Große PROCESS-Umfrage

Security-Konzepte in Automatisierungs-Systemen – wer kümmert sich?

Seite: 2/3

Firmen zum Thema

Vernetzung bereitet Sorgen

Die Umfrage zeigt, dass die Vernetzung von Automatisierungssystemen zumindest in der Prozessindustrie längst an der Tagesordnung ist. Während ein Viertel der Befragten mit der überschaubaren Anzahl von vier Automatisierungssystemen zurechtkommt, sind es in einem guten Drittel der Unternehmen mehr als 20, die alle miteinander vernetzt sind. Um die Security-Aufgaben innerhalb dieser Systeme kümmert sich bei den meisten Befragten deren IT-Abteilung. Erst dann folgen die technische Betreuung, die Operation-Abteilung und zuletzt der Hersteller.

Bildergalerie
Bildergalerie mit 10 Bildern

Immerhin: Zwischen Wunsch und Wirklichkeit, also zwischen den Maßnahmen, die eingesetzt werden und die unsere Umfrageteilnehmer für sinnvoll erachten, scheint es kaum Differenzen zu geben. Ganz oben auf der To-Do-Liste stehen mit großem Abstand Netzwerktrennung und eine Firewall. Dann folgen Passwortschutz, Virenscanner und User Account Management.

Eine Kluft wurde jedoch sichtbar. Die Teilnehmer halten die Vermeidung von Vernetzung für eine äußerst sinnvolle Maßnahme und konkretisierten ihre Wünsche dahingehend, dass auf potenziell leicht angreifbare Technologien wie OPC oder WLAN verzichtet werden sollte. Außerdem wurde die Einführung eines Security-Prozesses empfohlen, ebenso ein spezieller Zugriffsschutz, etwa die gezielte Freischaltung bei Safety-Systemen.

Anwender ohne Lösung?

Auf die Frage, wie ein Automatisierungssystem sicherer gestaltet werden kann, hat ein Drittel keine Lösung, ein weiteres knappes Drittel unserer Umfrageteilnehmer schlägt den Verzicht auf Windows vor, während ein großer Teil der Meinung ist, dass all diese Maßnahmen nicht helfen, sondern dass Automatisierungssysteme grundsätzlich neu gestaltet werden müssen.

Zentraler Aspekt dabei ist, dass Automation Security ein Designziel für Hersteller, Integratoren und Anwender werden muss. Einen ähnlichen Ansatz verfolgt die Namur, die seit 2006 Best-Practice-Lösungen sammelt, um diesbezüglich eine Richtung vorzugeben. Auch die Anwender in unserer Umfrage fordern herstellerübergreifende Absprachen bezüglich IT-Security-Mechanismen, z.B. um Ersatz zu NSA-beeinflussten Standards zu schaffen (z.B. Curve25519/ Ed25519 an Stelle von ECDSA und ECDH auf Basis der von der NSA vorgeschlagenen Kurven).

Auch gilt zu bedenken, dass theoretisch Schadsoftware bereits in die System-Software eingebracht werden kann. Daher soll auf Basis einer Riskobewertung und im Speziellen durch Trennung der Safety-Funktionen für Sicherheit (Personen-, Anlagen- und Verfahrensschutz sowie Schutz wertvoller Güter) gesorgt werden. Auch über eine Trennung zwischen Office- und Automatisierungssystemen wurde offen diskutiert.

Wem schenken die Anwender ihr Vertrauen, wenn es um Security geht? Hoppla: den eigenen IT-Abteilungen offenbar am wenigsten! Mehr auf der nächsten Seite.

(ID:42576437)