IT Sicherheit – Die wichtigsten Unterschiede zwischen industrieller und kaufmännischer Anforderungen

Lange Zeit galt die IT Sicherheit in Industrieservices als relativ unbedeutend. Cyberangriffe erfolgten nahezu ausschließlich auf Webserver oder kaufmännische Dienste, Produktionsanlagen waren für Kriminelle wenig interessant. Dies änderte sich 2010 mit der Entdeckung von Stuxnet.

Dieser Computerwurm führte Experten und der Öffentlichkeit erstmals die enorme Gefahr vor Augen, die selbst für abgeschottete Systeme besteht. Das Sicherheitskonzept spielt in beiden Fällen eine entscheidende Rolle, muss aber unterschiedliche Prioritäten und Szenarien berücksichtigen.

Industrielle IT steht im Fokus von Angriffen

Eine Besonderheit der Angriffe auf die iranischen Atomanlagen im Jahr 2010 war deren Ziel: ein geschlossenes System ohne direkte Verbindung zu globalen Netzwerken. Bis zu diesem Zeitpunkt galten solche Einrichtungen als sicher gegen Attacken von außen. In der Folge entwickelten das American National Standards Institute (ANSI) gemeinsam mit der International Society of Automation (ISA) die Richtlinie ISA99 (Industrial Automation and Control Systems Security). Sie teilt ein industrielles Netz und die Prozeßtechnik im B2B Umfeld in unterschiedlichen Zonen auf.

Die Kommunikation innerhalb einer Zelle wird dabei weniger restriktiv gehandhabt. Zwischen diesen darf jedoch nur eine einzige Verbindung bestehen, die durch einen Server oder einen Secure Router überwacht und geschützt wird. Die Komplexität des Verfahrens und seine technischen Ansprüche machen es erforderlich, für die Umsetzung auf Spezialanbieter zurückzugreifen. Dies gilt zwar prinzipiell auch bei kaufmännischer Infrastruktur, denn das Sicherheitskonzept spielt in beiden Fällen eine tragende Rolle. In der Industrie sind die Anforderungen und das Know-how jedoch höher, weshalb in diesem Bereich noch vergleichsweise wenige Dienstleister arbeiten.

Industrieanlagen stellen unterschiedliche Anforderungen

Im Büro besteht die Gefahr vor allem darin, dass entweder Angreifer von außen in sicherheitskritische Bereiche vordringen oder Mitarbeiter vertrauliche Daten stehlen. Die industrielle IT Sicherheit beschäftigt sich hingegen primär mit anderen Szenarien wie Sabotage, Spionage oder den unbefugten Zugriff auf die Infrastruktur. Je nach Unternehmen erstellen Spezialanbieter eine Risikoanalyse für unterschiedliche Bedrohungen und leiten daraus die erforderlichen Maßnahmen ab. Diese lassen sich grob in vier unterschiedliche Kategorien einteilen.

An erster Stelle steht die innere und äußere Sicherheit des Netzwerkes und der physische Zugang zu den Computern einer Industrieanlage. Bei Stuxnet beispielsweise erfolgte die Infiltrierung über einen infizierten USB Stick, da die Anlage über keine Anbindung an externe Netze verfügte. Zweiter Faktor ist die Sicherheit der eingesetzten Software und deren Schutz durch Updates oder Virenscanner. Dritter Punkt ist die Erstellung von automatisierten Backups und deren sichere Speicherung. Die industrielle IT Sicherheit beschäftigt sich als letztes auch mit dem Lebenszyklus von Hard- und Software. Werden zum Beispiel von einem Hersteller keine sicherheitskritischen Updates oder bestimmte Bauteile mehr angeboten, sind Alternativen zu entwickeln.

Kosten stehen in keinem Verhältnis zum Risiko

Bereits der Ausfall eines sehr kleinen Teils des Systems führt in der Regel zu enormen Folgekosten. In der komplexen Produktion moderner Industrieservices können partielle Unterbrechungen nur sehr begrenzt kompensiert werden. Neben der Fehlerbehebung und -analyse entstehen deshalb die größeren Schäden durch mangelhafte Ware oder ein Totalausfall der Prozeßtechnik im B2B Umfeld. Eine sorgfältige Risikoanalyse und deren Umsetzung verhindert entsprechende Szenarien und schafft langfristig Sicherheit.

Bild Copyright: Image by StockUnlimited

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.