365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Wenn es um IT-Sicherheit geht, mangelt es in der Produktion an Kenntnissen. Die Ingenieure sind zwar für Produktionsanlagen ausgebildet, jedoch nicht für Cyber-Attacken. Der Leitfaden einer Expertengruppe will Abhilfe schaffen.
Der Begriff „Industrie 4.0“ ist noch jung, doch schon ist jede vierte Maschine der inländischen Fertigungsindustrie mit dem Internet verbunden. Das ergab eine Umfrage des IT-Branchenverbandes Bitkom. Danach haben zehn Prozent der befragten Unternehmen sogar mehr als die Hälfte ihrer Maschinen am Internet.
Bei diesen Unternehmen bekommt Cyber-Security eine neue Relevanz, doch viele wissen nicht, wie sie sich dem Thema nähern sollen. Dabei gab es bereits gravierende Sicherheitsvorfälle in der OT (Operational Technology). Die Ingenieure kennen zwar ihre Anlagen bestens, doch fehlt es häufig an Fach-Know-how für IT-Security in der Produktion, insbesondere im Mittelstand. Fachleute sind derzeit schwer zu finden und Fortbildungen dauern eine Weile. Ratgeber könnten das Problem lindern, doch bisher mangelte es an praxisorientierten Hilfestellungen. Dem will das Industrial Internet Consortium (IIC) nun Abhilfe schaffen.
Gemeinsam mit Partnerunternehmen bildete das IIC eine Expertengruppe, die über zwei Jahre gängige Sicherheitspraktiken in realen IoT-Anwendungen, wie sie in der OT standardmäßig zum Einsatz kommen, untersuchte. Das Problem, mit dem sich die Gruppe konfrontiert sah, war nach eigener Aussage die Anwendungsbreite in der Industrie. Sie fanden viele unterschiedliche Einsatzformen verschiedener Komponenten vor, die jeweils von den vorhandenen Produktionsanlagen abhängig sind. Damit kommen einheitliche Standardlösungen häufig nicht in Frage. Außerdem unterscheiden sich die Anlagen in ihrer Signifikanz für das Geschäftsmodell. Damit erfordern sie je nach Relevanz verschiedene Sicherheitsstufen.
Ergebnis dieser Anforderungen ist der Leitfaden „Security Maturity Model (SMM) Practioner’s Guide“. Das Praxishandbuch soll Betreiber industrieller Anlagen, bei der Einschätzung ihres aktuellen Sicherheitslevels und notwendiger Maßnahmen unterstützen. Anhand von 36 Parametern können Anlagen und Anwendungsbereiche unterschieden und somit eine individuelle Bedarfsabschätzung erreicht werden. Auf dieser Basis empfiehlt die Expertengruppe geeignete Schritte zur Optimierung des IoT-Sicherheitsniveaus.
Hervorzuheben sind drei ergänzende Fallbeispiele, die beispielsweise dem Management einen Überblick über geeignete Sicherheitsmodelle und -verfahren im praktischen Einsatz geben können. Die Spannbreite reicht vom vernetzten datengesteuerten Abfüllsystem bis zur Steuerung von Updates für vernetzte Autos, die diese Updates verbindungslos Over-the-Air (OTA) erhalten.
Wem das nicht ausreichen sollte, der kann auf den schon etwas älteren Praxisratgeber der US-amerikanischen Standardisierungsbehörde NIST (National Institute of Standards and Technology) zurückgreifen. Der „Guide to Industrial Control Systems (ICS) Security“ verfolgt einen etwas anderen Ansatz, er erklärt die für Industrieanlagen typischen Bedrohungen und erörtert passende Schutzformen. Nach der Darstellung einer industrietypischen Risikoanalyse geht der Ratgeber ausführlich auf anlagentaugliche Sicherheitsarchitekturen ein. Die Spezifik moderner IoT-Komponenten kommt jedoch etwas zu kurz, ebenso aktuelle IT-Verfahren wie drahtlose Updates über Funkverbindungen (OTA). Von daher empfiehlt sich der NIST-Ratgeber eher als ideale Ergänzung zum IIC-Praxishandbuch.
