Security-Strategie statt nur Vertrauen: Aspekte dezentraler IT-Sicherheit für industrielle Netzwerke

Bei Cyber-Physical Systems (CPS), die als Kernbestandteile des Internet of Things und von Industrie 4.0 gelten, ist die Datensicherheit einer der entscheidenden Aspekte. Technische Maßnahmen wie Firewall, VPN, gute Passwörter und gegebenenfalls eine DMZ sind dafür notwendig - aber sind sie auch hinreichend?

Fotolia, Servicetechniker oder Hacker? Bildquelle: © Fotolia.com

Gut oder böse? Service-Techniker oder Hacker? So leicht wie dieser Schaltschrank zu erreichen ist, wird das Eindringen in IT-Netzwerke sehr einfach.

Bei Cyber-Physical Systems als Elementen des Internet of Things (IoT), das Maschinen, Anlagen, Geräte und Gebäude weltweit per Internet Protocol (IP) verbindet, gibt es inhärente Sicherheit nicht mehr. Trotzdem gehört ihnen offenbar die Zukunft.

Abteilungs- und Organisationsgrenzen lassen sich per IP problemlos überwinden. Doch das zwingt Unternehmen, bisher wohlbehütete und weitestgehend abgeschottete Netzwerke nach innen und außen zu öffnen. Gleichzeitig bekommen lokale Echtzeit-Feldbusse Konkurrenz durch deterministische Ethernet-Lösungen, und die Zeit der Punkt-zu-Punkt-Verbindungen (RS-232, Telefon) geht langsam aber sicher zu Ende – und damit auch der Luxus der systemimmanenten Sicherheit. Und schon steht die Sicherheit der Datenkommunikation im Fokus.

1. Aspekt: Organisatorische Maßnahmen

Automatisierungspyramide Bildquelle: © Insys icom

Die Automatisierungspyramide verändert sich in der Industrie 4.0. Fertigungsnetze verteilter Standorte und externer Dienstleister müssen sicher an das »Heimnetz« angebunden werden. Professionelle Router sind die sicheren Bindeglieder zwischen den einzelnen Netzwerkbestandteilen.

Das Bewusstsein für und der Anspruch an eine sichere Datenkommunikationstechnik sind bei Banken, Energieversorgern und großen Industrieunternehmen sehr ausgeprägt – und Alltag. Doch andernorts scheint das Thema (noch) nicht angekommen zu sein: Manche Unternehmen agieren hemdsärmelig, andere opfern die Sicherheit den Kosten oder der scheinbaren Praxistauglichkeit. So oder so: Imageverlust ist dabei noch das geringere Übel; Haftungsfragen sind risikoreicher, zumal Unwissenheit nicht vor Strafe schützt.

Es braucht die volle Unterstützung der Unternehmensleitung und klare Verantwortlichkeiten, denn eines ist sicher: Jedes Unternehmen ist interessant, zumindest für die direkten Wettbewerber. Nicht zu unterschätzen sind aber auch staatsnahe Organisationen, auf die sich mehr als die Hälfte aller Cyber-Angriffe zurückführen lassen.

Auffallend an den Top-10-Bedrohungen, die das BSI (Bundesamt für Sicherheit in der Informationstechnik) im März 2014 herausgegeben hat, ist vor allem Platz 4: »Menschliches Fehlverhalten und Sabotage«. Die Mentalität »es wird schon nichts passieren« ist offenbar sehr weit verbreitet. Doch jedem einzelnen Mitarbeiter muss klar werden, dass ein lascher Umgang mit Daten und Netzen in letzter Konsequenz den Fortbestand des Unternehmens gefährden kann. Deshalb sind präzise Prozesse, klare Verträge und nicht zuletzt Schulungen für alle Mitarbeiter und Geschäftspartner, die einen Zugang zu den unternehmenseigenen Daten und Netzen benötigen, ein Muss.

Im Übrigen haften etwa GmbH-Geschäftsführer, »welche ihre Obliegenheiten verletzen«, laut §43 Abs. 2 GmbHG »der Gesellschaft solidarisch für den entstandenen Schaden«. Ebenso handfest ist der nächste Aspekt.