erfolgreiche industrielle IT-Sicherheit

In diesem Artikel skizziere ich die Gründe für eine intensive Beschäftigung mit IT-Sicherheit in der industriellen Automatisierung und gebe Empfehlungen für Verbesserungen in diesem Bereich.

Jedes zweite Unternehmen ist betroffen

Eine Studie des IT-Branchenverbands BITKOM hat ermittelt, dass jedes zweite Unternehmen in Deutschland schon einmal Opfer von Datendiebstahl, Sabotage oder digitaler Wirtschaftsspionage geworden ist. Dies ist in Anbetracht der großen Anzahl von mittelständischen Unternehmen und börsennotierten Konzernen in Deutschland eine kritische Erkenntnis. Wenn man also der Meinung ist, dass das eigene Unternehmen nicht zu den Opfern gehört, so könnte es sein, dass man nur noch nichts vom Erfolg der Hacker weiß, da diese die Einbruchsspuren professionell verwischt haben.

Ziel sind die Kronjuwelen des Unternehmens

Das Ziel der Angreifer ist hierbei oftmals nicht unbedingt die direkte und sofortige Schädigung des Opfers, sondern das Ausspionieren von Fachwissen und Geschäftsgeheimnissen von Unternehmen, die mit ihren Alleinstellungsmerkmalen in einem Spezialgebiet Weltmarktführer sind. Die durch die Wirtschaftsspionage gewonnenen Erkenntnisse können dann langfristig gegen das Unternehmen im globalen Wettbewerb eingesetzt werden. Patente klingen erstmal sicher, jedoch ist es extrem kostspielig Patente weltweit einzutragen und noch teurer diese dann auch durchzusetzen. Die Gerichte werden nämlich nicht von selbst tätig. Die Geheimhaltung von Know-How, mit dem das eigene Unternehmen langfristig im weltweiten Wettbewerb besteht, ist daher von existentieller Wichtigkeit. Zudem sollte man wissen, was in der Krisensituation zu tun ist. Das BSI hat hierzu Vorgaben für den Themenkomplex Notfallmanagement veröffentlicht.

Regelungen im IT-Sicherheitsgesetz

Die Bundesregierung hat mit der Verabschiedung des IT-Sicherheitsgesetzes im Juni 2015 und der u.a. dort verankerten Meldepflicht für Betreiber kritischer Infrastruktur die Wichtigkeit des Themas erkannt. Es sollen zwar lediglich 2.000 Unternehmen in Deutschland direkt betroffen sein, jedoch sollte nun der letzte Marktteilnehmer erkannt haben, welche Priorität das Thema IT-Sicherheit im eigenen Unternehmen haben sollte. Das BSI unterstützt Unternehmen durch den Grundschutzkatalog und die IT-Grundschutzstandards bei der Einrichtung einer funktionierenden IT-Sicherheitsorganisation. Das BSI ermöglicht zudem eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz

E-Procurement

Im B2B-Umfeld wird die Beschaffung beim Lieferanten über sog. E-Procurementsysteme elektronisch unterstützt. Die weiter fortschreitende Automatisierung der Produktion über flexible Fertigungssysteme und die zunehmende Vernetzung und Spezialisierung führen ihrerseits effizienzbedingt zu Zusammenarbeit ohne menschliche Akteure. So können im schlechtesten Fall Einfallstore für Angreifer entstehen. Stuxnet wurde beispielsweise laut Wikipedia durch Zulieferer der betroffenen Atomanlagenbetreiber in das sonst hoch geschützte System eingebracht. Alle Schnittstellen mit der Umwelt eines Unternehmens entlang der betrieblichen Wertschöpfungskette müssen daher in Sachen industrielle IT Sicherheit genau geprüft werden. Hierbei müssen unbedingt sog. Penetrationstests einbezogen werden. Bei hochgradig schützenswerten Daten setzen Unternehmen sogar auf eine physikalische Trennung der Netze und eine Abschottung vom Internet.

Modernisierungskonzept

Da es unrealistisch ist, dass alle Verbesserungsbedarfe der IT-Sicherheit zugleich gelöst werden können, hat auch das BSI im BSI-Stan­dard 100-2 in Kap. 5.4 sich dem Thema Umsetzungsreihenfolge von IT-Sicherheitsmaßnahmen gewidmet. Es ist daher empfehlenswert eine technische Roadmap aufzustellen, die die Anlagenmodernisierung sowohl aus Sicherheits- als auch aus Effizienzsicht kontinuierlich auf hoher Ebene begleitet und die notwendigen Mittel bereitstellt. So wird sichergestellt, dass die Sensibilisierung für die IT-Sicherheit im Unternehmen kein Strohfeuer ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert