Zu früh für Industrie 4.0? BSI-Veröffentlichung wirft düsteres Licht auf ICS-Sicherheit

Mit der Sicherheit in deutschen Industrieanlagen ist es schlecht bestellt, das ergab eine Studie des BSI. An Industrie 4.0 ist noch nicht zu denken.

Industrielle Kontrollsysteme (ICS, Industrial Control Systems) weisen häufig schwerwiegende Mängel auf – so in kurz das Ergebnis einer unlängst vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Studie zu den Erfahrungen aus der industriellen Sicherheitsberatung.

Die Studie listet eine Vielzahl schwerwiegender Mängel in allen Bereichen, von der Organisation über das Netzwerk bis hin zu den eigentlichen ICS-Sicherheitskomponenten. Die genannten Kritikpunkte reichen von einer unzureichenden Sensibilisierung für die Risiken im Bereich Cybersicherheit über fehlende Betriebsanweisungen und unklare Zuständigkeiten bis hin zu fehlenden Netzplänen, aus denen überhaupt ersichtlich würde, welche Systeme wie miteinander vernetzt sind.

Sätze wie „häufig ist ein uneingeschränkter Zugriff auf das Internet aus der Produktion heraus möglich“ zeigen die erschreckenden Schwächen in diesem Bereich auf. Denn natürlich bedeutet das im Umkehrschluss auch, dass der Zugriff vom Internet auf die Produktion möglich ist, wenn nicht gerade ausgefeilte Sicherheitsmechanismen wie Unidirectional Firewalls (Datendioden) eingesetzt werden. Davon ist aber gerade in den Umgebungen mit schwerwiegenden Sicherheitsmängeln nicht auszugehen.

Und selbst dann bliebe immer noch das Risiko, dass eine Infektion über einen USB-Stick oder aus dem internen Netzwerk heraus erfolgt, um dann Daten an Server im Internet zu senden, die von den Angreifern betrieben werden. Gerade auch der unkontrollierte und unbedachte Umgang mit USB-Sticks zählt zu den weiteren Kritikpunkten des BSI.

Es lohnt sich, den Bericht zu lesen, wenn man für industrielle Produktionsumgebungen und damit für Themen wie Industrie 4.0 und die konkrete Sicherheit von ICS-Umgebungen zuständig ist. Der Bericht wirft ein Schlaglicht auf den Sicherheitsstatus in diesem Bereich und damit in der Konsequenz auch auf die Risiken, die durch Industrie 4.0 entstehen, wo genau die weitere Vernetzung solcher Umgebungen ein zentraler Baustein ist.

Man muss leider konstatieren, dass offensichtlich ein erheblicher Teil der Unternehmen heute noch nicht reif für Industrie 4.0 ist. Wer diesen Schritt hin zu einer Vernetzung von Geschäfts- und Produktionsprozessen machen möchte, muss zuerst die Hausaufgaben im Bereich der ICS-Sicherheit erledigen.

Man muss leider konstatieren, dass offensichtlich ein erheblicher Teil der Unternehmen heute noch nicht reif für Industrie 4.0 ist.

Das BSI stellt hierfür auch weitergehende Ratschläge bereit, die im ICS Security Kompendium zu finden sind. Dort finden sich sowohl für die Anwender von ICS als auch für die Hersteller und Integratoren viele konkrete Ratschläge. Dem Kompendium fehlt zwar in vielen Bereichen noch die Detailtiefe und Breite in der Abdeckung möglicher Sicherheitsmaßnahmen. Das gilt beispielsweise bei Update-Konzepten oder Konzepten für das Management von Identitäten auch von Diensten und Dingen und die detaillierte Zugriffssteuerung. Dennoch ist es eine wertvolle Hilfestellung für die Überprüfung des Status von Produktionsumgebungen.

Die BSI-Studie macht deutlich, dass die Sicherheitsrisiken, die bereits heute in Produktionsumgebungen und bei ICS bestehen, deutlich unterschätzt werden. Die Vernetzung ist schon lange weit fortgeschritten. Oft fehlen aber adäquate Sicherheitskonzepte. Mit der weiteren Entwicklung hin zu Industrie 4.0 wird sich das Problem verschärfen.

Deshalb müssen Unternehmen heute beginnen, ihre Risiken zu identifizieren und Gegenmaßnahmen ergreifen, um die Sicherheit zu erhöhen. Denn abgesehen davon, dass diese Risiken eine Gefahr für den Erfolg von Industrie 4.0-Strategien darstellen, darf man auch die ganz konkret bestehenden Risiken nicht unterschätzen. 

Angriffe auf Produktionsumgebungen können nicht nur zu teuren Produktionsausfällen führen. Sie können auch in Garantierisiken in Folge kleiner, nicht sofort bemerkter Fehler führen, die von Angreifern verursacht wurden. Und sie können auch Schäden für Maschinen und im schlimmsten Fall für Menschen zur Folge haben. Die aktuellen Veröffentlichungen des BSI sind daher eine Pflichtlektüre für alle, bis hinauf zu Geschäftsführung und Vorständen. Die Studie zu den Erfahrungen ist übrigens gerade einmal 3,5 Seiten lang – also durchaus in einer Management-tauglichen Länge.

Über den Autor:
Als Gründer und Principal Analyst, betreut Martin Kuppinger den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er bereits mehr als 50 IT-Bücher geschrieben und gilt als bekannter Kolumnist und Autor für technische Artikel und Rezensionen in einigen der renommiertesten IT-Zeitschriften in Deutschland, Österreich und der Schweiz. Martin Kuppinger ist ebenfalls ein etablierter Referent und Moderator bei Seminaren sowie Kongressen und besitzt einen Bachelor in Economics. 

Sein Interesse an Identity Management stammt aus den 80er Jahren, als er viel Erfahrung in der Entwicklung von Software-Architekturen sammeln konnte. Im Laufe der Jahre kamen weitere Forschungsfelder wie Virtualisierung, Cloud Computing, allgemeine IT-Sicherheit und vieles mehr hinzu. Durch sein Wirtschaftsstudium gelingt es ihm, seine IT-Kenntnisse mit einer starken Business-Perspektive zu verbinden.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close