Archiv 2017

Kraftwerke, Krankenhäuser, die Wasserversorgung: Weil alles mit dem Internet verbunden ist, kann auch alles gehackt werden. Die Gefahr, dass ein Cyberangriff die Infrastruktur lahmlegt, ist ganz real.

Die NAMUR-Hauptsitzung fand im November 2017 unter dem Motto „Mastering the Digital Transformation of the Process Industry“ statt.
Dass die Vernetzung der Informationssysteme auch Gefahren birgt, wurde im Vortrag von Erwin Kruschitz, Vorstand des Sicherheitsspezialisten anapur, deutlich. Kruschitz erklärte, dass mit der Verschmelzung von Operational Technology (OT) und der Informationstechnologie (IT) sich die Zahl der möglichen Angriffspunkte erhöht und auch die Abhängigkeit von der IT steigt. „Bereits Planungsdaten wie zum Beispiel Risikoanalysen“, so Kruschitz, „sind ein Schlüssel für Angreifer.“ Häufig wird die Security von Computersystemen im Unternehmen an Experten delegiert. Diese Sichtweise birgt Gefahren: „Wer glaubt, dass für seine Security Experten zuständig sind, der glaubt wahrscheinlich auch, dass ein Arzt für die eigene Gesundheit zuständig ist“, verdeutlicht Kruschitz, und plädiert für eine verstärkte Zusammenarbeit zwischen IT und OT.

Der Bericht zur Lage der IT-Sicherheit in Deutschland vom Bundesministerium für Sicherheit in der Informationstechnik beschreibt und analysiert die aktuelle IT-Sicherheitslage, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet werden Angebote und Lösungsansätze des BSI zur Verbesserung der IT-Sicherheit in Deutschland vorgestellt.

Spionage, Patentdiebstahl, Sabotage: Unternehmen geraten durch Cyberangriffe immer stärker in Bedrängnis.
Viele wissen um die Gefahr - und doch tut kaum einer etwas dagegen.
230.000 Unternehmen waren weltweit laut Europol von diesen Attacken betroffen. Allein im vergangenen Jahr verursachten Cyberangriffe weltweit Schäden in Höhe von bis zu 450 Milliarden Dollar - davon 65 Milliarden bei Unternehmen in Deutschland. Das ist die eine Art von Unternehmen, diejenigen, die von einem Angriff wissen, vielleicht daraus gelernt haben - und sich künftig besser schützen werden.
Gefährdet sind aber vor allem jene, die "noch nicht wissen, dass sie gehackt wurden", wie Comey sagte. In Deutschland gaben in einer Umfrage 56 Prozent der Firmenchefs an, in ihren Unternehmen gebe es keine konkreten Hinweise auf Cyberangriffe oder einen Datendiebstahl. Weil sie so sicher sind? Oder einfach unwissend?

PLT-Sicherheitseinrichtungen (Safety Integrated Systems, SIS) schützen Anlagen, Umwelt und Personal der chemischen Industrie vor nicht tolerierbaren Schäden. Die Integrität der PLT- Sicherheitseinrichtungen ist neuerdings Gefährdungen aus dem Cyberraum ausgesetzt. Risikoanalysen bilden den ersten Schritt in Richtung Gegenmaßnahmen. Standards wie IEC 61508 / 61511 tragen dieser Erkenntnis Rechnung und fordern IT-Risikobeurteilungen mit entspechenden Maßnahmen. Detaillierungsgrad, Methode, Zeitpunkt, Zuständigkeit und Umfang werden jedoch nicht näher beschrieben. Der Interpretationsspielraum ist dementsprechend hoch. Die NAMUR hat mit dem NAMUR Arbeitsblatt 163 ein Handlungswerkzeug geschaffen, das eine effektive und ressourcenschonende IT-Risikobeurteilung ermöglicht. Darüber hinaus werden konkrete Handlungsmaßnahmen anhand einer Checkliste formuliert.

Am 24. September 2017 finden in Deutschland die Wahlen zum 19. Deutschen Bundestag statt. Die Digitalisierung wird auch in der nächsten Legislaturperiode ein zentrales Thema bleiben. Der BDI hat in der Themenbroschüre „Digitalpolitik“ und dem Positionspapier „Cybersicherheit in Deutschland und Europa“ konkrete Handlungsempfehlungen für die zukünftige Bundesregierung erarbeitet.

Gemäß § 8a des BSI-Gesetzes müssen Betreiber Kritischer Infrastrukturen (KRITIS) ihre kritischen IT-Systeme durch angemessene Vorkehrungen gegen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit absichern. Dabei sind mit „kritisch“ die informationstechnischen Systeme oder Komponenten gemeint, die für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen maßgeblich sind. Erstmals hat das BSI jetzt einen Branchenstandard im Sinne des § 8a BSI-Gesetz erteilt. Der Standard für Wasserver- und Abwasserentsorgungsunternehmen besteht aus dem Merkblatt DVGW W 1060 bzw. DWA-M 1060 „IT-Sicherheit - Branchenstandard Wasser/Abwasser“ und einer Web-Applikation, dem „IT-Sicherheitsleitfaden“. Mit dessen Hilfe können Wasserver- und Abwasserentsorgungsunternehmen ermitteln, welche Sicherheitsmaßnahmen einzuführen sind, um ihre IT-Infrastruktur gemäß dem Stand der Technik zu schützen.

Die Digitalisierung in der Prozessleittechnik (PLT) schreitet immer weiter voran. Der Segen der Digitalisierung hat jedoch auch Schattenseiten. Gerade beim Betrieb  industrieller Anlagen spielt die Sicherheit eine große Rolle für einen störungsfreien und sicheren Produktionsprozess. PLT-Sicherheitseinrichtungen, die funktionale Sicherheit (Safety) gewährleisten sollen, müssen heute auch unter dem Aspekt der IT-Sicherheit (Security) betrachtet werden (Security for Safety). Das NA-163-Verfahren bietet praxistaugliche Risiko-Beurteilungsmethode.

Treffen Sie anapur auf der VDE-Tagung zur funktionalen Sicherheit vom 22. - 23. März 2017 im Kaisersaal Erfurt.
Erwin Kruschitz, Vorstand der anapur AG, wird dort am Mittwoch, 22. März 2017 zum Thema "Cyber Security für funktionale Sicherheit – Sicht der chemischen Industrie" referieren.