Vernetze Industrieanlagen und kritische Infrastrukturen geben Anlass, über neue IT-Sicherheitskonzepte nachzudenken. Dazu gehört auch das Training von Unternehmensentscheidern weit über die IT-Abteilung hinaus – wie es etwa die Deutsche Telekom betreibt. [...]
JE KOMPLEXER, DESTO ANFÄLLIGER
Glücklicherweise sind die meisten Angriffe bei weitem (noch) nicht so massiv und umfangreich wie die eingangs beschriebenen. Die Zeichen mehren sich aber, dass aus dem unkontrollierbaren Horrorszenario Realität werden könnte. Gerade IT-Attacken auf Industrieanlagen wie Produktionssteuerungssysteme oder kritische Infrastrukturen wie intelligente Stromnetze (Smart Grids) sind spätestens seit dem Stuxnet-Vorfall im Sommer 2010 (Manipulierung von SCADA-Systemen in Atomanlagen durch staatlich entwickelte Trojaner) keine Science Fiction mehr.
„Das Problem ist, dass wir unsere Systeme selbst nicht mehr verstehen – werden diese dann miteinander vernetzt, potenzieren sich die Komplexität und die Gefahr noch einmal“, stellt Marc Elsberg fest. Der Autor beschreibt in seinem Bestseller „Blackout“ die schlimmstanzunehmenden Folgen eines großflächigen Stromausfalls in Europa – mehr als eindringlich.
SICHERE INDUSTRIE 4.0
„Die Vernetzung industrieller Systeme mit dem Internet ist noch zu wenig auf dem Radar der Produktionsleiter – und wenn, dann nur in den Großkonzernen“, so Daniel Hamburg, Head of Security Engineering bei TÜV Rheinland i-sec. Zudem sei die Sprache zwischen IT-Sicherheitsexperten und Ingenieuren nicht dieselbe, entsprechend das Bewusstsein für die Bedrohungen nicht da. Was jahrzehntelang ausschließlich ein Problem für die IT-Wirtschaft darstellte, greift nun in andere Industriebereiche über, ohne dass die dort Beschäftigten davon etwas zu merken scheinen.
„Der Baggerfahrer ist der Terrorist des Alltags“, weist Elsberg beispeislweise augenzwinkernd auf die Gefahren durch versehentlich durchtrennte Erdkabel hin. Er unterstreicht damit, dass die gefährlichsten Sicherheitsrisiken in IT-Systemen schon längst nicht mehr nur durch absichtliche Manipulation herbeigeführt und ausgenutzt werden. Selbes gilt für den Umgang mit Unternehmensdaten, wie die TechConsult-Marktanalyse „Industrie 4.0 – Vernetzung braucht IT-Sicherheit“ zu Tage fördert: Besonders dem deutschen Mittelstand treibt die Angst vor Fehlverhalten und leichtfertigem Umgang der Mitarbeiter mit Daten die Sorgenfalten auf die Stirn.
Sich der Bedrohung nur bewusst zu werden, genügt jedoch nicht. „Sicherheit muss beim Design der Infrastruktur und des Systems mitgedacht werden“, fordert Elsberg. Die Idee ist nicht neu, hat dank des aktuellen Hypes in der IT-Welt um den Begriff „Industrie 4.0“ aber eine größere Chance auf Umsetzung als jemals zuvor. Die vierte industrielle Revolution nach Dampfmaschine, Fließband und programmierbarer Steuerung dreht sich schließlich um die Informatisierung der klassischen Industrien und damit um den finalen Brückenschlag zwischen IT und Produktion. Viele Experten hoffen, dass so auch der Bereich IT-Sicherheit in der Industrie bald einen ähnlich wichtigen Stellenwert einnnehmen wird wie klassische Sicherheitsaspekte.
NEUE STANDARDS?
„Wir müssen neue Protokolle und Standards schaffen, die Sicherheit voraussetzen“, betonte der Forschungsleiter von ThyssenKrupp, Reinhold Achatz, jüngst auf dem 13. IT-Security-Kongress des Bundesamts für Sicherheit in der Informationstechnik (BSI). Nur dann sei die Idealvorstellung „Security by Design“ realistisch. Einige Politiker hoffen sogar, dass der Wirtschaftsstandort Deutschland mit neuen Standards der sicheren Entwicklung einen Schub erfährt und „IT-Security made in Germany“ als elementarer Bestandteil von Produkten und Maschinen zum Exportschlager wird. Der Weg bis dahin ist aber noch lang. Zunächst werkeln Konzerne wie die Telekom weiter an der Bewusstseinsschärfung aller Beteiligten.
* Simon Hülsbömer ist Redakteur der deutschen CIO.
Be the first to comment