Security Awareness ist die neue Herausforderung

Blog - Header Hintergrund

Security Awareness ist das Bewusstsein über Cyber Security bzw. IT-Sicherheit. Da Unternehmen immer mehr Prozesse digitalisieren, ist das Thema IT-Sicherheit komplexer geworden. Dieser Beitrag untersucht, welcher Gefahren Sie sich bewusst sein sollten.

Security Awareness in der Industrie 4.0

In jüngster Zeit rüsten Industriebetriebe mächtig auf: Dank Internet of Things (IoT), dem Internet der Dinge, ist die Fertigung bei manchen voll digitalisiert.

IoT ermöglicht vorausschauende Wartung von Anlagen, schnellere Durchlaufzeiten und bessere Logistik. Auch vor- und nachgelagerte Prozesse, wie die Beschaffung und Bereitstellung von Rohstoffen, Teilen und Halbfertigprodukten, profitieren von der neuen Transparenz und Schnelligkeit.

Auf der anderen Seite ist IoT ein potenzielles Einfallstor für Schadsoftware.

Phishing Mail legt Stahlwerk lahm

Schlimm genug, wenn ein Virus Computer lahmlegt, doch wenn die komplette Anlage nach einem Cyberangriff steht, ist das katastrophal. 

Tatsächlich sind solche Angriffe schon vorgekommen. So berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2014 über einen gezielten Angriff auf ein Stahlwerk. Er führte dazu, dass ein Hochofen außer Kontrolle geriet und die Anlage massiv beschädigte. Warum? Weil ein Mitarbeiter eine Phishing-Mail geöffnet hatte.

Erst letztes Jahr nahmen Hacker deutsche Energieversorger aufs Korn. Zum Glück war die Sicherheit bei den Betreibern Kritischer Infrastruktur so hoch, dass die Attacken erfolglos blieben. Ein Grund dafür ist laut BSI das IT-Sicherheitsgesetz

IoT Apps: (K)ein Einfallstor für Schadsoftware

Admins und CIOs in Fertigungsbetrieben sich bewusst sein, dass der Einsatz von Apps eine zusätzliche Sicherheitsanforderung bedeutet.

In der Fertigungsautomation und industriellen Prozesssteuerung werden zunehmend Smartphone Apps eingesetzt. Sie dienen der Fernwartung und Systemdiagnose, oder auch der Visualisierung und Parametrisierung von Industrial Control Systems (ICS). Das BSI und die Allianz für Cybersecurity haben kürzlich eine Liste von Maßnahmen empfohlen, um Apps in ICS sicher einzusetzen. Wir fassen sie hier zusammen.

IoT

Gefährliche Ausführungsumgebung

Die Ausführungsumgebung von Apps ist risikoreich. Mobile Geräte können abhanden kommen, ein veraltetes Betriebssystem haben oder auf unsichere Software zugreifen. Wer Security Awareness ernst nimmt, trifft folgende grundlegende Maßnahmen:

  1. eine eingehende Risikoanalyse
  2. möglichst nur lesender Zugriff aufs System
  3. die Schnittstellen in der Komponente, mit der die App kommuniziert, müssen besonders sicher sein

IT Sicherheit für Ihre IoT-Umgebung

Die folgenden Empfehlungen sind unbedingt einzuhalten, wenn Apps Schreibzugriff auf Ihre Anlage haben. Bei einem reinen Lesezugriff können sie, sofern Ihre Risikoanalyse keine Bedenken aufwirft, abgemildert werden.

  1. Apps dürfen keine Exposition der ICS im Internet bewirken
  2. Gerät darf nur auf das ICS zugreifen, nicht auf das Internet und auch nicht auf Mobilfunknetze
  3. Mobile Device Management (MDM) für die Geräte
  4. keine Verwendung privater Geräte (BYOD)
  5. Absicherung der verwendeten Geräte, etwa durch Minimierung von Schnittstellen
  6. kein Rooting / Jailbreak
  7. App-ICS-Kommunikation ausschließlich in einem vertrauenswürdigen, abgesicherten Unternehmensnetzwerk über sichere Kanäle (VPN oder TLS)
  8. die Kommunikation geht immer über einen Proxy, niemals direkt
  9. organisatorische Maßnahmen, die bei Verlust eines Geräts greifen
  10. sichere Passwörter, die regelmäßig gewechselt werden
  11. Zugangsdaten sind auf dem Gerät verschlüsselt und keinesfalls in der App hinterlegt
  12. kein Zwang, über Systeme von Drittanbietern zu kommunizieren

Über den Warn- und Informationsdienst, WID, des CERT-Bund können Sie sich über neue Schwachstellen und Sicherheitslücken sowie aktuelle Bedrohungen für Ihre IT-Sicherheit informieren.

Security by Design

Hacker und Saboteure werden immer professioneller. Die Gefährdung ist schon jetzt hoch und wird nach Einschätzung von Experten weiter wachsen.

Beispielsweise existieren Suchmaschinen wie zoomeye, die Geräte ausfindig machen. Nur leider ist für die Suchmaschine auch jede Schnittstelle ein “Gerät”. In einer vernetzten Umgebung können somit Mensch-Maschine-Schnittstellen (Human Machine Interfaces, HMI) oder Webserver ins Visier von Angreifern geraten.

Security Awareness

Neben der Integration von IT und Operations (immer eine gute Idee!) können Entwicklungen, die explizit für IoT geschaffen werden, schon von vornherein IT-Sicherheitskonzepte einbetten. Security by Design eben, wie es auch die DSGVO vorsieht.

Da Prozessoren immer leistungsfähiger und Ressourcen preiswerter werden, ist die Einbindung von Sicherheitstechnologien heute kein Show Stopper mehr.

Security Awareness quer durchs Unternehmen

Auch die besten technischen Maßnahmen fruchten wenig, wenn Sie Ihre Mitarbeiter nicht ausreichend für Cybersicherheit sensibilisieren.

Es genügt nicht, die Mitarbeiter einmal eine Online-Schulung machen und ein Assessment durchklicken zu lassen. Und dass dann möglichst noch während der Arbeitszeit, wo man so viel Anderes zu tun hat. Damit wird kein Bewusstsein geweckt.

Besser ist es, den Mitarbeitern eine Veranstaltung anzubieten, für die sie frei bekommen. Es existieren. Die Firma Henkel hat auf einer hausinternen Security Awareness-Messe gezeigt, wie Betrüger mit Near-Field-Kommunikation die Kreditkarten in Ihrem Portmonnaie auslesen. Durch Live Hacks und Gamification-Elemente wurde die Belegschaft nicht nur informiert, sondern auch engagiert im Kampf gegen Cyberkriminalität.

Fazit zu Security Awareness im IoT-Bereich

Das Internet of Things – IoT – ist ein potenzielles Einfallstor für Schadsoftware. Grund sind die mobilen Apps, die in IoT-Umgebungen zum Einsatz kommen. Fertigungsbetriebe sollten ein ausgeprägtes Bewusstsein für IT-Sicherheit und einen Maßnahmenplan haben. An vorderster Stelle steht dabei die Risikoanalyse.

Das BSI empfiehlt IoT-Apps mit nur-lesendem Zugriff, ausschließlich über Proxy und in sicheren Netzwerken zu verwenden. Die Geräte sollten von Ihrem Admin gemanagt werden und weder ins Internet noch in Mobilfunknetze gehen. Eigene Geräte der Mitarbeiter (BYOD) verbieten sich von selbst.

Darüber hinaus sollten dezidierte IoT-Apps von vornherein nach Security by Design-Grundsätzen entwickelt werden.

Weiterhin ist es von entscheidender Bedeutung, dass Ihre Mitarbeiter das Sicherheitskonzept leben. Security Awareness sollte in den Köpfen aller Beteiligten ankommen.

Autor:in Dorothea Heymann-Reder
Das könnte auch interessant sein
Jetzt testen, später entscheiden

Digitalisieren Sie noch heute Ihr Unternehmen

Testen Sie die Unternehmenssoftware von Scopevisio kostenlos und unverbindlich. Alle Prozesse in einem System - vernetzt, automatisiert und effizient.