Loading

Blog

Recent ActivityRecent Activity

Reale Gefährdung – gefühlte Sicherheit

Es ist ein permanenter Wettlauf zwischen Gut und Böse. Die einen hacken, die anderen versuchen mit entsprechenden Gegenmaßnahmen den Cyber Angriff zu entschärfen.

Vorbeugen wäre besser.

Wir leben in einer angriffslustigen Welt. Es vergeht kein Tag, an dem nicht irgendwo Jagd auf etwaige Sicherheitslücken gemacht wird. Alleine das österreichische nationale CERT (Computer Emergency Response Team) warnt mindestens einmal pro Monat vor systematisch ausnutzbaren Schwachstellen. 2016 zählten u. a. das Außenministerium, das Bundesheer, die Österreichische Nationalbank und der Flughafen Wien zu den prominenten Opfern von DDoS-Attacken. Im letzten Jahr war es vor allem WannaCry, eine Ransomware mit zusätzlicher Wurmfunktionalität, die zahlreichen Unternehmen das Leben schwer machte. In unterschiedlichsten Medien wurde davor gewarnt bzw. darüber berichtet, trotzdem scheint dieser Weckruf nicht laut genug gewesen zu sein: Denn in vielen Betrieben herrscht nach wie vor akuter Handlungsbedarf. Wie eine aktuelle Studie des VDMA und der VSMA GmbH zum Thema „Cyber-Risiken im Maschinen- und Anlagenbau“ aufzeigt, wird vielfach weiterhin mit veralteten Schutzmechanismen gearbeitet. Außerdem werden die Risiken bzw. Folgen eines Angriffs noch immer unterschätzt.

Irgendwann trifft es jeden

Man liest bzw. hört es immer wieder: Mittlerweile stellt sich nur noch die Frage, wann man selbst Ziel eines Cyberangriffs wird. Dass dies passiert davon sei in Zeiten wie diesen längst auszugehen. In Deutschland blieben in den letzten beiden Jahren nur wenige Unternehmen und Institutionen verschont. Nahezu 70 Prozent wurden attackiert, bei knapp der Hälfte davon erreichten die Angreifer laut Cyber-Sicherheits-Umfrage vom BSI, was sie wollten. Die Folge waren nicht nur Umsatzverluste durch Produktions- bzw. Betriebsausfälle, sondern auch Reputationsschäden sowie enorme Zusatzkosten für die vollständige Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme.

Obwohl das Bewusstsein für die Gefahren, die aus dem Cyber-Raum drohen, hoch ist, gibt es in vielen Produktionsanlagen (OT) nach wie vor keinen Hauptverantwortlichen für dieses Thema. Dabei bräuchte es gerade im Zusammenhang mit Cyber Security eine zentrale Anlaufstelle, die alle (an)laufenden sicherheitsspendenden Einzelmaßnahmen von IT und OT zu einem stimmigen Gesamtkonzept vereint. Vielfach wird versucht, mit einfachen, relativ kostengünstigen Mitteln eine „gefühlte Sicherheit“ zu kreieren. Bei einer realen Bedrohung bringt dies aber meist nur wenig. Die IEC 62443 – eine Normenreihe, die sich mit der IT-Security sogenannter „Industrial Automation and Control Systems“ (IACS) befasst – empfiehlt für die Umsetzung eines ganzheitlichen Defense-in-Depth-Konzepts den koordinierten Einsatz unterschiedlichster Sicherheitsmaßnahmen. Dabei geht es nicht nur um die Implementierung technischer Sicherheitsmaßnahmen, sondern auch um Organisatorisches. Denn der „Angreifer“, egal ob tatsächlich bewusst Schaden anrichten wollend oder aus Unachtsamkeit einen ebensolchen verursachend, befindet sich oftmals im unmittelbaren Umfeld. Laut einer aktuellen KPMG-Studie zielen 60 % aller Angriffe auf die „Schwachstelle Mensch“.

Die 5 Schritte zur Risikominimierung

Identify – Protect – Detect – Respond – Recover

Eine 100%ige Sicherheit gibt es leider nicht. Dennoch können wir einiges dafür tun, uns bestmöglich zu schützen. Das National Institute of Standards and Technology (NIST) empfiehlt in seinem Cybersecurity Framework ein strategisches Vorgehen in fünf Schritten: Zuerst geht es im Rahmen einer umfassenden Risikoanalyse darum, etwaige Schwachstellen in der vorhandenen Netzwerkinfrastruktur und – ganz wichtig! – in der gelebten „Sicherheitspolitik“, Stichwort Security Policies and Procedures, zu identifizieren (Identify). Dann sollte eine Bewertung der entdeckten Risiken und zumindest an besonders kritischen Stellen eine entsprechende Absicherung erfolgen (Protect). Beim dritten Punkt – Detect – ist das Erkennen einer Attacke Thema. Denn vielfach bleiben Trojaner oder andere unerwünschte Eindringlinge monate- oder sogar jahrelang unentdeckt. Wichtig ist natürlich auch, zu wissen bzw. zu klären, wie im Ernstfall reagiert werden soll (Respond): Wer ist wofür zuständig? Wie kann die Abschaltung einzelner Netzwerksegmente realisiert werden, um Schäden zu minimieren? Welche Backup-Szenarien stehen zur Verfügung? Und last but not least muss im laut NIST-Framework fünften Schritt der ursprüngliche Zustand wiederhergestellt werden (Recover) – und das so rasch wie möglich.

Industrial Security beinhaltet also weitaus mehr als „bloße“ Netzwerksicherheit. Das Lösungsangebot von Rockwell Automation baut auf den Eckpfeilern der sogenannten CIA-Triade – Vertraulichkeit (Confidentiality), Integrität (Integrity), Verfügbarkeit (Availability) – auf und umfasst neben secure entwickelten Produkten auch entsprechende Beratungsdienstleistungen sowie ganzheitlichen Support bei der Realisierung physisch, elektronisch und verfahrenstechnisch sicherer Anlagendesigns. Vor kurzem zeigten wir in Frankfurt auf der Achema unsere Antworten auf aktuelle Herausforderungen wie Manipulationserkennung, Zugriffssteuerung, Patch-Management oder Cyberangriff-Abwehr, Ende August folgt ein Auftritt auf der Schweizer Technologiemesse SINDEX und am 3. Oktober beim IoT-Fachkongress von Austrian Standards International. Bei diesen beiden Veranstaltungen werden wir ebenfalls unser weitreichendes Portfolio an Industrial Security-Solutions und -Services in den Blickpunkt stellen. Ich hoffe wir sehen uns?!


Ludwig Haslauer
Ludwig Haslauer
Country Sales Director, Rockwell Automation
Ludwig Haslauer
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Recommended For You