IT-Sicher­heit im industriellen Internet der Dinge

Erfolgs­faktoren für effektiven Schutz in der Praxis

Das „Internet der Dinge“ ist in vielen Bereichen unseres privaten Alltags gegenwärtig oder auf dem Vormarsch: Die Anzahl der technischen Geräte, die eine Internetverbindung anbieten oder erfordern, wächst kontinuierlich. Beispielsweise nutzen viele Haushalte bereits die Möglichkeiten, digitale TV-Inhalte aus dem Internet abzurufen. Ebenso verbreiten sich zurzeit Konzepte zur Steuerung der Raumtemperatur oder -beleuchtung auf Basis von Smartphone-Apps, die Daten mit den Steuerungskomponenten der Heizung oder des Lichtsystems austauschen, sobald die Person anwesend ist.

Im geschäftlichen Umfeld ist das (industrielle) Internet der Dinge gleichfalls bereits Realität, obgleich die damit einhergehende Digitalisierung zum Teil nicht so marketingwirksam erfolgt oder zumindest nicht so offensichtlich wahrgenommen wird. Kaum ein Maschinenhersteller liefert noch eine Steuerungskomponente aus, die nicht durch einen Remotezugang gewartet werden kann. Tür- und Aufzugssteuerungen, Zugangskontrollsysteme, Drucker sowie Beleuchtungssysteme sind ebenfalls vernetzt und können aus der Ferne angesprochen werden. Diese Geräte beziehen selbständig Aktualisierungen oder sind in der Lage, Nutzungsdaten an den Betreiber oder Hersteller zu übermitteln.

Jedoch wird Digitalisierung im geschäftlichen Kontext vielfach nur unter dem Gesichtspunkt von Kosteneinsparungen oder Effizienzsteigerung betrachtet und überwiegend dahingehend interpretiert, dass Geschäftsprozesse in IT abgebildet werden. Diese Art der Digitalisierung ist und wird eine wichtige Entwicklung bleiben. Gleichwohl beinhaltet die Ablösung von etablierten durch neue digitalisierte Geschäftsmodelle, darin sind sich Experten einig, zugleich ein größeres Risiko für die Unternehmen.

Risiken der Digitalisierung

Unabhängig von der Unternehmensgröße resultieren aus der Digitalisierung von Prozessen und der Vernetzung von Geräten die gleichen Risiken für die ausgetauschten und erzeugten Daten. Zuerst sind diesbezüglich die Risiken aus dem Bereich der Cybercrime zu nennen: Nahezu sämtliche vernetzte Geräte können Ziel von Sabotage und Spionage werden: 

Sabotage ist primär die Störung der eigentlichen Gerätefunktion durch einen Angreifer, die zu einem Ausfall des Gerätes und somit des bereitgestellten Dienstes führen kann. Sabotage kann aber auch das Missbrauchen der Gerätefunktion sein – das unberechtigte Öffnen der Tür durch einen Angriff auf die Türsteuerung oder das Ablegen von Fremddaten auf Systemen sind Beispiele für einen Missbrauch von Funktionen, die vom eigentlichen Nutzer überhaupt nicht bemerkt werden müssen.

Spionage ist das unberechtigte Abhören oder Kopieren von Daten aus Unternehmen. Seien es Patente, Rezepte, Finanzdaten oder sonstige Firmengeheimnisse oder die personenbezogenen Daten der Mitarbeiter oder Kunden. Potentielle Interessenten für diese Daten gibt es nahezu überall und nicht selten werden Spionage-Angriffe von Staaten beauftragt, die daraus Nutzen erzielen können. Ein Gerät, das vernetzt ist, ist stets als potentieller Angriffspunkt einzustufen. Insbesondere natürlich,  sobald eine Verbindung zum Internet besteht. Dabei ist ebenfalls eine indirekte Attacke denkbar,  welche nicht das angegriffene Gerät selbst zum Ziel der Sabotage oder Spionage hat, sondern es einem Angreifer unter Umständen als Ausgangsbasis für Angriffe auf andere Systeme dient. Die Maschinensteuerung mit einem internetbasierten Fernwartungszugang kann unter Umständen als Ausgangsbasis für Spionageangriffe auf den Dateiserver eines Unternehmens oder zum Angriff auf andere Netzwerkbereiche dienen.

Dieser Artikel ist erstmalig erschienen in:

Maßnahmen zur Verringerung der Risiken

Hieraus entsteht für jedes Unternehmen die Notwendigkeit, bei der Digitalisierung von Prozessen und dem Einsatz von vernetzten Geräten die inhärenten Risiken für die Sicherheit zu berücksichtigen. In einem ersten Schritt kann diesen Risiken mit einer vorab durchgeführten unternehmensindividuellen Risikoanalyse sowie daraus abgeleiteten und vor der Inbetriebnahme von vernetzten Geräten oder Prozessen wirksam implementierten Sicherheitsmaßnahmen begegnet werden. Basierend auf den Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) zu den Basismaßnahmen der Cyber-Security sollten Unternehmen bei der Einführung eines IT-Sicherheitsmanagements grundsätzlich mindestens die folgenden Punkte berücksichtigen: Zuerst sollte im Unternehmen ein Bewusstsein für die Sicherheitsrisiken geschaffen werden (Awareness). Beim Einkauf und in der Beschaffung von Komponenten sollten Hersteller bevorzugt werden, die bei der Implementierung Sicherheitsaspekte berücksichtigen. Grundsätzlich sollte jeder Einsatz von vernetzten Geräten auf Erfordernis geprüft werden und ein Patchmanagement für alle Geräte im Unternehmensnetz eingeführt werden. Sofern für bestimmte Geräte keine Sicherheitspatches mehr bereitgestellt werden, sollten diese deaktiviert werden. Falls dies nicht möglich ist, sollten solche Geräte in abgetrennten Netzbereichen betrieben werden, zu denen nur genau definierte Kommunikationsbeziehungen erlaubt sind. Weitere Basismaßnahmen, die jedes Unternehmen treffen sollte, sind die Durchsetzung einheitlicher Passwortregeln unter Vermeidung der redundanten Verwendung von Passwörtern für alle mit dem Unternehmensnetz verbundenen Geräte und die Verwendung von Zweifaktorauthentifizierung, wenn möglich. 

Fazit

Die Digitalisierung ist Gegenwart. Die Vernetzung von Alltagsgegenständen schreitet sowohl im privaten Bereich als auch in den Unternehmen fort. Sie bietet einerseits eine Fülle von Chancen und stellt andererseits Unternehmen vor neue anspruchsvolle Herausforderungen, insbesondere durch eine Vielzahl von Sicherheitsrisiken. Um diese zu erkennen und wirksame Maßnahmen zur Vermeidung oder Kompensation ergreifen zu können, bedarf es eines strukturiert aufgebauten IT-Sicherheitsmanagements und eines systematischen und bewussten Vorgehens für dessen Implementierung.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: