Sicherheit

Warum IT-Security einen ganzheitlichen Ansatz erfordert

| Autor / Redakteur: Dr.-Ing. Lutz Jänicke* / Ines Stotz

Das real existierende Gefährdungspotenzial wird von vielen Unternehmen nach wie vor unterschätzt, obwohl es einen erheblichen Schaden nach sich ziehen kann. Phoenix Contact bietet mit seinen Dienstleistungen, Produkten und Lösungen einen ganzheitlichen Ansatz.
Das real existierende Gefährdungspotenzial wird von vielen Unternehmen nach wie vor unterschätzt, obwohl es einen erheblichen Schaden nach sich ziehen kann. Phoenix Contact bietet mit seinen Dienstleistungen, Produkten und Lösungen einen ganzheitlichen Ansatz. (Bild: Phoenix Contact)

In bestimmten industriellen Branchen müssen die Betreiber Mindestanforderungen erfüllen, um ihre Anlagen vor unbefugten Zugriffen zu schützen. Insbesondere im Fertigungsumfeld setzen sich viele Unternehmen allerdings zu wenig mit diesem realen Gefährdungspotenzial auseinander. Hier ist ein ganzheitlicher Ansatz gefragt.

Immer mehr Unternehmen beschäftigen sich mit der Realisierung von Konzepten der IT-Security. Umfragen, welche die großen Verbände VDMA (Verband Deutscher Maschinen- und Anlagenbau e.V.) (1) und ZVEI (Zentralverband Elektrotechnik- und Elektronikindustrie e.V.) (2) in verschiedenen Bereichen durchgeführt haben, zeigen jedoch auch, dass der Umsetzungsgrad gerade im produzierenden Gewerbe derzeit noch gering ist. Gemäß der ZVEI/BSI-Studie (2) haben lediglich 15 Prozent der befragten Unternehmen eine Risikoanalyse ihrer Produktions-IT vorgenommen.

In der Vergangenheit wurde zwar prominent über einige Vorfälle – beispielsweise den „Wannacry“-Angriff – berichtet, dennoch scheint die „gefühlte“ Bedrohungslage aktuell wenig Handlungsdruck auszuüben. Einigkeit besteht im Expertenumfeld darin, dass die zunehmende Digitalisierung im Rahmen von Industrie 4.0 sowie die gleichzeitige Professionalisierung von Cyber-Angriffen die Gefährdungslage stetig erhöht.

Im Bereich der kritischen Infrastrukturen hat der Gesetzgeber mit dem deutschen IT-Sicherheitsgesetz und der europäischen NIS-Richtlinie (Netz- und Informationssicherheit) Mindestanforderungen festgelegt und die Betreiber verpflichtet, ein von externen Auditoren bestätigtes Security-Management aufzubauen. Zu den kritischen Infrastrukturen zählen die Branchen Energie, Informationstechnik und Telekommunikation, Gesundheit, Wasser, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur.

Bedrohte Unternehmenswerte definieren

IT-Security befasst sich mit dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen im Hinblick auf unbeabsichtigte oder zufällige Gefährdungen – zum Beispiel durch Hochwasser oder Feuer, vor allem aber vor vorsätzlichen Angriffen. Entsprechend müssen die Gegenmaßnahmen so gestaltet werden, dass sie die kriminelle Energie der Angreifer ebenfalls berücksichtigen. Dies zu erreichen erfordert einen ganzheitlichen Ansatz.

Als Ausgangspunkt sind die bedrohten Unternehmenswerte zu definieren. Dabei kann es sich um Know-how und Prozessdaten ebenso handeln wie um die Verfügbarkeit bestimmter Systeme. Wesentliche Funktionen, deren Ausfall besonders relevante Folgen hat, müssen explizit hervorgehoben werden. Diese Aufgabe kann nur der Betreiber selbst – gegebenenfalls mit externer Unterstützung – lösen.

Ermittelte Schutzmaßnahmen fortlaufend weiterentwickeln und pflegen

Im nächsten Schritt sind die jeweiligen technischen und organisatorischen Schutzmaßnahmen – von der Firewall bis zu Schulungen – zu ermitteln und umzusetzen. Im Rahmen eines Informationssicherheits-Managementsystems [(3) oder (4)] ist die fortlaufende Weiterentwicklung und Pflege notwendig, um das Schutzniveau zu erhalten respektive zu verbessern. Zu diesem Zweck müssen alle an der Erstellung und dem Betrieb der Automatisierungslösung beteiligten Instanzen gemeinsam agieren, wie dies in der internationalen Norm IEC 62443 (4) beschrieben wird.

Die Komponentenhersteller haben für die Sicherheit der Produkte zu sorgen, deren sicheres Zusammenwirken von den Maschinen- und Anlagenbauern beachtet werden muss. Der Betreiber verantwortet schließlich die sicheren Betriebsabläufe. Sämtliche Security-Prozesse stimmen darin überein, dass sie mit einem systematischen Vorgehen versuchen, alle Einfallstore zu schließen. Für Angreifer kann es hingegen schon ausreichen, wenn sie eine einzige Schwachstelle finden.

Ergänzendes zum Thema
 
Umfassende Expertise nutzen

Funktionale Anforderungen und Prozesse beachten

Die unverzichtbare Grundlage eines Security-Konzepts stellt die Verfügbarkeit von IT-sicheren Produkten und Lösungen dar. In diesem Zusammenhang sind jeweils die funktionalen Anforderungen und zugehörigen Prozesse wichtig:

--> Security durch Funktionen

Bei der Erarbeitung der Automatisierungslösung müssen die Security-Anforderungen des Betreibers, die sich aus den zu schützenden Werten ergeben, berücksichtigt werden. Dazu wird eine Bedrohungs- und Risikoanalyse für die Automatisierungslösung durchgeführt. Daraus lassen sich die Anforderungen an das System und die eingesetzten Komponenten ableiten. Die Auswahl der Security-Funktionen drückt sich dabei durch den Security-Level „SL“ in den Stufen 1 (Schutz gegen Fehlbedienung) bis 4 (Schutz gegen starke Angreifer) aus. Die Teile 3-3 und 4-2 der Norm IEC 62443 erläutern die Funktionen und ihr Zusammenspiel. Sie umfassen zudem die Themen Identifizierung, Nutzungskontrolle, Systemintegrität, Vertraulichkeitsschutz, Datenflusskontrolle, Überwachung und Ressourcenverfügbarkeit.

--> Security als Qualität

Als mindestens ebenso wesentlich wie die Funktionen erweist sich die Widerstandsfähigkeit gegen Angriffe respektive die möglichst umfassende Vermeidung von Schwachstellen bei der Umsetzung. Diesen Aspekt bringt die IEC 62443 in Teil 4-1 mit den Anforderungen an einen sicheren Produktlebenszyklus zum Ausdruck – und zwar von der gerätespezifischen Bedrohungsanalyse über die sichere Realisierung bis zu Security-spezifischen Tests. Zur Erlangung eines sicheren Produktlebenszyklus müssen Prozesse etabliert und das Personal muss entsprechend geschult werden.

Die Verantwortung eines Herstellers von IT-sicheren Produkten endet jedoch nicht mit deren Auslieferung an den Kunden. Da es keine 100-prozentige Fehlerfreiheit gibt, muss der Hersteller über ein Product Security Incident Response Team (PSIRT) verfügen, das bei entdeckten Schwachstellen eine Lösung erarbeitet und die Information an die Kunden (Advisory) herausgibt.

Für den Bereich der Systemintegration sind die relevanten Qualitätsvorgaben im Teil 2-4 der Norm beschrieben. So soll sichergestellt werden, dass die Lösung möglichst frei von Sicherheitsproblemen ist. Außerdem muss der Lösungsanbieter respektive Integrator die erforderlichen Security-Kenntnisse und -Fähigkeiten in puncto Architektur, Umsetzung, Text und Pflege haben. Denn Sicherheitsmaßnahmen sind immer nur so gut wie ihre Verwendung. Eine Firewall verbaut zu haben ist besser, als keine Firewall zu besitzen. Allerdings bietet sie lediglich dann einen guten Schutz, wenn sie ein angepasstes und gepflegtes Regelwerk umfasst.

--> Sichere Anwendung

Schließlich muss auch der Betreiber einer Anlage die Security-Aspekte in seinen Prozessen sowie mit seinem Personal realisieren. Das erreichte Schutzniveau ergibt sich nicht nur aus den technischen Fähigkeiten der Anlage, sondern bedingt deren permanente Überwachung und Pflege. Dazu gehören eine genaue Kenntnis der Installation und ihrer Eigenschaften – also ein Netzwerkplan und ein Inventar sämtlicher Komponenten – ebenso wie eine Verwaltung der Benutzer und Rechte sowie der Zugangsdaten respektive elektronischen Schlüssel. Als „klassische“ Fehler seien hier zusätzliche Verbindungen oder Zugänge, die nicht zurückgebaut werden, sowie nicht geänderte Standard-Passwörter und aktive Benutzerkennungen von ausgeschiedenen Mitarbeitern genannt. Jeder Fehler kann einen Angriff ermöglichen oder erleichtern. In jedem Fall mindert er das durch technische Maßnahmen umsetzbare Schutzniveau der Anlage entsprechend.

Systematisches Vorgehen etablieren

Die Absicherung einer Automatisierungslösung vor Angreifern erfordert das systematische Vorgehen aller Beteiligten. Dem Angreifer reicht möglicherweise eine einzelne Schwachstelle, um einen erheblichen Schaden anzurichten. Deshalb müssen die Security-Maßnahmen gründlich gestaltet werden. Die Experten von Phoenix Contact beraten und unterstützen bei deren Realisierung.

Keine Chance für Cyber-Kriminalität: So lassen sich Anlagen vor unbefugten Zugriffen absichern

Sicherheitstechnik

Keine Chance für Cyber-Kriminalität: So lassen sich Anlagen vor unbefugten Zugriffen absichern

23.01.18 - Seit Anfang 2017 steigen die sicherheitstechnischen Angriffe auf Industrieunternehmen und den Infrastrukturbereich stetig. In den Medien wird meist dann darüber berichtet, wenn der Anschlag erfolgreich war und einen großen Schaden angerichtet hat. Unberechtigte Zugriffe auf die Daten kleiner Unternehmen oder des Einzelhandels finden kaum Beachtung. Scheitert der Angriff, weil der Betreiber sämtliche Bereiche seiner Kommunikationsinfrastruktur ausreichend abgesichert hat, ist das leider keine Nachricht Wert. lesen

Proaktive Sicherheit ist jetzt das Gebot der Stunde

Cyber Security

Proaktive Sicherheit ist jetzt das Gebot der Stunde

16.04.18 - Was treibt Unternehmen in punkto Cyber Security derzeit um? Wie weit ist die Umsetzung der europäischen Datenschutzgrundverordnung (EU-DSGVO)? Worum geht es bei der Proaktiven Cyber Security Intelligence und warum ist es so wichtig, die Industrie 4.0 anders als früher abzusichern? Eine Momentaufnahme. lesen

So könnte sich der Cybersecurity-Markt 2018 entwickeln

Security

So könnte sich der Cybersecurity-Markt 2018 entwickeln

11.01.18 - Airbus Cybersecurity stellt drei Prognosen für den Cybersecurity-Markt im Jahr 2018 auf. So sollen vermehrt Gefahren von Sozialen Medien und Drahtlosnetzen ausgehen. Wie sich Unternehmen jetzt schützen können. lesen

10 Schritte zum Schutz vor Hacker-Angriffen

IT-Sicherheit

10 Schritte zum Schutz vor Hacker-Angriffen

28.03.18 - Schlagzeilen über verheerende Cyberangriffe waren in der letzten Zeit keine Seltenheit – und sie scheinen immer häufiger zu werden: Sowohl die Zahl der Sicherheitsverletzungen als auch deren Schweregrad nehmen weiter zu. Dabei zeigt sich, dass viele der Angriffe vermeidbar wären. lesen

Literaturverzeichnis

[1] VDMA Studie Industrial Security 2017. Frankfurt :VDMA, 2017 [2] Sicherheitslagebild. Frankfurt : ZVEI, 2018 [3] Information technology - Security Techniques - Information Security Management System. ISO/IEC 27000:2014 [4] Security for industrial automation and control systems. IEC 62443

* Dr.-Ing. Lutz Jänicke, Product & Solution Security Officer im Bereich Corporate Technology & Value Chain, Phoenix Contact GmbH & Co. KG, Blomberg

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45452647 / Security)