Hier klicken!

Select Page

Industrielle Cyber Security – wie viel Druck darf es noch sein?

Industrielle Cyber Security – wie viel Druck darf es noch sein?

Ein Kommentar von Konstantin Rogalas, Business Lead, Honeywell Industrial Cyber Security Zentral-und Süd-Europa

Bald ist sie da, die besinnliche Weihnachtszeit – mit Bratenduft und Kerzenschein, im Kreise der Familie fröhlich Lieder singend und die gemeinsame Zeit genießend (zumindest in den meisten Familien). Was da weniger gut passen würde wäre ein Stromausfall. Oder wenn plötzlich das Gas wegbleibt und es damit nur noch kalte Küche in einer kalten Wohnung gibt. Oder kein fließendes Wasser mehr vorhanden ist. Ob ein Anlagenbetreiber in solch einer Situation mit seiner Familie im – in dieser Lage weniger besinnlichen – Kerzenschein sitzt und singt „Horch was kam von draußen rein, es wird doch wohl kein Hacker sein?“. Ich kann es schwer sagen. Fakt ist jedoch, dass bereits vor zwei Jahren 700.000 Haushalte in der Ukraine kurz vor Weihnachten wegen eines Hackerangriffs viele Stunden im Dunkeln saßen.

Was ich jedoch auf jeden Fall sagen kann ist, dass wir es mit einer ernsten Lage zu tun haben, die in Zukunft gar noch bedrohlicher wird aufgrund zunehmender Vernetzung von Anlagen und darin integrierter Technik. Die jüngsten Attacken durch die Erpressungssoftware “Wanna Cry”, „Petya“, „Not-Petya“, „Bad Rabbit“ oder der Cyber-Angriff auf den Stahlwerk-Hochofen hier in Deutschland sind allgegenwärtig und führen uns vor Augen, dass die Angriffe jederzeit und aus allen möglichen Richtungen kommen können. Nun haben wir in Deutschland nicht nur mahnende Worte aus Politik oder Wirtschaft vernommen, es wurde auch etwas getan. Mit einer Verordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sollen vor allem die Betreiber kritischer Infrastrukturen (KRITIS) stärker in die Pflicht genommen werden. Zu Gute gehalten werden muss auch, dass Deutschland das einzige Land mit solch einem Vorstoß ist, betrachte ich die von mir in Zentral- und Süd-Europa verantworten 18 Länder. Vor allem diejenigen Betreiber in den Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser sollten sich bei der Umsetzung des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) so langsam in den finalen Zügen befinden. Theoretisch. Laut dem schon am 3. Mai 2016 in Kraft getretenen ersten Teil der BSI-Kritis-Verordnung waren sie gefordert, eine 24/7 Kontaktstelle zu benennen und IT-Störungen zu melden. Bis zum 3. Mai 2018 wiederum müssen die Betreiber Kritischer Infrastrukturen IT-Sicherheit nach dem „Stand der Technik“ umsetzen und deren Einhaltung fortan regelmäßig gegenüber dem BSI nachweisen. Was bleibt, ist ein halbes Jahr Zeit bis zu diesem Audit-Pflichttermin.

“Bis zum 3. Mai 2018 müssen die Betreiber Kritischer Infrastrukturen IT-Sicherheit nach dem „Stand der Technik“ umsetzen und deren Einhaltung fortan regelmäßig gegenüber dem BSI nachweisen.”

In der Praxis wird es jedoch eher KRITIS(ch) mit der rechtzeitigen Umsetzung. Viele betroffene Unternehmen sind aus diversen Gründen noch längst nicht so weit, diese Vorgaben im Bereich Automation Security erfüllen zu können. Mit der Bereitschaft dazu hapert es erst recht. Laut vielen Experten sollten die international bekannt gewordenen Attacken eigentlich als zusätzlicher Weckruf dienen. Auch wir bei Honeywell erfahren regelmäßig nach solchen Angriffen eine starke Zunahme an Anfragen, die jedoch nach etwa einer Woche wieder abflauen. Danach heißt es wieder business as usual. Einerseits mag es vielleicht daran liegen, dass das BSI zwar mit der Verordnung konkrete Vorgaben formuliert hat, jedoch kaum Konsequenzen bei Nichterfüllung bekannt sind. Was passiert denn eigentlich, wenn beispielsweise Kritis-Betreiber den Termin im Mai 2018 komplett ignorieren? In der Praxis ist diese mangelnde Konsequenz-Drohung tatsächlich eine oft gehörte Begründung für mangelnden Aktionismus.

Ich frage mich jedoch, ob es in der Tat immer solch eines Druckmittels bedarf. Nun sind wir alle nicht naiv und wissen aus unserer Erfahrung heraus, dass dem in vielen Fällen leider so ist. Dennoch bleibt offen, warum das Thema Cyber-Sicherheit bis heute kaum so richtig beim C-Level angekommen ist. Es fehlt zudem an Know-how und den entsprechenden Ressourcen. Die neueste Studie „Putting Industrial Cyber Security at the Top of the CEO Agenda“ von LNS Research und Honeywell hat belegt, dass mit 53 Prozent gut die Hälfte aller befragten Anlagenbetreiber regelmäßig Cyber-Angriffe feststellen und berichten können. Gleichzeitig haben aber nur etwas mehr als die Hälfte dieser Befragten eine Firewall zwischen Office-Netz und PLS installiert (59 Prozent). Darüber hinaus gibt es nur bei einem Drittel aller befragten Unternehmen einen Leiter mit festgelegter Security-Verantwortung für die Automation (35%). Was sagt uns das? Unter all diesen Anlagenbetreibern gibt es einige, bei denen der schwarze Mann – nennen wir ihn einfach Mr. Blackout – vor einer sperrangelweit offenen Haustür stehen könnte. Leider gibt es niemanden, der sich genötigt fühlt, diese Haustür zu schließen und abzusperren.

“Jeder Anlagenbetreiber müsste zumindest daran interessiert sein zu wissen, wer denn eigentlich potentielle Angreifer in seinem individuellen Fall wären.”

Wer jetzt noch nicht angefangen hat, wird auch bis zum nächsten Mai die Vorgaben der BSI-Kritis-Verordnung im Bereich Automation Security nicht erfüllen können. Und hat – leider berechtigt – auch kaum so richtig Angst davor. Was aber ein erster wichtiger Schritt sein könnte, ist die Analyse der eigenen Cyber Security-Situation und die Erstellung eines entsprechenden Gefahren- und Sicherheitsprofils. Schließlich müsste jeder Anlagenbetreiber zumindest daran interessiert sein zu wissen, wer denn eigentlich potentielle Angreifer in seinem individuellen Fall wären und inwiefern er bereits dagegen gewappnet ist. Die Angst vor ungeplanten Investitionen ist möglicherweise unberechtigt, nur bleibt sie im Falle von Unwissenheit bestehen.

Nun ist es bei solch einer Assessment-Profilierung aber auch wichtig, Farbe zu bekennen und sich der wirklichen Bedrohung und den damit verbundenen, mit zunehmender Stufe steigenden Vorbereitungsmaßnahmen zu stellen. Ein solcher Plan kann den ersten Nachweis für das BSI unterstützen und den aktuellen Stand und die geplanten Arbeiten darstellen. Ein solcher Plan leitet ein nachhaltiges Automation Security-Programm ein und ist sogar in den nächsten Monaten realisierbar. Eine Einordnung in ein niedriges Security-Level bzw. Bedrohungsprofil ist ein trügerisches Sicherheitsgefühl und hält einer detaillierten Risikobewertung meist nicht stand.

So mancher Kritis-Betreiber, für den schon Level 2 (ziellose Angriffe) normalerweise unzureichend ist und der zumindest Level 3 (zielgerichtete Angriffe gegen ein bestimmtes Unternehmen) bräuchte, findet sich letztendlich auf Level 1 wieder.

Die Chemie-Branche hat es zudem geschafft, gar nicht erst in den derzeitig definierten Körben des BSI zu landen. Sie wird wahrscheinlich erst in einigen Jahren in die „Pflicht“ genommen. Diese „graue Zone“ in den Bereichen chemischer Zulieferer wird sich jedoch in absehbarer Zeit schließen. Eine Vorbereitung ist im heutigen Wettbewerb zwingend erforderlich. Zumal der Umsetzung auch eine gewisse Implementierungszeit vorrausgeht.

Klar ist, dass niemand in ein höheres Cyber Security-Level gezwungen wird. Letztlich entscheidet jeder Betreiber selbst, wie viel Risiko er tragen möchte. Sowohl wirtschaftlich als auch gesellschaftlich. Und welches Lied er unterm Weihnachtsbaum singt. Im Kerzenschein.

Quelle: Honeywell Process Solutions

Veröffentlicht von

Dirk Schaar

Ich bin seit über 20 Jahren in Automatisierung und Antriebstechnik unterwegs, weil mich die Technik-Themen immer wieder faszinieren und begeistern. Ich möchte meine Entdeckungen, Erlebnisse und Recherchen gerne mit meinen Lesern teilen - informativ, tiefgreifend, spannend, menschlich, lesenswert und charmant.

ANZEIGE


Bevorstehende Veranstaltungen

Apr
23
Mo
ganztägig Hannover Messe @ Hannover Messegelände
Hannover Messe @ Hannover Messegelände
Apr 23 – Apr 27 ganztägig
Hannover Messe @ Hannover Messegelände
Die weltweit wichtigste Industriemesse: Alle Schlüsseltechnologien und Kernbereiche der Industrie an einem Ort – von Forschung und Entwicklung, Industrieautomation und IT über Zulieferung, Produktionstechnologien und Dienstleistungen bis hin zu Energie und Mobilitätstechnologien.
Apr
24
Di
ganztägig Control – Internationale Fachmes... @ Messe Stuttgart
Control – Internationale Fachmes... @ Messe Stuttgart
Apr 24 – Apr 27 ganztägig
Mit der Control – Internationale Fachmesse für Qualitätssicherung, die vom 24. bis 27. April 2018 in der Landesmesse Stuttgart durchgeführt wird, steht den Anbietern und Anwendern eine strikt themenfokussierte und global anerkannte Fachveranstaltung zur Verfügung.[...]
Mai
14
Mo
ganztägig IVSM 2018: International Vision ... @ VDMA Verband Deutscher Maschinen- und Anlagenbau e.V.
IVSM 2018: International Vision ... @ VDMA Verband Deutscher Maschinen- und Anlagenbau e.V.
Mai 14 – Mai 18 ganztägig
Vom 14.- 18. Mai 2018 treffen sich rund 150 technische Experten aus aller Welt beim VDMA in Frankfurt, um neue Standards für die Bildverarbeitungsindustrie zu diskutieren. Gastgeber ist die Firma Silicon Software in Zusammenarbeit mit[...]

ANZEIGE


ANZEIGE


Aktuelle Ausgabe

Translate »
 
Share This

Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen. Mehr erfahren Mehr erfahren

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen