Sicherheit im Internet-of-Things-Zeitalter

Das Internet of Things zählt zu den großen Cyber-Angriffszielen der nahen Zukunft. Absicherung auf hohem Niveau ist möglich – mit dem ganzheitlichen und vernetzten Ansatz nach ISO 27001 auf Basis regelmäßiger Risikoanalysen. [...]

Der aktuelle McAfee Threats Report reiht das Internet of Things (IoT) unter jene Angriffsziele, die künftig verstärkt in das Cyber-Fadenkreuz geraten. IoT ermöglicht durch Vernetzung die Remote-Steuerung von Geräten und Maschinen, wobei im B2B-Bereich bereits viele Industrie- und Kraftwerkssteuerungen darunterfallen – genannt seien schwimmende Bohrtürme, auf denen etwa der Neigungswinkel der Bohrinsel aus der Ferne überwacht und gesteuert wird. Dass Angriffe auf Industrieanlagen generell zunehmen, betont das deutsche BSI in seinem Jahresbericht 2014: Dieser zeigt den Fall eines Stahlwerks, wo Hacker zunächst Zugriff auf die Bürorechner erlangten und über Spear-Phishing-Mails an ausgewählte Mitarbeiter bis in das Produktionsnetzwerk vordrangen. So wurde die Anlagensteuerung außer Gefecht gesetzt, ein Hochofen überhitzte und wurde defekt. Ein massiver Schaden.

Die jüngste Entwicklung des Industrial Internet of Things (IIoT) macht deutlich, dass dieser Zug längst Fahrtwind aufgenommen hat. Die Goldmann Sachs Group prognostiziert einen Mega-Trend und Gartner setzt das Thema an die Spitze des aktuellen Hype Cycle. IIoT birgt neue Möglichkeiten, aber auch Risiken, die proaktives Vorgehen verlangen. IIoT formiert sich als Netzwerk aus Komponenten wie Maschinen, Lagersysteme und Betriebsmittel, die über integrierte Technologien Kennwerte erfassen und kommunizieren. So werden Maschinen in der Lage sein, sich selbstständig zu steuern und effizienter zu arbeiten. Produktionsbetriebe können künftig nach eingegangenen Bestellungen automatisiert Rohmaterial einkaufen, gleichzeitig automatisiert die Produktion planen und die Logistikkette ansteuern. Potenzielle Bedrohungen für Industriesteuerungssysteme sind laut einer BSI-Analyse dieselben wie für herkömmliche IT – mit dem Unterschied dass IIoT-Komponenten um ein Vielfaches komplexer agieren.

Die Threats-Liste reicht von DDos-Angriffen und Malware-Infektion über Sabotage und Social Engineering bis zu technischem Versagen. Insgesamt macht die Komplexität von IIoT-Systemen ihre Absicherung zur Herausforderung einer neuen Dimension. Ein ganzheitlicher Ansatz ist hier also nicht nur lobenswert, sondern de facto erforderlich. Viele Unternehmen verfügen bereits über Informationssicherheits-Managementsysteme (ISMS), die ihre IT nach dem internationalen Security-Standard ISO 27001 strukturiert auf hohem Niveau absichern. Im IIoT-Zeitalter ist es sinnvoll, das ISMS auf die gesamte Fertigungskette mit Einkauf, Produktion und Logistik auszuweiten. Kerngedanke der ISO 27001 ist die vorgelagerte Risikoanalyse, die Schwachstellen aufgezeigt und bewertet. Nur mit regelmäßiger Risikobetrachtung können wirksame Sicherheitsmaßnahmen zielgenau umgesetzt und ständig optimiert werden.

SECURITY-SYMPOSIUM
Event-Tipp: Zum Thema Informationssicherheit nach ISO 27001 findet am 20.05.2015 das elfte Information-Security-Symposium der Zertifizierungsorganisationen CIS und Quality Austria statt. Auf dem Programm stehen Notfallplanung bei REWE, E-Personalakt, Cybercrime-Ermittlungen des BMI oder Managed Changes bei SQS. Weitere Infos finden Sie unter www.cis-cert.com/Symposium.

* DI Gerd Brunner fungiert als CIS-Auditor für Informationssicherheit nach ISO 27001. Hauptberuflich ist er Berater für Informationssicherheit – auf organisatorischer wie auch auf technischer Ebene.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*