Budgets und der Zeit realistisch? Wie groß ist unser Risiko wirklich? Ein Schritt zur Verbesserung der eigenen Kompetenz kann sein, sich auf Security-Konferenzen mit Experten aus der Security-Branche auszutauschen und Kooperationen einzugehen.

ds: Welche Rolle spielen Konferenzen für die Cybersicherheit der Branche?

Brandstetter: Es gibt eine starke Asymmetrie zwischen Angreifern und Verteidigern: Die Angreifer sind flexibel, vernetzt und können ihre Kampagnen in Ruhe planen, dabei hilft ihnen, dass sie sich über Werkzeuge, Schwachstellen und Strategien austauschen können. Die Verteidiger sind hingegen eingebunden in ein Unternehmen mit oftmals strikten Hierarchien, Regeln, Abstimmungsprozessen und benötigen mehr Zeit, um einen Vorfall zu analysieren und anschließend angemessen zu reagieren. Deshalb ist es wichtig, dass sich die Unternehmen ebenfalls organisieren, um sich proaktiv über bekannte Bedrohungen und Sicherheitsstrategien auszutauschen, sowie mögliche, zukünftige Angriffsszenarien zu identifizieren, noch bevor es den Kriminellen gelingt. Das SANS Institute richtet sich in seinen Konferenzen wie dem SANS ICS Summit gezielt sowohl an Fachkräfte und Spezialisten aus der Security als auch an Führungskräfte sowie Akteure aus der Politik. Denn um die Angreifer wirksam zu bekämpfen, ist ein ganzheitliches Vorgehen von der Politik über die Unternehmensleitung und Security-Abteilung bis hin zum IT-Sachbearbeiter nötig.

ds: Welche Möglichkeiten hat die Politik, Cybersicherheit besser zu fördern?

Brandstetter: In Deutschland, Österreich und der Schweiz ist in den letzten Jahren viel geschehen, um die Cybersicherheit zu verbessern. Das dringendste Handlungsfeld ist die Ausbildung und die politische Förderung der Forschung. Die Verfahren für staatliche Förderungen insbesondere auch auf EU-Ebene sind derzeit viel zu aufwendig. Ein großer Teil der Fördergelder geht deshalb an Institute, die es sich leisten können, für den bürokratischen Aufwand eigene Mitarbeiter zu beschäftigen. Dadurch entgeht uns viel Potenzial in der Forschung, denn kleine, kreative Organisationen, die in diesem schnelllebigen Markt der Cybersicherheit wertvolle Beiträge liefern könnten, werden derzeit durch die bürokratischen Hürden ausgebremst.

Weitere Informationen zum Thema:

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 05.07.2018
Rückblick: SANS European ICS Summit 2018 in München

[datensicherheit.de, 19.07.2018] IT- bzw. OT-Sicherheit ist eine Grundvoraussetzung für die sogenannte Industrie 4.0. Diese Erkenntnis ist nach Angaben der NürnbergMesse zwar schon in Teilen der Politik angekommen. Jedoch beklagen Fachleute, dass dieses Thema aber immer noch nicht im Management als selbstverständlich gilt. Während in der Office-Welt „IT Security“ fester Bestandteil der IT-Planung ist, gilt dies längst noch nicht für die „OT Security“ in der Fertigung – ein fataler Umstand.

Malware attackiert selbst nicht vernetzte Industrieanlagen

In der im Internet der Dinge und Dienste (engl: Internet of Things / IoT) vernetzten Industrie werden zunehmend IoT-Sensoren eingesetzt, selbst in Geräten, bei denen man es gar nicht erwartet. Doch mit den neuen Möglichkeiten entstehen neue Gefahren. Oftmals geraten mit der Vernetzung Maschinen sogar ungewollt ins Internet – sei es, weil ein Fernwartungszugang für den Hersteller vorhanden ist oder weil dieser Nutzungsstatistiken sammelt. Spätestens dann sind die Geräte angreifbar und es existieren jede Menge Tools, um im Internet danach zu suchen.
Wie zum Beispiel „Stuxnet“ 2010 zeigte, können jedoch selbst bei nicht vernetzten Maschinen Angriffe erfolgen: Etwa über USB-Sticks, die zum Installieren von Updates verwendet werden oder über Laptops, die für Wartungsmaßnahmen angeschlossen werden. „Stuxnet“ drang offenbar über USB-Sticks in iranische Nuklearzentrifugen ein und richtete dort schwere Schäden an.

Organisatorische Trennung zwischen IT und OT schafft Unsicherheit

IT- bzw. OT-Sicherheit ist eine Grundvoraussetzung für die sogenannte Industrie 4.0. Ulrich Nussbaum, Staatssekretär im Bundeswirtschaftsministerium, hat dies nach Angaben der NürnbergMesse kürzlich bei einer Veranstaltung zur Industrie 4.0 hervorgehoben. Doch zugleich beklagen Fachleute, dass das Thema immer noch nicht im Management angekommen ist.
Während in der Office-Welt „IT Security“ fester Bestandteil der IT-Planung ist, gilt dies längst noch nicht für die „OT Security“ in der Fertigung. Das liegt unter anderem daran, dass dort andere Prioritäten und andere Zuständigkeiten gelten. So ist der IT-Sicherheitsbeauftragte eben oftmals nur für Büro-PCs, Internet-Dienste oder das Rechenzentrum zuständig, jedoch nicht für die Produktionsanlagen.
Zudem gibt es praktische Probleme: Während für die Büro-IT Systeme redundant gehalten werden, um Ausfallsicherheit zu gewährleisten, kann in der Produktion nicht einfach eine zweite Fertigungsstraße auf Vorrat installiert werden.

Datensicherheit muss Management-Thema werden!

Permanente Verfügbarkeit steht also im Zentrum der Produktion, weshalb Betriebsstörungen um jeden Preis vermieden werden müssen. Wer sich also um Sicherheitsfragen jedoch keine Gedanken macht, kann schnell in eine unkontrolliert eskalierende Situation geraten.
Gerade für die Industrie 4.0 muss Datensicherheit deshalb zum Management-Thema werden und sollte direkt unterhalb der Geschäftsführung verantwortet werden. Denn es steht viel auf dem Spiel, wenn Angreifer aus der Ferne Produktionsanlagen steuern können.
Sicherheitsvorkehrungen erfordern indes Investitionen und machen Anpassungen der Abläufe notwendig, die nur auf der Ebene des oberen Managements beschlossen werden können: Dazu zählen insbesondere Notfallplanungen sowie -übungen und die Etablierung von Alarmketten. Letztere muss immer wieder aktualisiert werden, denn Telefonnummern ändern sich. Fällt erst bei einer Störung auf, dass jemand nicht erreicht werden kann, kann es ganz schnell zum Notfall kommen.

Weitere Informationen zum Thema:

it-sa Newsroom, 18.07.2018
IT-Sicherheit muss in der Industrie 4.0 Schlüsselrolle spielen

it-sa Newsroom, 18.07.2018
Sicherheitsdefizite in der Industrie 4.0

datensicherheit.de, 11.06.2018
Plattform-Ansatz erforderlich: Sicherheit für die Industrie 4.0

datensicherheit.de, 13.12.20168
Industrie 4.0: Neben technischen auch zahlreiche rechtliche Fragen zu klären

[datensicherheit.de, 25.06.2018] Ob Produktionsstraße oder Roboter: In Zeiten der Industrie 4.0 gelte es zunehmend, industrielle Steuerungssysteme (Industrial Control Systems / ICS) und die Betriebstechnologie (Operational Technology / OT) vor Cyber-Gefahren zu schützen. Laut einer aktuellen Studie von KASPERSKY lab, für die nach eigenen Angaben weltweit insgesamt 320 Verantwortliche für Cyber-Sicherheit im ICS-Bereich befragt wurden, seien 31 Prozent der Industrieunternehmen in den vergangenen zwölf Monaten mindestens von einem ICS/OT-bezogenen Cyber-Sicherheitsvorfall betroffen gewesen. Acht Prozent könnten dazu keine Angaben machen und zehn Prozent würden derartige Vorfälle nicht messen. Zudem hätten mehr als drei Viertel (77 Prozent) die Befürchtung, dass ihre Organisation zum Ziel eines ihre industriellen Kontrollnetzwerke einbeziehenden Cyber-Sicherheitsvorfalls werden könnte.

Potenziell verheerende Konsequenzen gerade im industriellen Umfeld

Die zunehmende Verwendung von Hardware und Software steigere die Effizienz industrieller Prozesse. Allerdings stiegen damit auch die damit einhergehenden Cyber-Gefahren, die gerade im industriellen Umfeld verheerende Konsequenzen mit sich bringen könnten.
Auch wenn das Cyber-Sicherheitsbewusstsein bei Entscheidungsträgern industrieller Kontrollsysteme vorhanden sei – mehr als drei Viertel der Befragten habe angegeben, dass Cyber-Sicherheit für sie „höchste Priorität“ genieße – offenbart die KASPERSKY-Studie, mit welchen Cyber-Gefahren Industrieunternehmen auf Shop-Floor- beziehungsweise ICS/OT-Ebene in den vergangenen zwölf Monaten zu kämpfen hatten:

• Zwei Drittel (64 Prozent) der Unternehmen haben mindestens einen konventionellen Malware- oder Virusangriff erlebt;
• 30 Prozent der Unternehmen erlitten eine Ransomware-Attacke;
• ein Viertel (27 Prozent) hatte einen Vorfall aufgrund von Fehlern und Handlungen der Mitarbeiter zu erleiden;
• 20 Prozent hatte mit Gefahren zu kämpfen, die im Zusammenhang mit Drittanbieter wie Partner oder Lieferanten standen;
• zielgerichtete Angriffe gingen um mehr als die Hälfte gegenüber dem Vorjahr zurück (von 36 Prozent auf 16 Prozent).

Kritische Systeme am Laufen und Unternehmen betriebsbereit halten!

„Da die Branche auf digitale Trends wie Cloud und IoT setzt, um die Effizienz weiter zu steigern, wird die Herausforderung und Bedeutung der Cyber-Sicherheit noch wichtiger. Es gilt, kritische Systeme am Laufen zu halten und Unternehmen betriebsbereit zu halten“, so Georgy Shebuldaev, „Brand Manager“ bei Kaspersky Industrial Cybersecurity.
Die gute Nachricht sei, dass immer mehr Unternehmen ihre Cyber-Sicherheitspolitik verbesserten und gezielte Maßnahmen zum Schutz ihrer industriellen Kontrollnetzwerke ergriffen. Shebuldaev: „Obwohl dies ein Schritt in die richtige Richtung ist, müssen noch weitere Maßnahmen ergriffen werden, um mit der Digitalisierung Schritt zu halten.“
Dazu gehöre die Aktualisierung von Programmen zur „Incident Repsonse“, um spezifische ICS-Maßnahmen abzudecken, sowie der Einsatz von Cyber-Sicherheitslösungen, um diese Herausforderung zu meistern.

Neue Herausforderung: SCADA in der Cloud

Bereits 15 Prozent der Industrieunternehmen setzten Cloud-Lösungen für ihre SCADA-Steuerungssysteme ein, weitere 25 Prozent planten einen Einsatz in den nächsten zwölf Monaten. Die Einführung des Industrial Internet of Things (iIoT) und Cloud-basierter Systeme bringe jedoch auch neue Herausforderungen in Sachen IT-Sicherheit für die Industrieunternehmen mit sich.
Für mehr als die Hälfte der Unternehmen (54 Prozent) seien die erhöhten Risiken sowie die Umsetzung von Maßnahmen für das kommende Jahr 2019 eine große Herausforderung der Cyber-Sicherheit.
Die Umfrage wurde laut KASPERSKY lab von der CXP Group im Auftrag im April und Mai 2018 durchgeführt: Hierfür seien weltweit 320 Verantwortliche im Bereich „OT/ICS Cybersecurity“ aus den Branchen Herstellung, Versorgung und Transport in computergestützten Telefoninterviews befragt sowie Interviews mit zwölf Experten geführt worden.

Weitere Informationen zum Thema:

Kaspersky Industrial CyberSecurity
„State of Industrial Cybersecurity 2018“

datensicherheit.de, 24.06.2018
Überlebensfrage: Abwehr von Cyber-Attacken auf kritische Infrastruktur

datensicherheit.de, 11.06.2018
Plattform-Ansatz erforderlich: Sicherheit für die Industrie 4.0

[datensicherheit.de, 04.06.2018] Das SANS Institute, Anbieter für Cyber-Sicherheitstrainings, gibt bedeutende Aktualisierungen seines Trainingskurses ICS515: ICS Active Defense and Incident Response bekannt, um Bedrohungen im industriellen Umfeld wie Ransomware und Co. zu begegnen. Während alle Kurse periodisch aktualisiert werden, um aktuell zu bleiben, ist dies das erste Mal, dass ein umfangreicher Teil des Kurses auf einmal aktualisiert wird. Neue Werkzeuge, Techniken und Fertigkeiten für den Sicherheitsbetrieb in einer ICS-Umgebung sind einige der Dinge, auf die sich die Studenten neben einer völlig neuen Laborumgebung freuen können.

Neue Bedrohungslage für die Industrie

„Allein im vergangenen Jahr haben wir zwei beeindruckende Malware-Angriffe gesehen, CRASHOVERRIDE, der auf das ukrainische Stromnetz abzielte, und Trisis, das eine petrochemische Anlage infizierte. Wir stellen deshalb eine neue Bedrohungslage in der Industrie fest“, erklärt Robert M. Lee, CEO von Dragos, SANS-Trainer und Autor des erneuerten ICS515-Kurses. „Die Aktualisierungen dieses Kurses sind bedeutsam und zeitgemäß, weil aus diesen Angriffen viel zu lernen ist. Wir haben unser Wissen genutzt und die neuen Informationen kodifiziert, um die ICS-Profis besser auf die zunehmend intelligenteren Angriffe auf industrielle Umgebungen vorzubereiten.“

Der nächste Kurs findet während des ICS Summits in der Woche vom 18. Juni in München statt, der über den Kurs hinaus die Gelegenheit bietet, die neuesten Herausforderungen der Cybersicherheit für industrielle Kontrollsysteme kennenzulernen und zu diskutieren sowie Best-Practice-Beispiele für die effektivsten Abwehrmaßnahmen zu präsentieren, die von Unternehmen eingesetzt werden. Mehr über den Summit: https://www.sans.org/event/ICS-Europe-2018

ICS515: ICS Active Defense and Incident Response ist nach Angaben des SANS Instutus die weltweit einzige Schulung, die das Wissen einer Person über das Threat Hunting und Incident Response in einer ICS-Umgebung zertifiziert, und wurde schnell zu einem Industriestandard für die ICS-Überwachung und den Umgang mit Vorfällen. Der aktualisierte Teil des Kurses bietet noch weitgehendere Trainingsmöglichkeiten als zuvor. Über 40 Prozent des Kurses haben sich verändert, darunter ist die Einführung eines sehr komplexen, neuen simulierten Wasserwerks, das die Trainingsteilnehmer vier Tage mit ihren eigenen Vorfällen in einer realen, kontrollierten Umgebung begleitet.

Für den ICS515-Kurs steht eine korrespondierende GIAC-Zertifizierung zur Verfügung: Die GRID-Zertifizierung richtet sich an Cybersicherheitsprofis, die zeigen möchten, dass sie in der Lage sind, aktive Verteidigungsstrategien, die speziell für ICS-Netzwerke und -Systeme geeignet sind, effektiv durchzuführen.

Weitere Informationen zum Thema:

SANS Institut
Kurs ICS515: ICS Active Defense and Incident Response

GIAS Certifications
GRID-Zertifizierung

datensicherheit.de, 27.11.2017
SANS Institute: IT-Sicherheitstrainings in München