BSI-Studie: Die größten Schwachstellen im industriellen Umfeld. Oftmals fehlt es an der Awareness der Betreiber. [...]
Der aktuelle Bericht des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum Thema industrielle Sicherheitsberatung zeigt deutlich: Cyber-Sicherheit in der Fabrikautomation und Prozesssteuerung – subsumiert unter dem Begriff Industrial Control Systems (ICS) – umzusetzen, ist angesichts zunehmender Vorfälle eine dringende Notwendigkeit.
Viele Betreiber haben aber bislang eine rein funktionale Sicht auf ihre Maschinen oder Anlagen und stehen somit vor einer großen Herausforderung. Besonders bei kleinen und mittelständischen Unternehmen übersteigt die Einführung eines Informationssicherheitsmanagementsystems (ISMS), wie IT-Grundschutz oder ISO 27000, die internen Fähigkeiten und Kapazitäten, wenn Security bislang kein Thema war. Um sukzessive den Einstieg in das Thema Cyber-Sicherheit zu schaffen und dabei möglichst schnell signifikante Verbesserungen des Sicherheitsniveaus zu erzielen, ist unter anderem das Konzept der Kurzrevision geeignet. Hierbei werden externe Dienstleister mit einer Prüfung der Infrastruktur beauftragt. Der Aufwand bei kleineren Infrastrukturen beschränkt sich auf wenige Tage. Die bei der Prüfung identifizierten Handlungsfelder sind häufig auch ohne größere Aufwände umsetzbar.
Laut BSI ist in vielen Fällen keine hinreichende Sensibilisierung für die Bedrohungen der Cyber-Sicherheit im Unternehmen oder Betrieb vorhanden. Dies gilt sowohl für das Management (z. B. Produktionsverantwortliche) als auch auf der Arbeitsebene (z. B. Ingenieur oder Anlagenbediener). Gerade hier kann ein Revisionsbericht eine Erhöhung der Awareness herbeiführen, da die Mängel ganz konkret im eigenen Unternehmen aufgezeigt werden.
Oftmals werden bei einer Revision Regelungslücken bei den Zuständigkeiten aufgezeigt. Sehr häufig gibt es keine definierte Rolle im Unternehmen für die Gesamtverantwortung für Cyber-Sicherheit im Bereich Produktion oder auch IT. Hinzu kommen unterschiedliche Sichtweisen und Unstimmigkeiten zwischen klassischem IT-Betrieb und Produktion. Auch sind die Kommunikationsprozesse zwischen den wichtigen Schlüsselpositionen nicht hinreichend definiert oder umgesetzt. Dies gilt im Bereich der Security insbesondere für das Change Management sowie das Incident Management.
Grundvoraussetzung für ein solides Sicherheitsmanagement ist ein Netzplan, so die deutschen Sicherheitsexperten von BSI. Der Plan ist in der Praxis häufig entweder unvollständig, veraltet oder erst gar nicht vorhanden. Auch Abhängigkeiten zwischen Systemen sind hierbei häufig nicht dokumentiert. Ohne diese Grundlage lassen sich aber weder Maßnahmen planen noch mögliche Auswirkungen von Angriffen bewerten. Gerade historisch gewachsene Fernzugriffsmöglichkeiten sind in Netzplänen häufig nicht berücksichtigt, obgleich diese als mögliches Einfallstor als besonders kritisch einzustufen sind.
Dazu kommt, dass USB-Sticks und andere Wechseldatenträger häufig unkontrolliert eingesetzt werden. Einerseits fehlt das Problembewusstsein bei den Mitarbeitern, andererseits sind keine physischen oder technischen Maßnahmen zur Absicherung umgesetzt. (pi/wf)
Be the first to comment