Manipulierte Steuerungssoftware, bestochene Mitarbeiter als Netzspione, Spams auf Web-Seiten. Welche Gefahren drohen und wie Gegenmaßnahmen aussehen, beschreibt Wolfgang Strasser vom Sicherheitsdienstleister @-yet.
„Da Bürokommunikation und der Datenfluss in der Produktion immer häufiger integriert sind, entstehen breite Angriffsflächen im Unternehmen für Übergriffe von innen und außen“, beschreibt Wolfgang Straßer, Geschäftsführer beim IT-Sicherheitsdienstleister @-yet GmbH (Halle 16, Stand D40) in Leichlingen bei Köln die Situation. Der Einsatz von Ethernet, TCP/IP, WLAN und Windows birgt hohe Basis-Sicherheitsrisiken. Die IT-Sicherheitsstruktur ist ungeschützt gegen Viren, Würmer oder Spam. „Eine Folge davon ist, dass Server beispielsweise einer Überflutung mit Massen-E-Mails schutzlos ausgeliefert sind, wodurch sogar das gesamte Netzwerk lahm gelegt werden kann“, so Straßer. Und: Produktionsnetze lassen sich nicht ohne weiteres gegen Angriffe von Außen schützen, da adäquate Sicherheitswerkzeuge unter Umständen nicht eingesetzt werden können.
Hinzu kommt, dass die Kommunikationsbeziehungen zwischen den Geräten und Systemen in der Automatisierungswelt häufig komplexer sind als in der Büro-IT, weil Layer2-basierte Automatisierungsprotokolle und IP-basierte Protokolle nebeneinander betrieben werden. Standardverfahren wie beispielsweise das Patch-Management sind daher in der Fertigungs-IT häufig nicht einsetzbar und reichen zudem nicht aus, um die Systeme hinlänglich abzusichern.
Gleichzeitig gibt es derzeit noch keine gesicherte Erkenntnis darüber, ob von Hackerangriffen oder Mitarbeiterattacken die größere Bedrohung ausgeht. Was aber schwerer wiegt: Etliche Vorfälle, manche Experten sprechen sogar von einem Großteil der Angriffe, werden gar nicht registriert. Damit wird klar: Hacker, die Webseiten einsetzen, um an wertvolle Unternehmensdaten zu kommen, werden eine immer ernstzunehmendere Gefahr. Phishing-Angriffe als Auftragsarbeit sind keine Seltenheit mehr. Auch werden immer noch von Mitarbeitern unbedacht und „nebenher“ Links angeklickt. „Weil es zum Thema „Innentäter“ jedoch noch keine gesicherten Angaben gibt, wird dieser Personenkreis oftmals unterschätzt“, argumentiert der @-yet-Geschäftsführer. Innentäter können auch scheidende Mitarbeiter sein, die Daten und Informationen mitnehmen. Hier ist effektives Access Management gefragt: Zugriffsrechte des scheidenden Mitarbeiters müssen gesperrt werden. „Als Sicherheitsberater kennen wir aus eigener Erfahrung IT-Leiter, die achselzuckend vor diesen Problemen stehen und ihren Geschäftsführern auch noch einreden, man könne ja nichts machen“, beschreibt Strasser das Ohmachtsgefühl. Auch der Slogan „Hundertprozentige Sicherheit gibt es nicht“ führt dazu, dass die interne Sicherheit auf der Strecke bleibt.
Ein weiteres Einfallstor für Netzwerkangriffe tut sich durch den zunehmenden Einsatz von Funklösungen in der Industrie auf. Praxisbeispiele gibt es bereits genügend, ob tatsächliche Vorfälle oder Sicherheitslücken, die durch externe Berater im Rahmen von Sicherheitsaudits ermittelt wurden. So konnte während eines solchen Audits bei einem Automobilzulieferer festgestellt werden, dass dessen Produktion von einem Standort außerhalb des Firmengeländes hätte lahm gelegt werden können, ganz einfach über ein schlecht gesichertes WLAN. Eine hohe Feldstärke, die unzureichend schwache Standardverschlüsselung sowie die Verwendung des vom Hersteller mitgelieferten Standardpassworts ermöglichten dem potenziellen Angreifer innerhalb weniger Minuten einen Zugriff auf den Produktionsleitstand. Theoretisch hätte die komplette Produktion gestoppt, vor allem aber auch die hochkomplexe Steuerungssoftware manipuliert werden können. Das aber zeigt: Erst einmal muss die Sicherheitsarchitektur konsequent definiert sein und entsprechende Sicherheitschecks durchgeführt werden, bevor es im Unternehmen funkt.
Enorm wichtig ist auch Datensicherheit angesichts zunehmender Mobilität im Zeichen von Globalisierung und dem Aufbau von Produktionsstätten im Ausland. Denn Branchenuntersuchungen kommen zu alarmierenden Ergebnissen. So wurde herausgefunden, dass 73 % der Unternehmen mobile Endgeräte nicht in ihre Sicherheitsrichtlinien integriert haben – ein gravierendes Problem, da 70 % des Unternehmens-Know-how in Attachments von E-Mails zu finden ist. Hier zählt jede Sicherheitsmaßnahme doppelt, um wertvolle Daten auf Laptops zu schützen. Außerdem gibt es in verschiedenen Ländern unterschiedliche Sicherheitsstandards. So dürfen Daten in USA nicht mit den gleichen Methoden verschlüsselt werden wie in Deutschland. Grundlage zur bedarfsgerechten Absicherung der Systeme allgemein sind hier Sicherheits-Policies. Sie müssen klare Regelungen schaffen zum Beispiel beim Umgang mit PC, anderen mobilen Geräten, beim Entwickeln und Nutzen von externen Zugängen. Auf internationaler Ebene bestehen die Herausforderungen darin, diese Basis-Policy an die landesspezifischen Rahmenparameter und Gesetze anzupassen.
Betrachtet man den Nachholbedarf mit Blick auf die Firmensstruktur und Mitarbeiterzahl, so lässt sich feststellen, dass Mittelständler gegenüber Großunternehmen aufgeholt haben. Maßnahmen wie regelmäßige Sicherheitsaudits, Richtlinien für Geschäftspartner und Zulieferer oder Verschlüsselungsstrategien sind im Mittelstand eher noch Mangelware.
Karl Schmidt Fachjournalist in Lübeck
Was gegen die Gefahren tun?
Prozesse und technische Implementierungen sollten immer entsprechenden Richtlinien folgen. Hier gibt es generell Nachholbedarf. In großen Unternehmen müssen die existierenden Richtlinien überarbeitet und an neue Erkenntnisse wie auch Anforderungen, zum Beispiel aufgrund der Einführung einer VoIP-Telefonanlage, angepasst werden. In kleineren bis mittleren Unternehmen geht es generell erst einmal darum, die nötigen Richtlinien zu schaffen. Externe Dienstleister bieten integrierte Risk- und Security Management-Portfolio. Sowohl Risikobewertung und -einschätzung (Assessment) als auch die Prozesslösungen orientieren sich dabei strikt an den Anforderungen, die aus den Geschäftsprozessen resultieren.
Marktchancen
Wie riskant ist es eigentlich, russische Webseiten anzusurfen? Droht Spam, wenn man deutsche Unternehmen besucht? Verseucht man sich den Rechner mit Downloads aus China? Aber sicher! Die Gefahr für Unternehmen steigt – Netzwerkspione nutzen das Internet verstärkt als Organisationsplattform. Nur wer sich durch richtige Konzepte und passende Mittel absichert, riskiert keinen teuren Produktionsausfall.
Unsere Whitepaper-Empfehlung
Benutzeridentifizierung und Zugangskontrolle verbessern Sicherheit und Transparenz im Flottenmanagement
Teilen:
