Ohne Informationstechnik und den vernetzten Datenaustausch über das Internet ist die industrielle Fertigung in den meisten Unternehmen undenkbar geworden. Doch der technische Fortschritt birgt auch Risiken – schlimmstenfalls kommt es bei einem Sicherheitsvorfall zum Stillstand der gesamten Produktionsanlage. Neue und vor allem durchgängige Lösungsansätze sind auf allen Ebenen gefragt. Aus diesem Grund wurde am 23. Oktober 2014 nunmehr bereits der vierte IT Security Day in der Bremer Handwerkskammer von dem IFIT veranstaltet, der auf Gefahren, aber auch verschiedene Lösungen hinweist.

Der Erstvortrag nahm dabei erst einmal die IT Compliance im Zeitalter von Industrie 4.0 aufs Korn. Hierbei wurde festgestellt, dass Sicherheitsrisiken oftmals nicht oder ungenügend einbezogen werden. Zudem werden Verschlüsselungen nicht vorgenommen, einfache Passwörter verwendet und Endgeräte unzureichend geschützt. Hinzu kommt, dass Ländervorschriften für Sicherheitsvorkehrungen unterschiedlich sind; so wird z.B. die Schlüssellänge in Frankreich gesetzlich vorgeschrieben. Sicherheit ist aber nicht nur ein technisches, sondern auch ein menschliches Problem. Technische, organisatorische Maßnahmen sind daher gleichermaßen umzusetzen. Ein Information Security Management System (ISMS) sollte aufgebaut werden. Dem zunehmenden Einsatz (u.a. auch privater) mobiler Endgeräte sollte durch ein verteiltes Security-Monitoring Rechnung getragen werden (Stichwort: sichere Identifikation). Auch die Validierung von Apps wäre in einem BYOD-Szenario wünschenswert. Abschließend wurde an einem Beispiel gezeigt, wie man ein Auto remote per Laptop starten kann. Dies ist bei Fernwartungsmöglichkeiten durch Hersteller bereits möglich und kann bei unzureichender Absicherung missbraucht werden.

Im nachfolgenden Vortrag „Cybercrime – Computer- und Internetsicherheit“ wurde aus Sicht der Polizei berichtet, wie diese mit den täglichen Herausforderungen der Cyberkriminalität umgeht. In einer Studie der Telekom im Frühjahr 2014 kam heraus, dass zwar die Sorge um Cyberkriminalität wächst, aber kaum jemand etwas dagegen unternimmt. Dies liegt aus Sicht der Polizei an einer menschlichen Überforderung beim Thema IT-Sicherheit: Gebäude werden selbstverständlich gesichert, aber Internetverbindungen kaum oder unzureichend. Ein Internet-Führerschein wäre eine interessante Lösung, um die Verantwortung klarer zu machen. Zudem sollte man Cyberkriminalität immer offiziell melden, da nur so effizient reagiert werden kann. Die Gefahren nehmen zu, da heute Angriffssoftware bereits von Dienstleistern programmiert und angeboten wird. Das Know-how der Angreifer ist stark angewachsen. Gegenmaßnahmen können durch Umsetzen des BSI-Grundschutzes, Definieren von Sicherheitsrichtlinien, Begrenzen des Zugriffs, Sensibilisierung der Mitarbeiter etc. vorgenommen werden. Die Polizei bietet zusätzlich einen Ratgeber im Internet zur Information an: http://www.polizei-praevention.de.

Die Frage, wie Unternehmen dieser Gefahr begegnen und Sicherheitsmaßnahmen umsetzen, blieb. Diese Fragestellung wurde durch das BSI versucht zu beantworten. So haben z.B. 62 % der Mitarbeiter einer Firma keine Bedenken einen privaten USB-Stick an einen Produktionsrechner anzuschließen. Die Mitarbeiter müssen deshalb unbedingt bei dieser Thematik mitgenommen werden. Verschiedene Angriffsmethoden aus Sicht des BSI wurden erläutert. Dabei wurde empfohlen, einen internen Verantwortlichen für den Bereich IT-Sicherheit einzusetzen. Dieser hat auch u.a. die Aufgabe, das eigene Management für dieses Thema zu sensibilisieren. Auch die Risikobewertung ist wichtig in Bezug auf Komponenten und Anlagen. Das BSI bietet hierfür verschiedene Unterlagen an, wie u.a. ICS Top-10-Bedrohungen und Gegenmaßnahmen, Selbstüberprüfung, ICS Security Awareness Toolkit, Security-Compendium, ISMS mit IT-Grundschutz, IEC 62443. Dabei kann eine Firma klein anfangen und das IT-Sicherheitsthema dann Schritt für Schritt professioneller angehen. Das BSI schloss mit der Bemerkung, dass IT-Sicherheit als Prozess begriffen werden sollte, der nie abgeschlossen ist, sondern immer aufs Neue hinterfragt werden muss.

Zum Abschluss fragte das IFIT noch einmal: Handlungsbedarf, aber wie? Industrie 4.0 bietet zukünftig sehr viele Möglichkeiten, bzw. die komplette Vernetzung, an. Firewalls werden allerdings oftmals als Allheilmittel im Produktionsumfeld verkauft, aber nicht sicher implementiert. Zusätzlich werden veraltete Betriebssysteme im Produktionsumfeld eingesetzt (z.B. Windows 95, Windows NT), so dass Steuer- und Kontrolleinheiten leichter angegriffen und fremdgesteuert werden können. Beste Ausrede im Industrieumfeld: Die Produktionsanlage ist nicht mit dem Internet verbunden – genau dies ändert sich aber mit Industrie 4.0. Zusätzlich sind vernetzte Systeme meistens durch den Remote-Support des Herstellers erreichbar. Diese Hintertür könnten aber auch Angreifer ausnutzen. Als Gegenmaßnahme wurde vorgeschlagen, eine Sicherheitsorganisation zu bilden – auch in der Produktion. Zudem sollte eine Prozessdokumentation angestrebt und Zonen nach IEC 62443 etabliert werden. Einzusetzende Sicherheitssysteme müssen im Produktionsumfeld im Übrigen sehr passiv eingesetzt werden, um den Produktionsablauf nicht zu gefährden. Das gestaltet die Absicherung schwieriger als im Office-Umfeld. Abschließend wurde auch in diesem Vortrag festgestellt, dass es keine 100%ige Sicherheit gibt, aber ein 100%iges Risikomanagement.

Die Veranstaltung ging sehr stark auf die organisatorischen Möglichkeiten ein, um den Sicherheitsgrad von Unternehmen mit Produktionsumgebung zu erhöhen. Die technischen Möglichkeiten wurden wenig betrachtet. Diese erläutern wir gerne auf Anfrage unter info@decoit.de