DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Ver­netzte Dinge: Risi­ko­ab­wägung ist Muss

Die Risiken durch die Com­pu­te­ri­sierung der Maschinen sind viel­fältig; das Aus­spähen von Maschinen-Kon­fi­gu­ra­ti­ons­daten, die Mani­pu­lation von Steue­rungs­in­for­ma­tionen oder auch nur eine Ein­fluss­nahme auf die Qua­li­täts­si­cherung. Auch mit­tel­stän­dische Unter­nehmen müssen die Risiken sorg­fältig abwägen und Mit­ar­beiter sen­si­bi­li­sieren.

Die Minia­tu­ri­sierung der Infor­ma­ti­ons­tech­no­logie ver­ändert unsere Gesell­schaft und die damit ver­bun­denen Ver­än­de­rungen sind aus unserem Alltag nicht mehr weg­zu­denken. IT-Kom­po­nenten ziehen in alle mög­lichen Gegen­stände ein. Nicht nur Maschinen werden “schlauer” — auch all­täg­liche Gegen­stände (Fern­seher, Kaf­fee­ma­schinen, Zahn­bürsten) können zunehmend mehr — und auch autark — dank Chips und Netz­werken.

Die Risiken durch die Com­pu­te­ri­sierung der Maschinen sind viel­fältig; das Aus­spähen von Maschinen-Kon­fi­gu­ra­ti­ons­daten (für den Kon­kur­renten inter­essant), die Mani­pu­lation von Steue­rungs­in­for­ma­tionen (zur bewussten Fehl­steuerung, also Sabotage) oder auch nur eine Ein­fluss­nahme auf die Qua­li­täts­si­cherung (etwa indem Prüf­rou­tinen über­gangen werden) sind schon heute durch die Pro­gram­mier­barkeit der Kom­po­nenten möglich — die Kenntnis über Befehls­sätze, Schnitt­stellen und Zugangs­punkte reicht für Spionage und Sabotage schon aus. Aller­dings ist es dafür immer noch not­wendig, phy­si­ka­lisch in die Pro­duktion zu gelangen.

Durch die Stan­dar­di­sierung der Tech­no­logie und die damit ver­bun­denen Ver­net­zungs­ef­fekte ver­größert sich das Risiko nun erheblich, denn sowohl das Wissen über die Steu­er­barkeit einer Anlage oder eines Geräts als auch die Angriffs­punkte, um mit einer Maschine zu kom­mu­ni­zieren, sind nun ver­breitet ver­fügbar.

Um sich als KMU darauf vor­be­reiten zu können, ist es wichtig, sich der Risiken bewusst zu werden, welche durch die Ver­netzung der Industrie- und Pro­duk­ti­ons­an­lagen ent­stehen. Dafür bietet es sich an, einen Workshop mit allen ver­ant­wort­lichen Per­sonen durch­zu­führen, und sie zu fragen, was gerade nicht pas­sieren darf. Für die höchsten Risiken muss eine Risi­ko­stra­tegie her: Es muss ent­schieden werden, ob das Risiko über­wälzt werden kann (z.B. durch eine Ver­si­cherung), mini­miert werden kann oder ob die Geschäfts­leitung bereit ist, das Risiko zu akzep­tieren (dann bietet sich eine Rücklage in ange­mes­sener Grö­ßen­ordnung an). Sollte keine dieser Optionen möglich sein, dann muss das Risiko ver­mieden werden; und damit auch mög­li­cher­weise die Ele­mente der Ver­netzung, die das Risiko erst so groß machen.

Diese Vor­ge­hens­weise wird eine Reihe von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nahmen nach sich ziehen. Die wich­tigsten Maß­nahmen sind die fol­genden:

  • Zual­lererst muss das Netz, in dem die Pro­duk­ti­ons­ma­schinen laufen, von anderen Com­pu­ter­netzen getrennt sein. Viel Schad­software wird über die Arbeits­rechner der Mit­ar­beiter ein­ge­schleppt. Daher darf ins­be­sondere das Büro-Netzwerk keine beliebige Ver­bindung zum Pro­duk­ti­ons­netzwerk haben.
  • Die Maschinen dürfen niemals “direkt” im Internet stehen. Anfragen an die Maschinen müssen immer über Proxies laufen, damit die Anfragen auf schad­hafte Inhalte kon­trol­liert werden können (durch „App­li­cation Level Fire­walls“).
  • Am wich­tigsten ist jedoch die Sen­si­bi­li­sierung der Mit­ar­beiter: etwa dass keine fremde Hardware unge­prüft ange­schlossen werden darf oder dass die Fern­wartung durch den Lie­fe­ranten nur über sichere Kanäle erfolgen darf.

Dies betrifft aber nicht nur die indus­trielle Ver­netzung: auch zu Hause sollte abge­wogen werden, welche intel­li­genten Systeme Einzug halten und wie man sie ver­netzt. Schüt­zen­werte Daten sollten auf jeden Fall gesi­chert werden z.B. in der Cloud.

Anm: Der Beitrag ist zuerst in einer län­geren Version in der Zeit­schrift der IHK-Rhein-Neckar erschienen.

Ein Kommentar zu Vernetzte Dinge: Risikoabwägung ist Muss

  • Thiel sagt:

    Das ist ja sehr schlimm in wie weit ‚sich
    die Cyber­kri­mi­na­lität ent­wi­ckelt.
    Eine Cloud ist auch nicht sicher wo grade große Unter­nehmen abgehört und gehackt werden. Es müssen mehr
    Sicher­heits­standars fest­gelegt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Dr. Sachar Paulus, Hoch­schule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kup­pinger Cole, arbeitet gleich­zeitig als selb­stän­diger Unter­neh­mens­be­rater für Sicherheit und ist Pro­fessor für Unter­neh­mens­si­cherheit und Risi­ko­ma­nagement an der FH Bran­denburg. Er war Mit­glied der stän­digen Inter­es­sen­ver­tretung der ENISA (Euro­päische Netzwerk- und Infor­ma­ti­ons­si­cher­heits­agentur) und des For­schungs­beirats “RISEPTIS” für Ver­trauen und Sicherheit im Future Internet der Euro­päi­schen Kom­mission. Er ist Vor­stands­vor­sit­zender des Vereins “ISSECO” für sichere Software-Ent­wicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Bran­denburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in ver­schie­denen Lei­tungs­funk­tionen zu Sicherheit tätig, unter anderem Leiter der Kon­zern­si­cherheit und Leiter der Pro­dukt­si­cherheit. Er vertrat SAP als Vor­stands­mit­glied in den beiden Ver­einen “Deutschland Sicher im Netz” und “Tele­TrusT”.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.