Cyber-Sicherheit in der Fabriksautomation Cyber-Sicherheit in der Fabriksautomation - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


24.07.2015 :: Printausgabe 12/2015 :: pi/Wolfgang Franz

Cyber-Sicherheit in der Fabriksautomation

BSI-Studie: Die größten Schwachstellen im industriellen Umfeld. Oftmals fehlt es an der Awareness der Betreiber.

© industrieblick - Fotolia.com

Der aktuelle Bericht des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum Thema industrielle Sicherheitsberatung zeigt deutlich: Cyber-Sicherheit in der Fabrikautomation und Prozesssteuerung – subsumiert unter dem Begriff Industrial Control Systems (ICS) – umzusetzen, ist angesichts zunehmender Vorfälle eine dringende Notwendigkeit.

Viele Betreiber haben aber bislang eine rein funktionale Sicht auf ihre Maschinen oder Anlagen und stehen somit vor einer großen Herausforderung. Besonders bei kleinen und mittelständischen Unternehmen übersteigt die Einführung eines Informationssicherheitsmanagementsystems (ISMS), wie IT-Grundschutz oder ISO 27000, die internen Fähigkeiten und Kapazitäten, wenn Security bislang kein Thema war. Um sukzessive den Einstieg in das Thema Cyber-Sicherheit zu schaffen und dabei möglichst schnell signifikante Verbesserungen des Sicherheitsniveaus zu erzielen, ist unter anderem das Konzept der Kurzrevision geeignet. Hierbei werden externe Dienstleister mit einer Prüfung der Infrastruktur beauftragt. Der Aufwand bei kleineren Infrastrukturen beschränkt sich auf wenige Tage. Die bei der Prüfung identifizierten Handlungsfelder sind häufig auch ohne größere Aufwände umsetzbar.

Laut BSI ist in vielen Fällen keine hinreichende Sensibilisierung für die Bedrohungen der Cyber-Sicherheit im Unternehmen oder Betrieb vorhanden. Dies gilt sowohl für das Management (z. B. Produktionsverantwortliche) als auch auf der Arbeitsebene (z. B. Ingenieur oder Anlagenbediener). Gerade hier kann ein Revisionsbericht eine Erhöhung der Awareness herbeiführen, da die Mängel ganz konkret im eigenen Unternehmen aufgezeigt werden.

Oftmals werden bei einer Revision Regelungslücken bei den Zuständigkeiten aufgezeigt. Sehr häufig gibt es keine definierte Rolle im Unternehmen für die Gesamtverantwortung für Cyber-Sicherheit im Bereich Produktion oder auch IT. Hinzu kommen unterschiedliche Sichtweisen und Unstimmigkeiten zwischen klassischem IT-Betrieb und Produktion. Auch sind die Kommunikationsprozesse zwischen den wichtigen Schlüsselpositionen nicht hinreichend definiert oder umgesetzt. Dies gilt im Bereich der Security insbesondere für das Change Management sowie das Incident Management.

Grundvoraussetzung für ein solides Sicherheitsmanagement ist ein Netzplan, so die deutschen Sicherheitsexperten von BSI. Der Plan ist in der Praxis häufig entweder unvollständig, veraltet oder erst gar nicht vorhanden. Auch Abhängigkeiten zwischen Systemen sind hierbei häufig nicht dokumentiert. Ohne diese Grundlage lassen sich aber weder Maßnahmen planen noch mögliche Auswirkungen von Angriffen bewerten. Gerade historisch gewachsene Fernzugriffsmöglichkeiten sind in Netzplänen häufig nicht berücksichtigt, obgleich diese als mögliches Einfallstor als besonders kritisch einzustufen sind.

Dazu kommt, dass USB-Sticks und andere Wechseldatenträger häufig unkontrolliert eingesetzt werden. Einerseits fehlt das Problembewusstsein bei den Mitarbeitern, andererseits sind keine physischen oder technischen Maßnahmen zur Absicherung umgesetzt. (pi/wf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Bacher Systems EDV GmbH

    Bacher Systems EDV GmbH mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr

Hosted by:    Security Monitoring by: