Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Vernetzte Dinge: Risikoabwägung ist Muss
Die Risiken durch die Computerisierung der Maschinen sind vielfältig; das Ausspähen von Maschinen-Konfigurationsdaten, die Manipulation von Steuerungsinformationen oder auch nur eine Einflussnahme auf die Qualitätssicherung. Auch mittelständische Unternehmen müssen die Risiken sorgfältig abwägen und Mitarbeiter sensibilisieren.
Die Miniaturisierung der Informationstechnologie verändert unsere Gesellschaft und die damit verbundenen Veränderungen sind aus unserem Alltag nicht mehr wegzudenken. IT-Komponenten ziehen in alle möglichen Gegenstände ein. Nicht nur Maschinen werden “schlauer” — auch alltägliche Gegenstände (Fernseher, Kaffeemaschinen, Zahnbürsten) können zunehmend mehr — und auch autark — dank Chips und Netzwerken.
Die Risiken durch die Computerisierung der Maschinen sind vielfältig; das Ausspähen von Maschinen-Konfigurationsdaten (für den Konkurrenten interessant), die Manipulation von Steuerungsinformationen (zur bewussten Fehlsteuerung, also Sabotage) oder auch nur eine Einflussnahme auf die Qualitätssicherung (etwa indem Prüfroutinen übergangen werden) sind schon heute durch die Programmierbarkeit der Komponenten möglich — die Kenntnis über Befehlssätze, Schnittstellen und Zugangspunkte reicht für Spionage und Sabotage schon aus. Allerdings ist es dafür immer noch notwendig, physikalisch in die Produktion zu gelangen.
Durch die Standardisierung der Technologie und die damit verbundenen Vernetzungseffekte vergrößert sich das Risiko nun erheblich, denn sowohl das Wissen über die Steuerbarkeit einer Anlage oder eines Geräts als auch die Angriffspunkte, um mit einer Maschine zu kommunizieren, sind nun verbreitet verfügbar.
Um sich als KMU darauf vorbereiten zu können, ist es wichtig, sich der Risiken bewusst zu werden, welche durch die Vernetzung der Industrie- und Produktionsanlagen entstehen. Dafür bietet es sich an, einen Workshop mit allen verantwortlichen Personen durchzuführen, und sie zu fragen, was gerade nicht passieren darf. Für die höchsten Risiken muss eine Risikostrategie her: Es muss entschieden werden, ob das Risiko überwälzt werden kann (z.B. durch eine Versicherung), minimiert werden kann oder ob die Geschäftsleitung bereit ist, das Risiko zu akzeptieren (dann bietet sich eine Rücklage in angemessener Größenordnung an). Sollte keine dieser Optionen möglich sein, dann muss das Risiko vermieden werden; und damit auch möglicherweise die Elemente der Vernetzung, die das Risiko erst so groß machen.
Diese Vorgehensweise wird eine Reihe von technischen und organisatorischen Maßnahmen nach sich ziehen. Die wichtigsten Maßnahmen sind die folgenden:
- Zuallererst muss das Netz, in dem die Produktionsmaschinen laufen, von anderen Computernetzen getrennt sein. Viel Schadsoftware wird über die Arbeitsrechner der Mitarbeiter eingeschleppt. Daher darf insbesondere das Büro-Netzwerk keine beliebige Verbindung zum Produktionsnetzwerk haben.
- Die Maschinen dürfen niemals “direkt” im Internet stehen. Anfragen an die Maschinen müssen immer über Proxies laufen, damit die Anfragen auf schadhafte Inhalte kontrolliert werden können (durch „Application Level Firewalls“).
- Am wichtigsten ist jedoch die Sensibilisierung der Mitarbeiter: etwa dass keine fremde Hardware ungeprüft angeschlossen werden darf oder dass die Fernwartung durch den Lieferanten nur über sichere Kanäle erfolgen darf.
Dies betrifft aber nicht nur die industrielle Vernetzung: auch zu Hause sollte abgewogen werden, welche intelligenten Systeme Einzug halten und wie man sie vernetzt. Schützenwerte Daten sollten auf jeden Fall gesichert werden z.B. in der Cloud.
Anm: Der Beitrag ist zuerst in einer längeren Version in der Zeitschrift der IHK-Rhein-Neckar erschienen.
Ein Kommentar zu Vernetzte Dinge: Risikoabwägung ist Muss
Schreiben Sie einen Kommentar
Prof. Dr. Sachar Paulus, Hochschule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kuppinger Cole, arbeitet gleichzeitig als selbständiger Unternehmensberater für Sicherheit und ist Professor für Unternehmenssicherheit und Risikomanagement an der FH Brandenburg. Er war Mitglied der ständigen Interessenvertretung der ENISA (Europäische Netzwerk- und Informationssicherheitsagentur) und des Forschungsbeirats “RISEPTIS” für Vertrauen und Sicherheit im Future Internet der Europäischen Kommission. Er ist Vorstandsvorsitzender des Vereins “ISSECO” für sichere Software-Entwicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Brandenburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in verschiedenen Leitungsfunktionen zu Sicherheit tätig, unter anderem Leiter der Konzernsicherheit und Leiter der Produktsicherheit. Er vertrat SAP als Vorstandsmitglied in den beiden Vereinen “Deutschland Sicher im Netz” und “TeleTrusT”.

Das ist ja sehr schlimm in wie weit ‚sich
die Cyberkriminalität entwickelt.
Eine Cloud ist auch nicht sicher wo grade große Unternehmen abgehört und gehackt werden. Es müssen mehr
Sicherheitsstandars festgelegt werden.