IT-Sicherheit im Zeitalter der Industrie 4.0

Das "Internet der Dinge" ist längst in der Industrie angekommen

9. Juni 2017 AKTUELL, SCIENCE & FICTION, SELFPUBLIC, TECHNIK, WIRTSCHAFT
IT-Sicherheit im Zeitalter der Industrie 4.0
Ein einziger falscher Anschluss kann eine ganze Firma lahm legen - Spezialisten ziehen rechtzeitig den Stecker oder verhindern dies schon vorher! | thommas68 / Pixabay

Können Sie sich noch an “Stuxnet” erinnern? Vor einigen Jahren geisterte dieser Computerwurm durch die IT-Anlagen der Industrie, in AKW´s und durch die Medien. Damals erhielt die Welt einen Blick durch ein “Wurmloch” in die Zukunft des Cyber-War.

Diese Zukunft hat längst begonnen, besagtes Schadprogramm zeigte aber schon 2010 was auf uns zu kommt. Damals wurden zB. Steuerungsanlagen manipuliert, Frequenzumrichter kompromittiert oder gar die Uranzentrifugen angegriffen.
Es geht hier also nicht um die kleinen privaten Computer-Problemchen, sondern dieser Artikel beschreibt einen gefährlich hohen Level von Cyber-Kriminalität.

Stuxnet, bzw. dessen Wegbereiter, Klone und Versionen richteten immensen Schaden an und bis heute weiß man nicht wirklich wer dahinter steckt. Man weiß aber, die eigentlich ab 2007 gestartete Schad-Software war sehr ausgefeilt, den Auftraggebern musste es einen mehrstelligen Millionen Betrag gekostet haben.

Nebst Stuxnet kamen natürlich noch andere Fälle zu trauriger Berühmtheit, ich erinnere etwa an die Ransomware “WannaCry“, welche Anfang Mai 2017 für Aufsehen sorgte. Dessen Methoden sind keineswegs neu, aber immer noch gefährlich, va. wenn der “Faktor Mensch” im Spiel ist.

Mit USB Stick ganze Fabrik lahmgelegt!

Hohe Kosten entstehen natürlich auch auf der anderen Seite, beim Umsetzen der Maßnahmen für industrielle IT Sicherheit. Dabei ist die Ursache oft banal: Ein Mitarbeiter lädt in der Hektik des Alltags irrtümlich Schadcode herunter, ein anderer infiziert gar absichtlich die Systeme seiner Firma. Alles schon vorgekommen, ein USB Stick reicht um ganze Fabriken zu (zer)stören.

Der unaufhaltsame Weg des Codes beginnt etwa bei einem ungepatchten Windows-PC , über das Netzwerk bis zu den Fertigungsanlagen. Jene sind ebenfalls längst untereinander vernetzt, sowie auch mit den Terminals der Mitarbeiter verbunden.
Die entpackten Methoden und Funktionen können sich lange ruhig verhalten, aber eines vorprogrammierten Tages arbeiten sie im Sinne der Cyber-Kriminellen und gegen ihre Besitzer.

Klar, jedes Unternehmen setzt erst mal auf die eigenen IT-Leute, man versucht diese Sache nicht publik werden zu lassen. Denn Kunden, Lieferanten und Partner werden wenig begeistert sein.
Studien schätzen, dass sich von 1000 betroffenen Firmen höchstens 100 – 200 melden.

Doch ich kann aus eigener Erfahrung (DDos Attacken) sagen: Solche Vorkommnisse sollte man den zuständigen Behörden melden und vor allem: sich Hilfe externer Spezialisten holen! Die interne IT ist auf die Betriebsabläufe fokussiert und eventuell nicht voll auf das vorbereitet was der Industrie 4.0 blühen kann und wird!

Das Internet der Dinge in der Industrie

Das “Internet of Things” (kurz IoT) beschränkt sich keineswegs auf digitale Armbänder mit Tracking-Funktion, intelligente Kühlschränke oder vernetztes Kinderspielzeug.

Dieses Konzept ist auch in der Industrie angekommen: “Industrial Internet of Things” (IIoT) ist die Kommunikation von Maschinen untereinander, die Datengewinnung- und deren Verwertung sowie Kommunikations- und Automatisierungstechnologien.
Dadurch erreicht man höchste Effizienz, weil die stets dokumentierten Prozesse quasi in Echtzeit optimiert werden können und im Endeffekt soll es natürlich auch den Gewinn erhöhen.

Doch es ist eine herber Verlust, wenn sich die “Dinge”, von der Werkzeugmaschine bis zum Industrieroboter gegen ihre Operatoren wenden. Hier ist guter Rat teuer, weil viel wert – aber nicht unbezahlbar!

Data as a Service“? Was ist denn “Daas” schon wieder?

Schließlich seien noch die immensen Datenmengen erwähnt, welche das Industrielle Internet der Dinge produziert: “Mehr Sensorik und Aktorik, ‘intelligente Maschinen und Systeme’ produzieren unendlich viele Daten die gesammelt, analysiert und wieder bereitgestellt werden müssen. Diese Daten sollten zusammengeführt werden, um die Produktion effizienter, kostengünstiger etc. zu gestalten.“, so ein Sprecher von www.yokogawa.com.

Genau diese Zusammenführung, Analyse und Bereitstellung von Daten in Form einer Servicedienstleitung wird als “Data as a Service” (DaaS) bezeichnet.

Dies alles zeigt, wie oben erwähnt – man sollte sich helfen lassen, externe, spezialisierte Dienstleister haben da mehr Know-how. Denn diese konzentrieren sich auf genau diese Aufgaben. Die eigene, interne IT hat genug mit den Kernaufgaben der betriebsinternen Abläufe zu tun.

Dabei folgen diese Profis meist einem recht logischen Prinzip, teilen das Sicherheitskonzept für Automatisierungssysteme auf vier Ebenen auf:

  • Physische Sicherheit & Netzwerksicherheit,
    z. B. Zugangsbeschränkungen bzw. -überwachung für Computer- und Schalträume; Firewall zwischen Leitsystem-Bus und anderen Netzwerken, z. B. Büro- oder Drahtlosnetzen, VPN-Zugänge;
  • Sicherheit von Servern und Applikationssoftware,
    z.B. Whitelisting, Antiviren-Software & Systempflege (Updates, Upgrades, Patches);
  • Sicherungs- und Wiederherstellungsoptionen,
    z. B. (automatisches) Erstellen von Backups, Backupverwaltung;
  • Lebenszyklus-Management,
    Anpassung der Sicherungs- und Schutzmaßnahmen an den aktuellen Stand der Technik und die spezifische Bedrohungslage.

Man ist also nicht allein mit seinen digitalen Sorgen, es gibt immer wo Hilfe; Man muss aus der Menge an Anbietern nur die richtigen Leute herausfinden, denn diese sind noch selten.
Aber: Lesen Sie zeitimblick.info, hier zeigen wir die echten Profis auf und enttarnen Dampfplauderer …

Quelle
Link zum Originalartikel, bzw. zur Quelle des hier zitierten, adaptierten bzw. referenzierten Artikels (Keine Haftung bez. § 17 ECG)

Disclaimer

Bitte beachten Sie den Disclaimer zum Medienrecht. Klicken Sie hierzu auf "Mehr anzeigen"

  • Wir verweisen hiermit auf den Ausschluss der Verantwortlichkeit bei Links und betonen ausdrücklich, dass wir die im Abs. 1 des § 17 ECG genannte Überprüfung etwaiger Rechtswidrigkeit im verlinkten Inhalt nicht immer gewährleisten können.
  • Die Betreiber und die Autoren dieser Website sind weder Juristen, noch beschäftigen sie solche, dürfen und können daher keine Rechtsgutachten über externen Content erstellen.
  • Der Pflicht gem. Abs. 2, § 17 ECG kommen wir erst nach Einlangen qualifizierter Hinweise der Justizbehörden nach. Dennoch beachten wir auch Hinweise daran beteiligter jur. wie phys. Personen und versuchen objektiv zu bleiben.
  • Artikel, Beiträge, Seiten usw. sind mit Quellangaben versehen, soweit diese bekannt und nötig sind. Dabei gibt es 4 Abstufungen:
    - "APA-OTS-Originaltext Presseaussendung unter ausschließlicher inhaltlicher Verantwortung des Aussenders!" bedeutet, dass diese Veröffentlichung kein von uns produzierter redaktioneller Content ist, sondern eine Verteilung im Sinne des APA Disclaimers (§ 17 ECG muss hier also nicht explizit angegeben werden).
    - "Link zum Originalartikel, bzw. zur Quelle des hier zitierten, adaptierten bzw. referenzierten Artikels (Keine Haftung bez. § 17 ECG)" besagt das Gleiche wie oben, gilt aber für allen Content, welcher nicht, oder nicht nur von APA-OTS kommt. Hier dürfen auch eigene Einleitungen, Anmerkungen und Fußnoten dabei sein. (§ 17 ECG gilt dennoch)
    - "Redaktionelle Adaption einer per APA-OTS verbreiteten Presseaussendung." heißt, dass von APA-OTS verbreiteter Content von uns in weiten Teilen verändert, angepasst, ergänzt wurde. Hier deklarieren wir keinen vollen Haftungsausschluss für den gesamten Content des jeweiligen, so gekennzeichneten Artikels. (§ 17 ECG gilt aber weiterhin für Aussagen des Urhebers.)
    - "Quelle wird teilweise genannt, aber aus rechtlichen Gründen (§ 17 ECG) nicht verlinkt" bedeutet, dass die Quelle zwar genannt wird oder werden musste, wir aber aufgrund der nicht möglichen Prüfung auf rechtliche Korrektheit, Wahrheit des externen Inhalts keinen Link setzen.
  • Wir sind nicht verantwortlich für die Offenlegung persönlicher Daten beteiligter jur. wie phys. Personen in und auf verlinkten Webseiten, sowie in den URLs und deren Linktext.
  • Ebenso teilen wir nicht zwingend deren Ansichten, sondern machen die Unschuldsvermutung für alle jur. wie phys. Personen und alle Vorwürfe gegen jene geltend. Dies gilt insbesondere für die eigene Berichterstattung, welche nach dem öst. Mediengesetz erfolgt, soweit wir als Nicht-Juristen dieses verstehen.
  • Wir stehen nicht in (ge)werblichen Zusammenhang mit uo. zu den Betreibern der verlinkten Webseiten.
  • Etwaige Empfehlungen in diesem Bericht sind keine Rechtsberatung!
  • Der Begriff "Abmahnanwalt" bezeichnet Juristen, welche überwiegend u.o. ausschließlich von (meist ungerechtfertigten, überzogenen, rechtlich fragwürdigen) Abmahnungen leben und soll keine Herabwürdigung von Kanzleien darstellen, welche dies innerhalb gesetzlich verankerter Regeln tun.
  • Jener Disclaimer soll sich nicht über gültiges Recht hinwegsetzen und hat aufgrund der nicht Vertrags-gebundenen Wirksamkeit hpts. informativen Charakter.
  • Bitte beachten Sie in dem Zusammenhang auch unsere AGB.
Mehr anzeigen
Zuklappen