Das Internet of Things zählt zu den großen Cyber-Angriffszielen der nahen Zukunft. Absicherung auf hohem Niveau ist möglich – mit dem ganzheitlichen und vernetzten Ansatz nach ISO 27001 auf Basis regelmäßiger Risikoanalysen. [...]
Der aktuelle McAfee Threats Report reiht das Internet of Things (IoT) unter jene Angriffsziele, die künftig verstärkt in das Cyber-Fadenkreuz geraten. IoT ermöglicht durch Vernetzung die Remote-Steuerung von Geräten und Maschinen, wobei im B2B-Bereich bereits viele Industrie- und Kraftwerkssteuerungen darunterfallen – genannt seien schwimmende Bohrtürme, auf denen etwa der Neigungswinkel der Bohrinsel aus der Ferne überwacht und gesteuert wird. Dass Angriffe auf Industrieanlagen generell zunehmen, betont das deutsche BSI in seinem Jahresbericht 2014: Dieser zeigt den Fall eines Stahlwerks, wo Hacker zunächst Zugriff auf die Bürorechner erlangten und über Spear-Phishing-Mails an ausgewählte Mitarbeiter bis in das Produktionsnetzwerk vordrangen. So wurde die Anlagensteuerung außer Gefecht gesetzt, ein Hochofen überhitzte und wurde defekt. Ein massiver Schaden.
Die jüngste Entwicklung des Industrial Internet of Things (IIoT) macht deutlich, dass dieser Zug längst Fahrtwind aufgenommen hat. Die Goldmann Sachs Group prognostiziert einen Mega-Trend und Gartner setzt das Thema an die Spitze des aktuellen Hype Cycle. IIoT birgt neue Möglichkeiten, aber auch Risiken, die proaktives Vorgehen verlangen. IIoT formiert sich als Netzwerk aus Komponenten wie Maschinen, Lagersysteme und Betriebsmittel, die über integrierte Technologien Kennwerte erfassen und kommunizieren. So werden Maschinen in der Lage sein, sich selbstständig zu steuern und effizienter zu arbeiten. Produktionsbetriebe können künftig nach eingegangenen Bestellungen automatisiert Rohmaterial einkaufen, gleichzeitig automatisiert die Produktion planen und die Logistikkette ansteuern. Potenzielle Bedrohungen für Industriesteuerungssysteme sind laut einer BSI-Analyse dieselben wie für herkömmliche IT – mit dem Unterschied dass IIoT-Komponenten um ein Vielfaches komplexer agieren.
Die Threats-Liste reicht von DDos-Angriffen und Malware-Infektion über Sabotage und Social Engineering bis zu technischem Versagen. Insgesamt macht die Komplexität von IIoT-Systemen ihre Absicherung zur Herausforderung einer neuen Dimension. Ein ganzheitlicher Ansatz ist hier also nicht nur lobenswert, sondern de facto erforderlich. Viele Unternehmen verfügen bereits über Informationssicherheits-Managementsysteme (ISMS), die ihre IT nach dem internationalen Security-Standard ISO 27001 strukturiert auf hohem Niveau absichern. Im IIoT-Zeitalter ist es sinnvoll, das ISMS auf die gesamte Fertigungskette mit Einkauf, Produktion und Logistik auszuweiten. Kerngedanke der ISO 27001 ist die vorgelagerte Risikoanalyse, die Schwachstellen aufgezeigt und bewertet. Nur mit regelmäßiger Risikobetrachtung können wirksame Sicherheitsmaßnahmen zielgenau umgesetzt und ständig optimiert werden.
SECURITY-SYMPOSIUM
Event-Tipp: Zum Thema Informationssicherheit nach ISO 27001 findet am 20.05.2015 das elfte Information-Security-Symposium der Zertifizierungsorganisationen CIS und Quality Austria statt. Auf dem Programm stehen Notfallplanung bei REWE, E-Personalakt, Cybercrime-Ermittlungen des BMI oder Managed Changes bei SQS. Weitere Infos finden Sie unter www.cis-cert.com/Symposium.
* DI Gerd Brunner fungiert als CIS-Auditor für Informationssicherheit nach ISO 27001. Hauptberuflich ist er Berater für Informationssicherheit – auf organisatorischer wie auch auf technischer Ebene.
Be the first to comment