Cyber-Sicherheit Datenschutz ist Pflicht

Cyber-Sicherheit

Datenschutz ist Pflicht

Anzeige
Die Betreiber kritischer Infrastrukturen müssen besondere Vorkehrungen treffen, um ihre Automatisierungstechnik vor unbefugtem Zugang durch Hacker zu schützen. Das Softwareunternehmen Wibu-Systems unterstützt Hersteller hierbei mit seiner Codemeter-Schutztechnologie.

Ende letzten Jahres hatte es die Deutsche Telekom erwischt: Ein Hackerangriff legte rund 900 000 Router und Internetanschlüsse von Kunden des Telekommunikationsanbieters lahm. Auch der Industriekonzern Thyssen-Krupp berichtete, dass er bereits Ziel einer Cyberattacke wurde. Über die in den Rechnern versteckte Schadsoftware ist es den Angreifern gelungen, Daten abzusaugen. Wo genau die Angreifer zugeschlagen haben, wollte das Unternehmen nicht sagen. Konzernangaben zufolge stehe aber fest, dass auch die Angreifer an den Sicherheitssystemen der Marinesparte gescheitert seien, da die Informationstechnik dort besonders gut geschützt sei. Entdeckt wurde der Angriff von der hauseigenen IT-Sicherheitszentrale, die auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert habe.
Wenige Industrieunternehmen geben es zu. Dabei ist die Gefährdungslage allgegenwärtig. In einer aktuellen Umfrage des BSI haben zwei Drittel der befragten Firmen zu Protokoll gegeben, dass sie schon einmal das Ziel von Internet-Attacken waren.
Waren es früher Maschinen, werden heute digitale Identitäten ausgespäht
Das Ausspähen von Technologieführern ist keine Neuheit: Schon im 19. Jahrhundert studierten deutsche Ingenieure englische Maschinen und deren Arbeitsweisen. Eine große Veränderung entstand im Zeitalter der Software. „Das Knacken digitaler Identitäten, Geschäftsmodelle und der Kommunikation zählen zu bevorzugten Ziele der heutigen Produktpiraten“ warnt Oliver Winzenried, Gründer und Vorstand des Kopierschutzanbieters Wibu-Systems. Das Unternehmen bietet mit seinen Lösungen Schutz durch Verschlüsselungsalgorithmen für Software kombiniert mit einem sicheren Schlüsselspeicher sowie flexible Lizenzierungsmodelle für unterschiedliche Konfigurationen bei Maschinen- und Geräte-Funktionen. Die Lizenzen können auch direkt in den Geschäftsprozess, zum Beispiel in ERP-Systeme oder E-Commerce-Shops integriert werden. Auch der Schutz vor Sabotage, Cyber-Angriffen und sogar unabsichtlicher Manipulation gehört zum Portfolio des Karlsruher Unternehmens.
Um eine moderne Fertigung à la Industrie 4.0 zu realisieren, verbauen Hersteller immer mehr netzwerkfähige Geräte als Basiskomponenten in ihren Maschinen und Anlagen. Somit wird es auch zunehmend wichtiger, für jedes einzelne Gerät eine fälschungssichere Identität zu haben. Das funktioniert aber nur mit sogenannten „Secure Elements“ in der Hardware. Bei intelligenten Produkten sollte der Schutz so früh wie möglich eingebaut werden, sodass Hersteller diesen by-Design oder by-Default nutzen können, sagt Winzenried. „Security by design“ bedeutet, dass die Geräte bereits mit Schutzoptionen ausgestattet sind, während der Anwender bei „Security by default“ das Gerät bereits so vorkonfiguriert bekommt, dass es Mindestsicherheitsanforderungen umsetzt – unabhängig von den manuellen Konfigurationen und Präferenzen des Anwenders.
„Alle wollen im Internet der Dinge mitspielen und versprechen sich einen größeren Profit, beziehungsweise befürchten den Anschluss zu verlieren, wenn sie es nicht tun“, sagt Rüdiger Kügler. „In diesem Hype kümmern sich aber nur die wenigsten um Sicherheit“, mahnt der Security-Experte bei Wibu-Systems. Oft stehe man vor heterogenen Landschaften, in denen das schwächste Glied die Sicherheit des Gesamtsystems bestimmt. Dabei sollten auch die Klassiker für Angriffe bedacht werden: der Implementierungsfehler und die Hintertür.
Doch die Lücken lassen sich schließen: Dafür muss Sicherheit bereits im Konzept berücksichtigt werden. Firewalls, Virenscanner und Passwörter sind zwar ein erster Ansatz, aber nicht ausreichend. Jeder Teilnehmer im Internet der Dinge steht vor zwei Herausforderungen: Er muss sich selbst gegen Manipulationen schützen und er muss andere Teilnehmer sicher erkennen. Ein sicherer Schutz gegen eine Veränderung beinhaltet einen sicheren Bootvorgang (Secure Boot) und Verschlüsslung von ausführbarem Code. Sichere Erkennung erfordert den Einsatz von Zertifikaten. Ist das Ziel eines Angriffs das Ausspähen von Daten oder deren Manipulation, sind die gewählten Methoden diffizil und hängen von den gewählten Schutzmaßnahmen ab. Speziell entwickelte Viren und trickreiche Mechanismen, um diese Viren im System zu verstecken, ist das Fazit des Trojaners Stuxnet. Sonst sind oft Social Engineering und Bestechung die Gründe.
Doch wie sollte eine umfassende Sicherheitsstrategie für die Geräte im Internet der Dinge aussehen? Sicherheit muss während der Architektur-Phase im Design berücksichtigt werden. Ein nachträgliches Überstülpen hat selten funktioniert, betont Experte Kügler. Zertifikate und Secure Boot können zwar Sicherheit by Design schaffen, sind jedoch teure Methoden und – speziell Zertifikate – unhandlich.
Verschlüsselungsmechanismen sind ein Kernpunkt der Abwehrmaßnahmen. Wobei man allgemeiner von kryptographischen Mechanismen sprechen sollte, denn neben der Verschlüsselung spielen Einwegfunktionen (Hash) für einen Fingerabdruck, elektronische Unterschriften (Signaturen) und Beglaubigungen (Zertifikate) eine wichtige Rolle. Neben den Mechanismen sind auch die Erzeugung und Speicherung von kryptographischen Schlüsseln für den Erfolg maßgeblich. Die Verschlüsselung eines PDF-Dokuments wird sicher mit dem Blockchiffre AES mit einem 256-Bit Schlüssel durchgeführt. Der Schlüssel wird durch ein Passwort erzeugt. Wählt der Anwender zum Beispiel nur ein vierstelliges Passwort, ist der ganze Mechanismus nicht mehr viel wert, erklärt Kügler.
Der wichtigste Faktor ist also immer der Anwender: Er muss die Sicherheit bewusst leben. „Der Bewegungssensor eines Telefons kann einen persönlichen Autofahrstil erfassen. Abhängig davon erhält man bessere oder schlechtere Konditionen bei der Autoversicherung“, vergleicht der Security-Fachmann. Er warnt industrielle Anwender vor dem Ausnutzen von ungesicherten Produktionsdaten durch Kriminelle. Eine Industrie-4.0-Architektur würde ohne Schutz und ohne Verschlüsselung wie eine Blase zerplatzen, sagt er. „Die Mehrkosten, die dem entgegenstehen, erscheinen unter diesem Gesichtspunkt wie Peanuts“, gibt Kügler zu bedenken.
Werner Möller, Fachjournalist in Essen
Anzeige

Industrieanzeiger

Newsletter

Unsere Dosis Wissensvorsprung für Sie. Jetzt kostenlos abonnieren!

Themenseite Schläuche

Auf unserer Themenseite finden Sie alle Informationen über Schläuche.

Tipps der Redaktion

Unsere Technik-Empfehlungen für Sie!

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de