Suchen

Meilenstein Sicherheitstechnik

wird präsentiert von

HIMA

IT-Security Belastbare IT-Security basiert auf einem systematischen Risiko-Profil

Autor / Redakteur: Hans-Jürgen Bittermann / Dr. Jörg Kempf

Meldungen über Cyber-Attacken sind schon fast so alltäglich wie der Wetterbericht. Viele Industrieunternehmen sind dennoch in Sachen IT-Security nicht adäquat aufgestellt. Auch in der Chemieindustrie gilt oft: Man ist zwar produktionstechnisch gesehen safe, aber nicht wirklich secure. Honeywell bietet Vorschläge und Lösungen.

Firmen zum Thema

Die Uhr tickt: Bis zum 3. Mai 2018 müssen die Betreiber Kritischer Infrastrukturen IT-Sicherheit nach dem Stand der Technik umsetzen und deren Einhaltung fortan regelmäßig gegenüber dem BSI nachweisen.
Die Uhr tickt: Bis zum 3. Mai 2018 müssen die Betreiber Kritischer Infrastrukturen IT-Sicherheit nach dem Stand der Technik umsetzen und deren Einhaltung fortan regelmäßig gegenüber dem BSI nachweisen.
(Bild: Steven Puetzer/Honeywell)

Im September griff ein Hacker über das Internet auf die Steuerungssysteme der Abwasserpumpen einer deutschen Großstadt zu. Glück gehabt: Die Pumpen-Steuerung stürzte dabei ab ...

Wegen solcher Angriffe sind die Betreiber Kritischer Infrastrukturen verpflichtet (Termin: 3. Mai 2018!), dem BSI (Bundesamt für Sicherheit in der Informationstechnik) eine Kontaktstelle zu benennen, IT-Störungen zu melden, den Stand der Technik umzusetzen und dies alle zwei Jahre gegenüber dem BSI nachzuweisen.

Bildergalerie

Bislang gilt die Kritis-Verordnung für Unternehmen in den Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser. Mancher Branchen-Beobachter erwartet jedoch, dass auch die chemische Industrie zu einem späteren Zeitpunkt unter die Kritis-Vorgaben fallen könnte.

Beherrschbare Risiken

Auch ohne den Gesetzgeber als „Entwicklungshelfer“ realisieren selbstverständlich zumindest die Verantwortlichen der Großchemie schon heute eine vernünftige IT-Security: Industrie 4.0-vernetzte Prozesse bzw. vernetzte Unternehmen müssen gegen externe Beeinflussungen geschützt sein. Cyber-Sicherheit ist die Voraussetzung für eine erfolgreiche digitale Transformation!

Uwe Liebelt beispielsweise, Chef des BASF-Stammwerks Ludwigshafen, hält die Risiken durch Cyber-Kriminalität für beherrschbar, wie das Lokalblatt „Rheinpfalz“ berichtet: Die Anlagensteuerung sei nicht mit dem Internet verbunden. Zusammen mit Bayer, VW und der Allianz hat BASF bereits 2015 die DCSO (Deutsche Cyber-Sicherheitsorganisation) in Berlin zum Schutz vor Internet-Kriminalität gegründet. Diese bündelt Informationen, Wissen, Best Practices und operative Schlagkraft deutscher Top-Unternehmen und stellt sie allen Teilnehmern zur Verfügung.

Ob wohl auch die KMU unter den Chemieunternehmen auf einem guten Weg sind? Fakt ist: Häufig behindern regulatorische Vorgaben das Sicherheitsniveau. Zertifizierungsprozesse sind langwierig – da mag der eine oder andere vor einem Software-Patch zurückschrecken, um nicht eine neue Zertifizierung initiieren zu müssen.

Studie bestätigt Skepsis

Konstantin Rogalas von Honeywell ICS (Industrial Cyber Security) ist skeptisch, was die Realität in Sachen Cyber-Security in Unternehmen betrifft: Eine aktuelle Studie von LNS Research zeigt nämlich, dass zwar 53% der befragten Industrieunternehmen über Cyber-Angriffe in ihren Anlagen berichten, aber nur 35% über eine festgelegte Security-Verantwortung im Betrieb verfügen; sage und schreibe nur 59% haben zwischen dem Büro-PC und der Prozessleitstelle eine Firewall eingerichtet.

Schadsoftware gelangt meist über infizierte USB-Sticks, Wartungslaptops oder das Unternehmensnetz in Industrielle Steuerungsanlagen (Industrial Control Systems, ICS). Das BIS machte 2016 über 120 Schwachstellen in verschiedenen Komponenten oder Software für industrielle Anwendungen öffentlich. In den ersten sechs Monaten 2017 waren es bereits 110!

Unternehmen sind sicher nicht in der Lage, exakt vorherzusagen, wann oder wie eine Einrichtung angegriffen wird, aber sie können ihr Risiko bei unterschiedlichen Bedrohungsszenarien einschätzen. Honeywell hat eine Lösung entwickelt, um der Cyber-Bedrohung zu begegnen: Der „Risk Manager“ zur industriellen Cyber-Sicherheit ist eine Lösung, die Cyber-Risiken in industriellen Anlagen und Systemen erfasst, überwacht und verwaltet. Basis ist zunächst einmal eine Risiko-Analyse. Bei einem solchen Sicherheits-Assessment geht Honeywell im Grunde vor wie ein Angreifer und sucht alle Schwachstellen.

Nutzer des „Risk Managers“ führen an, dass Anlagenmitarbeiter keine Fachleute auf dem Gebiet der industriellen Cyber-Sicherheit sein müssen, um die Risiken in der Anlage zu überwachen und zu minimieren. Da das Personal aus dem Bereich der Prozessautomation sehr einfach das sicherheitsrelevante Risikoprofil täglich einsehen kann, ist für diese Aufgabe kein zusätzlicher Mitarbeiter notwendig. Im Falle eines Cyber-Angriffs erhalten die Automationsingenieure Hinweise per E-Mail und können daraufhin die Sicherheitsrisiken des Systems analysieren und priorisieren.

Fazit

Cyber-Security ist unverzichtbar, wenn Industrie 4.0 und die damit zum Greifen nahen neuen Geschäftsfelder realisiert werden sollen. Klar ist: Das kostet richtig Geld, bindet auch personelle Ressourcen. Das alles darf aber niemand davon abhalten, mit der Security zu starten. Niemand wird auf Anhieb eine 100-%-Sicherheit erreichen; aber 80% sind durchaus rasch realisierbar, sagt Konstantin Rogalas. Als ersten Schritt empfiehlt er, ein Risiko-Profil zu erstellen. Übrigens: Das Risiko verseuchter USB-Sticks ist mit dem SMX (Secure Media Exchange) von Honeywell unmittelbar gelöst.

(ID:45046228)

Über den Autor