09.03.2020 IT-Security – auch ein Aspekt für die Dichtungstechnik

Natürlich entsteht kein Schaden, wenn nichts vorfällt. Die Trends der letzten Jahre sind allerdings alarmierend. Digitale Störfälle in der Industrie nehmen massiv zu und die dadurch entstehenden Schadenssummen sind mitunter gravierend:

• Bitkom-Studie – Hier wurde festgestellt, dass in den vergangenen Jahren jedes zweite Unternehmen Ziel eines Angriffs wurde. Bitkom schätzt den jährlichen Schaden für die deutsche Wirtschaft auf 55 Mrd. €.
• Das BKA warnt in seinem Bundeslagebericht 2016 davor, dass die Cyber-Kriminalität um über 80% im Vergleich zum Vorjahr angestiegen ist. „Aufgrund der noch stärker zunehmenden Bedeutung der weltweiten digitalen Vernetzung in allen Lebensbereichen steigt die Gefahr für jedermann und jedes Unternehmen, Opfer von Cybercrime zu werden. Die digitale und analoge Welt sind kaum noch zu trennen. Die Übergänge, u.a. durch Nutzung von mobilen Geräten, das „Internet der Dinge“ und die zunehmende Technisierung von Industrie und Handel („Industrie 4.0“) sind fließend.“ 
• Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) warnt in seinem Lagebericht 2019 davor, dass für die kritischen Infrastrukturen bei gleicher Bedrohungslage wie für andere Unternehmen ein besonders hohes Schadenspotenzial entsteht. Gemeint sind damit Betreiber kritischer Infrastrukturen, die für die Gesellschaft wichtige Versorgungsleistungen zur Verfügung stellen, wie z.B. Wasser- oder Energieversorgung.
• NotPetya/WannaCry Angriffe – Hier wurden die letzten Jahre mehrere Institutionen und Unternehmen heftig von den Auswirkungen zweier Verschlüsselungstrojaner (WannaCry, NotPetya) getroffen. Dabei konnten britische Krankenhäuser teilweise ihre Patienten nicht behandeln und Maersk und FedEx mussten jeweils Schadenssummen von über 300 Mio. $ verzeichnen. Aktuelle Fälle gab es bei Norsk Hydro und PILZ.
• In der Cyber-Sicherheits-Umfrage des BSI 2017 gaben 51% der von einem Angriff betroffenen Unternehmen an, dass sie dadurch Produktions- oder Betriebsausfälle erlitten haben.
• TRISIS attackiert Safety-Systeme – Auch
  Safety-Systeme geraten inzwischen in den Fokus von Angreifern. Bei einem Angriff auf ein petrochemisches Unternehmen in Saudi Arabien wurden Safety-Systeme gefährlich modifiziert. Durch einen Zufall wurde der „Eingriff“ entdeckt und es konnte Schlimmeres verhindert werden. Ein geglückter Angriff hätte aber potenziell fatale Auswirkungen auf Mensch und Umwelt gehabt.

Die Liste ist noch länger, kann aus Platzgründen allerdings nur einen kurzen Abriss der Lage wiedergeben. Letztendlich muss jeder Verantwortliche selber einschätzen, wie er die Gefährdung im Kontext zu seinen Produkten und Anlagen bewertet.

Das Ziel der industriellen IT-Sicherheit

Mit industrieller IT-Sicherheit versucht man, diese negativen Beeinträchtigungen zu verhindern. Damit wird IT-Sicherheit zur neuen Basis von Verfügbarkeit und Safety. So soll die Chance auf zuverlässige Digitalisierung und Automatisierung ohne negative wirtschaftliche oder gar gesellschaftliche Auswirkungen ermöglicht werden.

Dies wurde auch bereits durch das BSI sowie den Gesetzgeber erkannt und durch das IT-Sicherheitsgesetz gesetzlich verankert. Nicht-industrielle Unternehmen haben in den letzten Jahrzehnten ein Umdenken vollzogen, das zu einer Akzeptanz der IT-Sicherheit geführt hat. Dort hieß es vor 20 Jahren oftmals noch: „Eine Firewall? Verschlüsselung? Nein, das brauchen wir nicht.“ Heute hat man die Notwendigkeit solcher Maßnahmen erkannt und nutzt seit Jahren auch speziell dafür vorgesehene Informations-Security-Management-Systeme (ISMS), um organisatorisch sauber mit dem Thema umgehen zu können.

Die industrielle IT-Sicherheit ist zur Zeit mitten in der Entwicklung, wird aber in den kommenden Jahren aufgrund zunehmender Vernetzung noch wichtiger werden. Konkrete Ansatzpunkte, die dadurch umgesetzt werden sollen, sind z.B. die folgenden:

• Moderne Einkaufsrichtlinien – Je früher im Beschaffungsprozess das Thema IT-Sicherheit Beachtung findet, desto weniger Pro­bleme treten langfristig damit auf.
• Inventarisierung – Welche Systeme befinden sich überhaupt in der Anlage? Getreu dem Motto: Man kann nur schützen, was man kennt.
• Incident Response Plan – Wie handelt man, wenn der Ernstfall eintritt und z.B. ein Verschlüsselungstrojaner den Fertigungsprozess stört oder stilllegt?
• Netzwerksegmentierung – Resistente Automatisierungsnetze schaffen, in denen die Ausbreitung von Angreifern, Malware oder digitalen Störfällen eingeschränkt wird und dadurch auch alte, verwundbare Systeme abgekapselt und geschützt werden können.
• Sicherheitsrichtlinien – Anforderungen an Hersteller und Lieferanten: Das Einfordern von Sicherheitsanforderungen und Produktzertifizierung nach Sicherheitsstandards.

Die industrielle IT-Sicherheit ist ein umfangreiches Thema und wird noch einige Zeit benötigen, bis sie dem Standard der IT-Sicherheit von Enterprise-Netzen entspricht. Zu schaffen ist dies nur mit einer guten Kommunikation zwischen allen Beteiligten. Außerdem gilt es, Durchhaltevermögen zu zeigen. Gelebte IT-Sicherheit ist ein kontinuierlicher Prozess, der immer wieder aufs Neue gepflegt werden muss.