Sicherheit Industrieller Kontrollsysteme

Der Faktor Mensch bleibt das größte Risiko

23. Oktober 2019, 14:10 Uhr   |  Hagen Lang


Fortsetzung des Artikels von Teil 1 .

Die wichtigsten Angriffs-Quellen

Frage: In Ihrer aktuellen Umfrage werden als Quelle der „absichtlichen Angriffen“ böswillige Hacker (45%), Staaten (28%), das organisierte Verbrechen (24%), Aktivisten (17%), Wettbewerber (10%) und ehemalige Mitarbeiter (10 %) genannt. Als Quelle der „unbeabsichtigten Bedrohungen“ werden Mitarbeiter (35%), Service Provider und Auftragnehmer (31 %), interne „Unfälle“ (21 %) und Lieferanten von Equipment (14%) genannt. Mit „Mitarbeiter“ ist ja nicht nur der „DAU“ gemeint, sondern auch der Sicherheitsexperte im eigenen Unternehmen. Wie beurteilen Sie dieses Ergebnis und woran kann das Ihrer Meinung nach liegen?

Doug Wylie: Die menschliche Natur gefährdet jeden, auch die Sicherheitsexperten selbst, manipuliert zu werden oder wissentlich, unwissentlich oder unbeabsichtigt Sicherheitskontrollen zu umgehen, um eine dringende Aufgabe zu erledigen. Risiken und Bedrohungen selbst haben sich im Laufe der Zeit stark weiterentwickelt, weshalb es für alle Menschen in allen Positionen wichtig ist, sich der Risiken bewusst zu sein, wenn sie sich weiterentwickeln, um wachsamer zu werden.

Um das Jahr 2000 herum begann Ethernet in der Fabrik und in den meisten Automatisierungs- und Steuerungssystemen an Bedeutung zu gewinnen. Industrial Ethernet breitete sich in den Fabriken schnell aus, was dazu führte, dass sich die Automatisierungs- und Steuerungstechniker weiterentwickeln mussten. Plötzlich mussten die Steuerungsingenieure in der Lage sein, komplexere Probleme im Bereich des aktiven Netzwerks zu lösen, die sie während ihres Studiums nicht gelernt hatten und die sie auch in der Vergangenheit nie behandelt hatten. In den folgenden 10 Jahren wurden viele dieser Automatisierungsingenieure mit ihren Fähigkeiten im Bereich des industriellen Netzwerks vertraut. Sie sollten geschäftliche Betriebsziele erreichen, wussten aber wahrscheinlich nicht, dass sie sich auf einem anderen Weg befanden. Dieser Weg forderte zu einer Weiterentwicklung auf, um die wachsenden Sicherheitsrisiken für das ICS zu bewältigen, als diese Risiken bekannt und zu einem anerkannten Problem wurden.

Nicht nur die Technologie und Systemarchitektur hat sich verändert, sondern auch ein Individuum in diesem Bereich hat heute viel mehr Verantwortung zu tragen, viel mehr Aufgaben zu erfüllen und mehr Themen zu meistern als bisher. Dazu gehören zusätzliche Verantwortlichkeiten für die Absicherung, den Schutz und die Verteidigung von Systemen, um einen sicheren, zuverlässigen und produktiven Betrieb dieser Systeme im Laufe der Zeit zu gewährleisten.

Deshalb haben immer mehr Unternehmen Probleme, die richtigen Personen für die Bandbreite der Aufgaben, die diese Rollen mit sich bringen, zu finden. Vor allem müssen die Personen, die mit dem Betrieb kritischer Systeme beauftragt werden, vertrauenswürdig und integer sein. Muss man sie selbst ausbilden, muss man sie anstellen, muss man das Ganze outsourcen? Jedes Unternehmen trifft seine eigenen Entscheidungen. Die erste Reaktion ist, das Ganze outzusourcen und Drittfirmen zu beauftragen, bis man vielleicht organisch eigenes Personal ausgebildet hat.

Außerdem unterscheiden sich Unternehmen nicht so sehr von Menschen. Die Menschen wollen ihre Privatsphäre schützen, zumindest sagen sie das, aber wenn man sich ansieht, wie sie sich verhalten, verlieren sie wissentlich und unwissentlich Daten, wo immer sie sich befinden, oft weil sie ihre besonderen Verhaltensweisen und Aktivitäten als harmlos ansehen. In einigen Fällen glauben die Menschen, dass es Sicherheit in Zahlen geben kann, oder dass Unternehmen hinter der von ihnen verwendeten Anwendung sie schützen werden, was zu einem falschen Sicherheitsgefühl führt. In mancher Hinsicht ist die schnelle Einführung und weit verbreitete Anwendung von Internet of Things (IoT)-Geräten in Unternehmen und ICS sehr ähnlich mit Unternehmen und Personen, die oft die damit verbundenen Sicherheitsrisiken übersehen oder ignorieren. Es ist nicht ganz unwahrscheinlich, dass die Leute ohne Rücksicht auf Sicherheitsrisiken sagen: „Oh, eine tolle Technologie, die die Verfügbarkeit und Uptime unserer Prozesse verbessern wird. Das wollen wir.“

Anstatt alles blind zu installieren und an das Netzwerk anzuschließen, sollten wir uns fragen, ob der Mehrwert, den uns das bringen soll, das damit einher gehende Risiko wert ist. Wir sollten auch unsere Bereitschaft zur ordnungsgemäßen Verwaltung und Wartung dieser Geräte sowie die Verantwortung des Geräteherstellers für den Support von Geräten während ihres gesamten Lebenszyklus bewerten. Diese Fragen werden zu selten gestellt, auch in Unternehmen. Im Zweifelsfall sollten bestimmte Geräte und Dienste nicht in das Netz aufgenommen werden, da die Risiken die Chancen und den erwarteten Nutzen sehr wohl übersteigen können. Außerdem sollte auch das Potenzial betrachtet werden, inwieweit die Sicherheit und die betriebliche Integrität des Systems und alles andere, mit dem es verbunden ist, beeinträchtigt werden.

Frage: Was sind, besonders im Bereich IoT und ICS weitere Trends, die Sie in Sachen Security bei Unternehmen sehen?

Doug Wylie: Es ist notwendig, ein Gleichgewicht zwischen der Anwendung von ICS-Sicherheitskontrollen und den geschäftlichen Erfordernissen für einen sicheren, zuverlässigen und profitablen Betrieb zu gewährleisten. Wenn man sich die Industrieautomation noch einmal ansieht, die in vielen Fällen 24 Stunden am Tag über das Jahr läuft, darf die Sicherheit diesen Prozessen einfach nicht im Wege stehen. Glücklicherweise, da das Bewusstsein und die Fähigkeiten der Cybersicherheit in den Unternehmen weiter zunehmen, zeigen solche Konflikte Anzeichen einer Verringerung.

 

Wir beobachten derzeit das zunehmende Bewusstsein, und auch die Technologien und zeitgemäßen Produkte beginnen zu zeigen, dass Sicherheit ein integraler Bestandteil industrieller Steuerungssysteme sein kann und muss.

Seite 2 von 5

1. Der Faktor Mensch bleibt das größte Risiko
2. Die wichtigsten Angriffs-Quellen
3. Geht es auch ohne Security Operations Center in jeder Firma?
4. Security hat einen Return on Investment
5. Markt und Staat setzen Standards

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

elektroniknet