Security-Strategie statt nur Vertrauen
Aspekte dezentraler IT-Sicherheit für industrielle Netzwerke
Bei Cyber-Physical Systems (CPS), die als Kernbestandteile des Internet of Things und von Industrie 4.0 gelten, ist die Datensicherheit einer der entscheidenden Aspekte. Technische Maßnahmen wie Firewall, VPN, gute Passwörter und gegebenenfalls eine DMZ sind dafür notwendig - aber sind sie auch hinreichend?
Bei Cyber-Physical Systems als Elementen des Internet of Things (IoT), das Maschinen, Anlagen, Geräte und Gebäude weltweit per Internet Protocol (IP) verbindet, gibt es inhärente Sicherheit nicht mehr. Trotzdem gehört ihnen offenbar die Zukunft.
Abteilungs- und Organisationsgrenzen lassen sich per IP problemlos überwinden. Doch das zwingt Unternehmen, bisher wohlbehütete und weitestgehend abgeschottete Netzwerke nach innen und außen zu öffnen. Gleichzeitig bekommen lokale Echtzeit-Feldbusse Konkurrenz durch deterministische Ethernet-Lösungen, und die Zeit der Punkt-zu-Punkt-Verbindungen (RS-232, Telefon) geht langsam aber sicher zu Ende – und damit auch der Luxus der systemimmanenten Sicherheit. Und schon steht die Sicherheit der Datenkommunikation im Fokus.
1. Aspekt: Organisatorische Maßnahmen
Das Bewusstsein für und der Anspruch an eine sichere Datenkommunikationstechnik sind bei Banken, Energieversorgern und großen Industrieunternehmen sehr ausgeprägt – und Alltag. Doch andernorts scheint das Thema (noch) nicht angekommen zu sein: Manche Unternehmen agieren hemdsärmelig, andere opfern die Sicherheit den Kosten oder der scheinbaren Praxistauglichkeit. So oder so: Imageverlust ist dabei noch das geringere Übel; Haftungsfragen sind risikoreicher, zumal Unwissenheit nicht vor Strafe schützt.
Es braucht die volle Unterstützung der Unternehmensleitung und klare Verantwortlichkeiten, denn eines ist sicher: Jedes Unternehmen ist interessant, zumindest für die direkten Wettbewerber. Nicht zu unterschätzen sind aber auch staatsnahe Organisationen, auf die sich mehr als die Hälfte aller Cyber-Angriffe zurückführen lassen.
Auffallend an den Top-10-Bedrohungen, die das BSI (Bundesamt für Sicherheit in der Informationstechnik) im März 2014 herausgegeben hat, ist vor allem Platz 4: »Menschliches Fehlverhalten und Sabotage«. Die Mentalität »es wird schon nichts passieren« ist offenbar sehr weit verbreitet. Doch jedem einzelnen Mitarbeiter muss klar werden, dass ein lascher Umgang mit Daten und Netzen in letzter Konsequenz den Fortbestand des Unternehmens gefährden kann. Deshalb sind präzise Prozesse, klare Verträge und nicht zuletzt Schulungen für alle Mitarbeiter und Geschäftspartner, die einen Zugang zu den unternehmenseigenen Daten und Netzen benötigen, ein Muss.
Im Übrigen haften etwa GmbH-Geschäftsführer, »welche ihre Obliegenheiten verletzen«, laut §43 Abs. 2 GmbHG »der Gesellschaft solidarisch für den entstandenen Schaden«. Ebenso handfest ist der nächste Aspekt.
- Aspekte dezentraler IT-Sicherheit für industrielle Netzwerke
- 2. Aspekt: Physische Maßnahmen
- 3. Aspekt: IT-technische Maßnahmen
- Fazit: »Zusammenraufen« versus »zusammen raufen«
- Anhang: Regelwerke zum Thema Security
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
