Suchen

Security IT-Sicherheit – mehr als ein Produkt

Autor / Redakteur: Jos Zenner und Nora Crocoll* / Dipl. -Ing. Ines Stotz

Die zunehmende Vernetzung muss zwangsläufig mit IT-Sicherheit verbunden sein, betrifft sie doch alle gesellschaftlichen Bereiche. Denn ein unberechtigter Zugriff auf Maschinen und Geräte, die das öffentliche Leben betreffen, kann äußerst problematisch werden.

Firmen zum Thema

IT-Security betrifft viele Branchen: Smart Farming ebenso wie die Bereiche Smart City, Smart Energy oder Smart Industry. Mit viel Aufwand verbunden, unterschätzen viele die damit einhergehenden potentiellen Gefahren.
IT-Security betrifft viele Branchen: Smart Farming ebenso wie die Bereiche Smart City, Smart Energy oder Smart Industry. Mit viel Aufwand verbunden, unterschätzen viele die damit einhergehenden potentiellen Gefahren.
(Bild: Welotec)

Je stärker eine Branche in das öffentliche Leben hineinwirkt, desto strenger sind auch die rechtlichen Vorgaben. Smart Energy beispielsweise ist ein elementarer Teil kritischer Infrastrukturen (KRITIS). Darunter versteht man Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Um den rechtlichen Sicherheitsanforderungen gerecht zu werden, müssen Unternehmen und ihre Abläufe zertifiziert sein, z. B. nach der internationalen Norm ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements) aber auch die eingesetzten Produkte selbst.

Produktanforderungen werden in zahlreichen technischen Richtlinien definiert. Ein Beispiel ist die technische Richtlinie des BSI für Kryptografische Verfahren. Aber auch Verordnungen wie die 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) können im weitesten Sinne die IT-Sicherheit in Unternehmen betreffen. Diese Beispiele geben nur einen groben Einblick in das große Feld rechtlicher Rahmenbedingungen im Zusammenhang mit IT-Sicherheit.

Bildergalerie

IT-Sicherheit abstrakt betrachtet

Die IT-Branche ist äußerst schnelllebig. Daher muss man die Sicherheitsinfrastruktur permanent prüfen und an die aktuellen Anforderungen anpassen. Abhängig vom Industriebereich, in dem eine IT-Lösung eingesetzt werden soll, gilt es also die passenden Vorgaben zu kennen, zu beachten und die realisierten Lösungen permanent auf dem aktuellen Sicherheitsstand zu halten.

Deshalb lässt sich dem Thema IT-Sicherheit niemals nur mit einem Produkt begegnen, sondern mit einer Mischung aus Produkt, strikt vorgegebenen Abläufen, Mitarbeiterschulungen, Dokumentation und vielem mehr.

Gleichzeitig ist Sicherheit aus Anwendersicht ein vielschichtiger Begriff und je nach Anwendung muss ein bestimmter Sicherheitsaspekt mehr oder weniger berücksichtigt werden bzw. verschiedene Sicherheitsaspekte stehen gar im Widerspruch zueinander. Dann gilt es abzuwägen, welche Vorrang haben. Bei der Bewertung von Schutzzielen einer individuellen Anwendung hilft das CIA-Triad. Es betrachtet Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Was steckt konkret dahinter?

Zugriffsbeschränkungen auf sensible Daten

Vertraulichkeit: bedeutet Zugriffsbeschränkungen auf sensible Daten. Es muss sichergestellt sein, dass nur die Personen Zugang zu Daten oder IT-Systemen haben, die sie für ihre Arbeit benötigen. Es gilt also sensible Daten wie Kreditkartendaten, Unternehmensgeheimnisse oder auch persönliche Daten zu evaluieren und das Schadensmaß, das durch unberechtigten Zugriff darauf entstehen kann, abzuschätzen. Danach müssen entsprechende Schutzziele formuliert werden. Eine geeignete Berechtigungsstruktur ist ebenso wichtig wie die Sensibilisierung der für bestimmte Zugriffe freigeschalteten Mitarbeiter. Technisch spielen Hilfsmittel wie VPN-Verbindungen, der Einsatz aktueller Verschlüsselungstechnologien oder Access-Control-Lists (ACL) eine wichtige Rolle.

Wie wichtig Vertraulichkeit in der Anwendungspraxis ist, wird etwa beim Einsatz von Smart Metern deutlich. Würden Zählerdaten durch Unberechtigte ausgelesen, könnten diese Rückschlüsse auf das Verbrauchsverhalten vieler Stromkunden ziehen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) schreibt daher eine komplette Ende-zu-Ende Verschlüsselung für sämtliche Daten vor, die mit den Smart-Meter-Gateways (SMGW) ausgetauscht werden. Außerdem wird eine strikte Zugriffskontrolle durch den Smart-Meter-Gateway-Administrator (SMGA) vorgeschrieben, der sicherstellen muss, dass entsprechende Nutzdaten nur an vorher definierte Marktteilnehmer und niemanden sonst gesendet und von diesen ausgelesen werden.

Die Kommunikationsexperten von Welotec aus Laer im Münsterland sind mit ihren TK800 LTE-Routern Teil der Smart-Meter-Rollout-Kette und haben diese dazu entsprechend angepasst. Dank Dual-APN (Access Point Name) übertragen sie Nutz- und Managementdaten auf unterschiedlichen Kanälen (entsprechen der jeweiligen Zielgruppen). Beidseitige Authentifizierung und die gängigen Protokolle für Datenkommunikation wie HTTPS, SSH, und SNMPv3 sichern das Management des Routers zuverlässig ab. BSI-konforme Ende-zu-Ende-Verschlüsselung schützt alle übertragenen Inhalte gegen Einblicke oder Manipulation von außen. Das Thema Manipulation führt uns zum zweiten Punkt des CIA-Triads:

Daten vor Manipulation oder Löschen schützen

Integrität: bedeutet in diesem Zusammenhang im Wesentlichen Daten vor Manipulation oder dem Löschen durch unberechtigte Dritte zu schützen. Um beim Beispiel mit den Smart Metern zu bleiben: Unberechtigte sollten keinesfalls Daten der Smart Meter Gateways verändern können. Vor allem für Abrechnungszwecke ist daher unbedingt auf die Integrität der Daten zu achten. Dazu hat das BSI eine Ende-zu-Ende Verschlüsselung vorgeschrieben, die in den Smart-Meter-Gateways implementiert wird. Damit ist eine Veränderung der Daten aus den SMGWs unmöglich. Die Daten können daher auch über das öffentliche Netz gesendet werden, da diese ohnehin verschlüsselt übertragen werden.

Wie in der Energieversorgungsbranche so ist auch in der klassischen Industrie Datenintegrität zwingend notwendig. Was würde bei einem Man-in-the-Middle-Angriff eines Hackers passieren, der sich beispielsweise zwischen Leitstelle und Feldebene eines Kohlkraftwerks einklinkt, die gängigen Protokolle zur Kommunikation soweit ändert, dass sich Schaltbefehle daraus ergeben, er also die Kontrolle über das Kraftwerk übernehmen kann? Gerade im Zusammenhang mit Integrität ist also ein ganzheitlicher Ansatz aus Hardware, Software, Know-how und guten Prozessen gefragt.

Verfügbarkeit der Daten zu jedem Zeitpunkt

Verfügbarkeit: schließlich steht im CIA-Triad für den Zugriff auf Daten oder IT-Systeme. Dazu muss die Zugriffskontrolle korrekt funktionieren, damit Daten verfügbar sind, wenn sie benötigt werden. Aber auch die einzelnen Datenverbindungen selbst müssen zuverlässig arbeiten. Wie wichtig die Datenverfügbarkeit ist, hängt von der jeweiligen Anwendung ab.

Auch hier unterstützt Welotec mit breitem Produktspektrum und Anwendungsexpertise. Zu den verschiedenen Lösungen, die eine hohe Ausfallsicherheit bieten, gehören Router mit Dual SIM, um unterschiedliche Anbieter zu nutzen, die Kombination von öffentlichen und nicht öffentlichen Funknetzen oder kabellose und nicht kabellose Kommunikation als einige Beispiele, wie man mit einem Technologiemix die Verfügbarkeit der Daten zu jedem Zeitpunkt – auch bei einem Stromausfall – gewährleisten kann.

Verfügbarkeit hat aber noch einen weiteren Gesichtspunkt. Wo externe Anlagen(teile) per Datenfunk an eine zentrale Leitwarte angeschlossen werden, sind auch immer Antennen notwendig. Sind diese nicht vandalismussicher ausgeführt, lässt sich die Verfügbarkeit ebenfalls recht einfach stören. Eine Lösung hier wäre der Einsatz vandalismussicher konstruierter Antennen.

IT-Sicherheit ganzheitlich betrachtet

Mit dem CIA-Triad lassen sich IT-Sicherheitsrisiken einfach beschreiben. Es wird immer wieder diskutiert, diese drei Schutzziele Confidentiality, Integrity und Availability durch weitere Ziele wie Authentizität (wird mit dem richtigen Partner kommuniziert oder mit einem dazwischen geschalteten Hacker?), Nichtabstreitbarkeit/ Verbindlichkeit oder Zurechenbarkeit (auf einen Nutzer) zu ergänzen. Genau betrachtet sind diese jedoch bereits Teil der übergeordneten Schutzziele.

Sinnvoller ist es daher für eine detaillierte Analyse der IT-Sicherheit weitere Modelle anzuwenden, wie beispielsweise das Defence-in-depth-Modell, welches die einzelnen Teile und auch die Umgebungsbedingungen eines IT-Systems mit einbezieht. Hier geht es auch darum, ob die Mitarbeiter entsprechend geschult sind und welche Hard- oder Softwarekomponenten verwendet werden, um Angriffe aufzuspüren und diese abzuwehren. Denn schon mit einer geeigneten Firewall, einem Virenscanner und Risikobewusstsein auf Seiten der Mitarbeiter ist bei der IT-Sicherheit viel gewonnen.

An den Praxisbeispielen wurde bereits deutlich, dass bei Welotec-Lösungen das Thema IT-Sicherheit immer im Vordergrund steht. Wie jedoch erwähnt, ist Datensicherheit nicht allein mit Produkten zu bewerkstelligen, sondern benötigt durchdachte Konzepte. Deshalb kennen sich die Münsteraner auch bestens mit den rechtlichen Grundlagen ihrer Kernzielbranchen Smart Energy, Smart Industry, Smart City und Smart Farming aus und können Kunden entsprechend beraten.

BUCHTIPPDie Digitalisierung verändert die industrielle Fertigung grundlegend. Das Buch „Industrie 4.0 – Potenziale erkennen und umsetzen“ beschreibt mögliche Potentiale und konkrete Umsetzungsmöglichkeiten der Industrie 4.0-Anwendungen und dient dem Leser als praxisbezogener Leitfaden.

* *Jos Zenner, Business Development Manager, Welotec und Dipl.-Ing. (FH) Nora Crocoll, Redaktionsbüro Stutensee

(ID:45733287)