Industrielle Cyber Security – wie viel Druck darf es noch sein?

Industrielle Cyber Security – wie viel Druck darf es noch sein?

Ein Kommentar von Konstantin Rogalas, Business Lead, Honeywell Industrial Cyber Security Zentral-und Süd-Europa

Bald ist sie da, die besinnliche Weihnachtszeit – mit Bratenduft und Kerzenschein, im Kreise der Familie fröhlich Lieder singend und die gemeinsame Zeit genießend (zumindest in den meisten Familien). Was da weniger gut passen würde wäre ein Stromausfall. Oder wenn plötzlich das Gas wegbleibt und es damit nur noch kalte Küche in einer kalten Wohnung gibt. Oder kein fließendes Wasser mehr vorhanden ist. Ob ein Anlagenbetreiber in solch einer Situation mit seiner Familie im – in dieser Lage weniger besinnlichen – Kerzenschein sitzt und singt „Horch was kam von draußen rein, es wird doch wohl kein Hacker sein?“. Ich kann es schwer sagen. Fakt ist jedoch, dass bereits vor zwei Jahren 700.000 Haushalte in der Ukraine kurz vor Weihnachten wegen eines Hackerangriffs viele Stunden im Dunkeln saßen.

Was ich jedoch auf jeden Fall sagen kann ist, dass wir es mit einer ernsten Lage zu tun haben, die in Zukunft gar noch bedrohlicher wird aufgrund zunehmender Vernetzung von Anlagen und darin integrierter Technik. Die jüngsten Attacken durch die Erpressungssoftware “Wanna Cry”, „Petya“, „Not-Petya“, „Bad Rabbit“ oder der Cyber-Angriff auf den Stahlwerk-Hochofen hier in Deutschland sind allgegenwärtig und führen uns vor Augen, dass die Angriffe jederzeit und aus allen möglichen Richtungen kommen können. Nun haben wir in Deutschland nicht nur mahnende Worte aus Politik oder Wirtschaft vernommen, es wurde auch etwas getan. Mit einer Verordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sollen vor allem die Betreiber kritischer Infrastrukturen (KRITIS) stärker in die Pflicht genommen werden. Zu Gute gehalten werden muss auch, dass Deutschland das einzige Land mit solch einem Vorstoß ist, betrachte ich die von mir in Zentral- und Süd-Europa verantworten 18 Länder. Vor allem diejenigen Betreiber in den Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser sollten sich bei der Umsetzung des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) so langsam in den finalen Zügen befinden. Theoretisch. Laut dem schon am 3. Mai 2016 in Kraft getretenen ersten Teil der BSI-Kritis-Verordnung waren sie gefordert, eine 24/7 Kontaktstelle zu benennen und IT-Störungen zu melden. Bis zum 3. Mai 2018 wiederum müssen die Betreiber Kritischer Infrastrukturen IT-Sicherheit nach dem „Stand der Technik“ umsetzen und deren Einhaltung fortan regelmäßig gegenüber dem BSI nachweisen. Was bleibt, ist ein halbes Jahr Zeit bis zu diesem Audit-Pflichttermin.

“Bis zum 3. Mai 2018 müssen die Betreiber Kritischer Infrastrukturen IT-Sicherheit nach dem „Stand der Technik“ umsetzen und deren Einhaltung fortan regelmäßig gegenüber dem BSI nachweisen.”

In der Praxis wird es jedoch eher KRITIS(ch) mit der rechtzeitigen Umsetzung. Viele betroffene Unternehmen sind aus diversen Gründen noch längst nicht so weit, diese Vorgaben im Bereich Automation Security erfüllen zu können. Mit der Bereitschaft dazu hapert es erst recht. Laut vielen Experten sollten die international bekannt gewordenen Attacken eigentlich als zusätzlicher Weckruf dienen. Auch wir bei Honeywell erfahren regelmäßig nach solchen Angriffen eine starke Zunahme an Anfragen, die jedoch nach etwa einer Woche wieder abflauen. Danach heißt es wieder business as usual. Einerseits mag es vielleicht daran liegen, dass das BSI zwar mit der Verordnung konkrete Vorgaben formuliert hat, jedoch kaum Konsequenzen bei Nichterfüllung bekannt sind. Was passiert denn eigentlich, wenn beispielsweise Kritis-Betreiber den Termin im Mai 2018 komplett ignorieren? In der Praxis ist diese mangelnde Konsequenz-Drohung tatsächlich eine oft gehörte Begründung für mangelnden Aktionismus.

Ich frage mich jedoch, ob es in der Tat immer solch eines Druckmittels bedarf. Nun sind wir alle nicht naiv und wissen aus unserer Erfahrung heraus, dass dem in vielen Fällen leider so ist. Dennoch bleibt offen, warum das Thema Cyber-Sicherheit bis heute kaum so richtig beim C-Level angekommen ist. Es fehlt zudem an Know-how und den entsprechenden Ressourcen. Die neueste Studie „Putting Industrial Cyber Security at the Top of the CEO Agenda“ von LNS Research und Honeywell hat belegt, dass mit 53 Prozent gut die Hälfte aller befragten Anlagenbetreiber regelmäßig Cyber-Angriffe feststellen und berichten können. Gleichzeitig haben aber nur etwas mehr als die Hälfte dieser Befragten eine Firewall zwischen Office-Netz und PLS installiert (59 Prozent). Darüber hinaus gibt es nur bei einem Drittel aller befragten Unternehmen einen Leiter mit festgelegter Security-Verantwortung für die Automation (35%). Was sagt uns das? Unter all diesen Anlagenbetreibern gibt es einige, bei denen der schwarze Mann – nennen wir ihn einfach Mr. Blackout – vor einer sperrangelweit offenen Haustür stehen könnte. Leider gibt es niemanden, der sich genötigt fühlt, diese Haustür zu schließen und abzusperren.

“Jeder Anlagenbetreiber müsste zumindest daran interessiert sein zu wissen, wer denn eigentlich potentielle Angreifer in seinem individuellen Fall wären.”

Wer jetzt noch nicht angefangen hat, wird auch bis zum nächsten Mai die Vorgaben der BSI-Kritis-Verordnung im Bereich Automation Security nicht erfüllen können. Und hat – leider berechtigt – auch kaum so richtig Angst davor. Was aber ein erster wichtiger Schritt sein könnte, ist die Analyse der eigenen Cyber Security-Situation und die Erstellung eines entsprechenden Gefahren- und Sicherheitsprofils. Schließlich müsste jeder Anlagenbetreiber zumindest daran interessiert sein zu wissen, wer denn eigentlich potentielle Angreifer in seinem individuellen Fall wären und inwiefern er bereits dagegen gewappnet ist. Die Angst vor ungeplanten Investitionen ist möglicherweise unberechtigt, nur bleibt sie im Falle von Unwissenheit bestehen.

Nun ist es bei solch einer Assessment-Profilierung aber auch wichtig, Farbe zu bekennen und sich der wirklichen Bedrohung und den damit verbundenen, mit zunehmender Stufe steigenden Vorbereitungsmaßnahmen zu stellen. Ein solcher Plan kann den ersten Nachweis für das BSI unterstützen und den aktuellen Stand und die geplanten Arbeiten darstellen. Ein solcher Plan leitet ein nachhaltiges Automation Security-Programm ein und ist sogar in den nächsten Monaten realisierbar. Eine Einordnung in ein niedriges Security-Level bzw. Bedrohungsprofil ist ein trügerisches Sicherheitsgefühl und hält einer detaillierten Risikobewertung meist nicht stand.

So mancher Kritis-Betreiber, für den schon Level 2 (ziellose Angriffe) normalerweise unzureichend ist und der zumindest Level 3 (zielgerichtete Angriffe gegen ein bestimmtes Unternehmen) bräuchte, findet sich letztendlich auf Level 1 wieder.

Die Chemie-Branche hat es zudem geschafft, gar nicht erst in den derzeitig definierten Körben des BSI zu landen. Sie wird wahrscheinlich erst in einigen Jahren in die „Pflicht“ genommen. Diese „graue Zone“ in den Bereichen chemischer Zulieferer wird sich jedoch in absehbarer Zeit schließen. Eine Vorbereitung ist im heutigen Wettbewerb zwingend erforderlich. Zumal der Umsetzung auch eine gewisse Implementierungszeit vorrausgeht.

Klar ist, dass niemand in ein höheres Cyber Security-Level gezwungen wird. Letztlich entscheidet jeder Betreiber selbst, wie viel Risiko er tragen möchte. Sowohl wirtschaftlich als auch gesellschaftlich. Und welches Lied er unterm Weihnachtsbaum singt. Im Kerzenschein.

Quelle: Honeywell Process Solutions

Teilen:

Veröffentlicht von

Redaktion INDUSTRIELLE-AUTOMATION

INDUSTRIELLE AUTOMATION fokussiert die technischen Lösungen, die einen Wettbewerbsvorteil versprechen, und die Strategien, die in der Branche aktuell diskutiert werden. INDUSTRIELLE AUTOMATION vernetzt nicht nur Technik, sondern auch Menschen und Unternehmen – und begeistert seine Leser für eine Automation mit intelligenten Systemen in einer digitalen Welt.

ANZEIGE

ANZEIGE

DIGITAL SCOUT HANNOVER MESSE DIGITAL EDITION 2021

Bevorstehende Veranstaltungen

Sep
15
Mi
ganztägig MSR-Spezialmesse Ludwigshafen @ MesseHalle Friedrich-Ebert-Halle Ludwigshafen
MSR-Spezialmesse Ludwigshafen @ MesseHalle Friedrich-Ebert-Halle Ludwigshafen
Sep 15 ganztägig
MSR-Spezialmesse Ludwigshafen @ MesseHalle Friedrich-Ebert-Halle Ludwigshafen
Die Termine in 2021: MSR-Spezialmesse Halle (Saale) 14.04.2021 Halle Messe MSR-Spezialmesse Hamburg 09.06.2021 Messe Halle MSR-Spezialmesse Ludwigshafen 15.09.2021 Friedrich-Ebert-Halle Ludwigshafen MSR-Spezialmesse Landshut 27.10.2021 Sparkassen-Arena MEORGA veranstaltet technologisch orientierte Fachmessen mit begleitenden Fachvorträgen für Produkte im[...]
Sep
21
Di
ganztägig E-Motive 2021 by FVA – Online ... @ online
E-Motive 2021 by FVA – Online ... @ online
Sep 21 – Sep 23 ganztägig
E-Motive 2021 by FVA  –  Online Konferenz für Elektromobilität @ online
Industrie und Forschung arbeiten bereits fleißig an der Mobilität von morgen. Der Antriebsstrang wird immer mehr elektrische und elektronische Komponenten enthalten, die Anforderungen an die Technik steigen rasant. Tauschen Sie sich mit internationalen Experten aus[...]
Okt
6
Mi
10:00 Grundlagenseminar Leichtbau-Robotik @ NTA Robotics Akademie,
Grundlagenseminar Leichtbau-Robotik @ NTA Robotics Akademie,
Okt 6 um 10:00 – Okt 7 um 15:30
Robotik im Wandel – vom Industrieroboter zum Leichtbauroboter. Industrieroboter werden seit Jahrzehnten erfolgreich in der Industrie eingesetzt und haben in der Serienproduktion einen festen Platz. Die schnellen und kräftigen Industrieroboter sind jedoch unsensibel gegenüber ihrer[...]

ANZEIGE

Aktuelle Ausgabe

Digital Guide

Newsletteranmeldung

Bleiben Sie auf dem aktuellen Stand und melden Sie sich zum kostenfreien Industrielle-Automation-Newsletter an (erscheint 14 täglich). Zusätzlich erhalten Sie kostenfreien Zugriff auf die Online-Ausgabe (Erscheinungsweise: 6x p.a.). Die Anmeldung kann jederzeit widerrufen werden.

Vielen Dank für Ihre Anmeldung!