Anzeige

Fertigungsindustrie

Über Jahrzehnte hinweg wurden Systeme innerhalb der Informationstechnologie (IT) getrennt von denen der operativen Technologie (OT) in voneinander unabhängigen Netzwerken betrieben. Mit unterschiedlichen Komponenten und unterschiedlichen Zielen.

Während IT-Systeme für Berechnungen verwendet werden, die dazu dienen Informationen zu verarbeiten, hat die operative Technologie eine andere Aufgabe. Mit ihrer Hilfe werden physikalische Prozesse, Umgebungen, Ereignisse und Vorkommnisse in einem Unternehmen überwacht. Allerdings haben die jüngsten Entwicklungen dazu geführt, dass diese zuvor getrennten Umgebungen verschmelzen. Dazu gehören eine zunehmende Automatisierung und Verbesserungen innerhalb von Produktionsanlagen und kritischen Infrastrukturen.

Diese Entwicklung hat allerdings auch unerwünschte Nebenwirkungen. Je mehr die OT über neue intelligente Geräte vernetzt ist, desto mehr sind industrielle Systeme komplett neuen Sicherheitsrisiken ausgesetzt. Drahtlose Geräte sorgen für bequemere Vernetzung und mehr Produktivität, aber sie können auch zur Zielscheibe von Cyberangriffen werden. Cyberkriminelle nutzen die zwischen IT und OT entstandene Sicherheitslücke für sich aus.

Wie schützt man sich?

Doch wie geht der Fertigungssektor mit der wachsenden Zahl von Cyberbedrohungen um und inwieweit bereitet sich die Branche insgesamt angemessen vor? Zumeist haben Industrieunternehmen mit denselben Herausforderungen und Risiken hinsichtlich der benutzten Software zu kämpfen wie jedes andere Unternehmen auch. Jede Software, die Sie kaufen und benutzen birgt Risiken. Wie soll man einschätzen, ob das Risiko akzeptabel ist oder nicht? Wie soll man Cybersicherheitsrisiken unterschiedlicher Produkte miteinander vergleichen? Historisch betrachtet mussten Industrieunternehmen darauf vertrauen, dass die verwendete Software angemessen sicher war. Das heißt, sich auf Anbieter zu verlassen, die einen Secure Development Life Cycle (SDLC) mittels automatisierter Tools gewährleisten.

Ziel dieses Prozesses ist es, so viele Schwachstellen wie möglich zu finden und zu beheben, bevor das Produkt auf den Markt kommt, um die Risiken so gering wie möglich zu halten. In der Fertigungsindustrie kommen aber einige spezielle Herausforderungen dazu. Einerseits überwacht eine Software in einem industriellen Netzwerk meist physische Prozesse. Software-Schwachstellen verursachen unter Umständen physische Schäden. Auf der anderen Seite ist die lange Lebensdauer von industriellen Komponenten und Systemen komplett gegenläufig zu den schnellen und häufigen Update-Zyklen.



Welche Auswirkungen kann es geben?

Man braucht sich nur die jüngsten Schlagzeilen ansehen, wenn man wissen will, was passiert, wenn es jemandem nicht gelungen ist Cybersicherheit ausreichend zu adressieren. Jedes Unternehmen nutzt Software. Folglich kann auch jedes von ihnen Opfer eines Cyberangriffs werden. Gerade für Industrieunternehmen sind die Folgen erfolgreicher Attacken so vielfältig wie schwerwiegend. Dazu zählen der Diebstahl geistigen Eigentums und sensibler geschäftlicher Informationen ebenso wie physische Schäden an Anlagen und Ausrüstung, Produktionsausfälle und Systeme, die durch Ransomware lahmgelegt werden. Selbst so schwerwiegende Folgen wie Verletzungen und Todesfälle unter der Belegschaft sind nicht auszuschließen.

Gibt es einen Sicherheitspuffer?

Die magische technologische Sicherheitsdecke existiert leider nicht. Wenn man Sicherheitsrisiken effektiv managen will, ist es wie bei vielen anderen Dingen auch. Man muss einiges an Arbeit hineinstecken, und man muss die Art und Weise verändern, in der man bisher vorgegangen ist. Für Industrieunternehmen gilt analog, was für jedes andere Unternehmen auch zutrifft. Die Basis ist eine fundierte und vom Management getragene Sicherheitsinitiative deren Aufgabe es ist die Sicherheitskultur im gesamten Unternehmen zu kommunizieren und zu verankern. Systeme und Netzwerke sollten bei jedem Entwicklungsschritt so konzipiert werden, dass Sicherheit immer Bestandteil der Entwicklung ist. Bei der Beschaffung von Anlagen, Ausrüstung und Software sollte man die potenziellen Sicherheitsrisiken gründlich prüfen, und dazu sollte man etwas von sicheren Softwareentwicklungszyklen verstehen. Nur dann sind Sie in der Lage, den Anbietern prägnante Fragen zu stellen und die Antworten einzuordnen. Man kann noch einen Schritt weiter gehen und eine eigene Risikobewertung erheben. Etwa mithilfe von Software Composition Analysis (SCA) Tools oder Penetrationstests.

Das neue Wundermittel KI

Es stellt sich die Frage: Inwieweit haben technologische Fortschritte und Automatisierung dazu beigetragen, blinde Flecken im Cyberspace zu finden? Wird die Zukunft durch Automatisierung und KI sicherer? Nun, Sicherheit ist kein Technologieproblem, Sicherheit ist ein Prozessproblem. Automatisierte Tools helfen bei der Jagd auf Software-Schwachstellen. Sie sind allerdings nutzlos, wenn sie nicht im Rahmen eines übergreifenden Risiko-Management-Prozesses zum Einsatz kommen. Umsichtige Industrieunternehmen werden eigene Assessments anwenden, bevor sie neue Systeme oder Software-Pakete ausbringen. Aber man sollte die Anbieter ermutigen, gründliche und umfassende Sicherheitstests während des gesamten Entwicklungszyklus einer Software durchzuführen. Automatisierte Tools analysieren den Quellcode und die Zusammensetzung der Software, sie bewerten die Sicherheit von Software-Produkten mit Fuzz-Testing, mit interaktiven und mit dynamischen Testmethoden. Zukünftige Neuerungen werden sich in genau dieses Rahmenwerk eines sicheren Entwicklungslebenszyklus einer Software einfügen. Impulse werden vermutlich auch von künstlicher Intelligenz ausgehen.

Jonathan Knudsen, Senior Security Strategist, Synopsys, www.synopsys.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Künstliche Intelligenz
Sep 13, 2020

Deutsche fürchten Manipulation durch KI

Jeder zweite deutsche Verbraucher befürchtet die gezielte Manipulation der…
Cyberangriff
Sep 13, 2020

Cyberkampagne gegen diplomatische Vertretungen europäischer Länder

Proofpoint, ein Next-Generation Cybersecurity- und Compliance-Unternehmen, hat eine…

Weitere Artikel

Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.
Windows 7

5,2 Mio. Computer in Deutschland nutzen alte Windows-Versionen

Windows-Betriebssysteme haben in Deutschland bei Desktop-PCs und Notebooks einen Marktanteil von rund 80 Prozent. Die gute Nachricht: Ein Großteil der eingesetzten Geräte nutzt das aktuelle Windows 10. Doch ein genauer Blick auf die Zahlen zeigt eine sehr…
Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.
Hackerangriff

Vorsorgepläne als Ziel von Hackern

Da Vorsorgepläne sensible persönliche und finanzielle Daten enthalten, werden Cyberangriffe auf Altersvorsorge-, Renten- und Langzeitvorsorgepläne immer häufiger. Diese Daten zu schützen bedeutet, die Bedrohung zu verstehen und Richtlinien zum Schutz von…
Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!