Anzeige

Fertigungsindustrie

Über Jahrzehnte hinweg wurden Systeme innerhalb der Informationstechnologie (IT) getrennt von denen der operativen Technologie (OT) in voneinander unabhängigen Netzwerken betrieben. Mit unterschiedlichen Komponenten und unterschiedlichen Zielen.

Während IT-Systeme für Berechnungen verwendet werden, die dazu dienen Informationen zu verarbeiten, hat die operative Technologie eine andere Aufgabe. Mit ihrer Hilfe werden physikalische Prozesse, Umgebungen, Ereignisse und Vorkommnisse in einem Unternehmen überwacht. Allerdings haben die jüngsten Entwicklungen dazu geführt, dass diese zuvor getrennten Umgebungen verschmelzen. Dazu gehören eine zunehmende Automatisierung und Verbesserungen innerhalb von Produktionsanlagen und kritischen Infrastrukturen.

Diese Entwicklung hat allerdings auch unerwünschte Nebenwirkungen. Je mehr die OT über neue intelligente Geräte vernetzt ist, desto mehr sind industrielle Systeme komplett neuen Sicherheitsrisiken ausgesetzt. Drahtlose Geräte sorgen für bequemere Vernetzung und mehr Produktivität, aber sie können auch zur Zielscheibe von Cyberangriffen werden. Cyberkriminelle nutzen die zwischen IT und OT entstandene Sicherheitslücke für sich aus.

Wie schützt man sich?

Doch wie geht der Fertigungssektor mit der wachsenden Zahl von Cyberbedrohungen um und inwieweit bereitet sich die Branche insgesamt angemessen vor? Zumeist haben Industrieunternehmen mit denselben Herausforderungen und Risiken hinsichtlich der benutzten Software zu kämpfen wie jedes andere Unternehmen auch. Jede Software, die Sie kaufen und benutzen birgt Risiken. Wie soll man einschätzen, ob das Risiko akzeptabel ist oder nicht? Wie soll man Cybersicherheitsrisiken unterschiedlicher Produkte miteinander vergleichen? Historisch betrachtet mussten Industrieunternehmen darauf vertrauen, dass die verwendete Software angemessen sicher war. Das heißt, sich auf Anbieter zu verlassen, die einen Secure Development Life Cycle (SDLC) mittels automatisierter Tools gewährleisten.

Ziel dieses Prozesses ist es, so viele Schwachstellen wie möglich zu finden und zu beheben, bevor das Produkt auf den Markt kommt, um die Risiken so gering wie möglich zu halten. In der Fertigungsindustrie kommen aber einige spezielle Herausforderungen dazu. Einerseits überwacht eine Software in einem industriellen Netzwerk meist physische Prozesse. Software-Schwachstellen verursachen unter Umständen physische Schäden. Auf der anderen Seite ist die lange Lebensdauer von industriellen Komponenten und Systemen komplett gegenläufig zu den schnellen und häufigen Update-Zyklen.



Welche Auswirkungen kann es geben?

Man braucht sich nur die jüngsten Schlagzeilen ansehen, wenn man wissen will, was passiert, wenn es jemandem nicht gelungen ist Cybersicherheit ausreichend zu adressieren. Jedes Unternehmen nutzt Software. Folglich kann auch jedes von ihnen Opfer eines Cyberangriffs werden. Gerade für Industrieunternehmen sind die Folgen erfolgreicher Attacken so vielfältig wie schwerwiegend. Dazu zählen der Diebstahl geistigen Eigentums und sensibler geschäftlicher Informationen ebenso wie physische Schäden an Anlagen und Ausrüstung, Produktionsausfälle und Systeme, die durch Ransomware lahmgelegt werden. Selbst so schwerwiegende Folgen wie Verletzungen und Todesfälle unter der Belegschaft sind nicht auszuschließen.

Gibt es einen Sicherheitspuffer?

Die magische technologische Sicherheitsdecke existiert leider nicht. Wenn man Sicherheitsrisiken effektiv managen will, ist es wie bei vielen anderen Dingen auch. Man muss einiges an Arbeit hineinstecken, und man muss die Art und Weise verändern, in der man bisher vorgegangen ist. Für Industrieunternehmen gilt analog, was für jedes andere Unternehmen auch zutrifft. Die Basis ist eine fundierte und vom Management getragene Sicherheitsinitiative deren Aufgabe es ist die Sicherheitskultur im gesamten Unternehmen zu kommunizieren und zu verankern. Systeme und Netzwerke sollten bei jedem Entwicklungsschritt so konzipiert werden, dass Sicherheit immer Bestandteil der Entwicklung ist. Bei der Beschaffung von Anlagen, Ausrüstung und Software sollte man die potenziellen Sicherheitsrisiken gründlich prüfen, und dazu sollte man etwas von sicheren Softwareentwicklungszyklen verstehen. Nur dann sind Sie in der Lage, den Anbietern prägnante Fragen zu stellen und die Antworten einzuordnen. Man kann noch einen Schritt weiter gehen und eine eigene Risikobewertung erheben. Etwa mithilfe von Software Composition Analysis (SCA) Tools oder Penetrationstests.

Das neue Wundermittel KI

Es stellt sich die Frage: Inwieweit haben technologische Fortschritte und Automatisierung dazu beigetragen, blinde Flecken im Cyberspace zu finden? Wird die Zukunft durch Automatisierung und KI sicherer? Nun, Sicherheit ist kein Technologieproblem, Sicherheit ist ein Prozessproblem. Automatisierte Tools helfen bei der Jagd auf Software-Schwachstellen. Sie sind allerdings nutzlos, wenn sie nicht im Rahmen eines übergreifenden Risiko-Management-Prozesses zum Einsatz kommen. Umsichtige Industrieunternehmen werden eigene Assessments anwenden, bevor sie neue Systeme oder Software-Pakete ausbringen. Aber man sollte die Anbieter ermutigen, gründliche und umfassende Sicherheitstests während des gesamten Entwicklungszyklus einer Software durchzuführen. Automatisierte Tools analysieren den Quellcode und die Zusammensetzung der Software, sie bewerten die Sicherheit von Software-Produkten mit Fuzz-Testing, mit interaktiven und mit dynamischen Testmethoden. Zukünftige Neuerungen werden sich in genau dieses Rahmenwerk eines sicheren Entwicklungslebenszyklus einer Software einfügen. Impulse werden vermutlich auch von künstlicher Intelligenz ausgehen.

Jonathan Knudsen, Senior Security Strategist, Synopsys, www.synopsys.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Künstliche Intelligenz
Sep 13, 2020

Deutsche fürchten Manipulation durch KI

Jeder zweite deutsche Verbraucher befürchtet die gezielte Manipulation der…
Cyberangriff
Sep 13, 2020

Cyberkampagne gegen diplomatische Vertretungen europäischer Länder

Proofpoint, ein Next-Generation Cybersecurity- und Compliance-Unternehmen, hat eine…

Weitere Artikel

Cybercrime

BSI-Lagebericht: Corona verschärft Cyber-Gefährdungslage

Die Corona-Pandemie hat großen Einfluss auf die Cyber-Sicherheitslage in Deutschland. Corona hat für einen Digitalisierungsschub in Deutschland gesorgt, den es nachhaltig zu gestalten, aber auch abzusichern gilt.
Phishing

Coronavirus-bezogene Phishing-E-Mail-Angriffe hören nicht auf

KnowBe4, Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, stellt die Ergebnisse seines Q3 Phishing Reports vor. Der Bericht enthüllt, dass E-Mail-Betreffzeilen im Zusammenhang mit dem Coronavirus COVID-19 nach…
Ransomware

Ransomware - aktuelle Formen und wie sie sich weiterentwickeln werden

Auch in jüngster Zeit sind wieder etliche Ransomware-Vorfälle publik geworden. Aber wie werden sich die Angriffe weiterentwickeln und welche Risiken bergen sie für Unternehmen? Wie gehen CISOs und Vorstände das Dilemma "zahlen oder nicht zahlen" im Vorfeld…
Passwort

Hacker mit Passwortraten überraschend erfolgreich

Fast jeder hat mindestens zehn oder zwanzig davon. Wenn sie nicht mehrfach genutzt werden, sind es locker vierzig oder mehr. Die Rede ist von Passwörtern, die im Netz bei Bankgeschäften, zum Abrufen von E-Mails, beim Einkaufen, in sozialen Netzwerken oder am…
Schwachstelle

Nicht alle Schwachstellen sind eine Bedrohung

Die Computernetzwerke von Organisationen werden ständig erweitert: IT, Cloud, IoT und OT formen eine komplexe Computing-Landschaft, die die moderne Angriffsfläche darstellt. Mit jedem neuen Gerät, jeder neuen Verbindung oder Anwendung vergrößert sich diese…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!