Dazu berichtete aktuell security – insider.de. Eine effektive Abwehr der Cyberattacken behindert im konkreten Fall die oft dezentrale Organisation, das daraus entstehende Informationsmanagement sowie die Trennung in Prozesssteuerungs- und IT-Netzwerke.
Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge sind dies die Top-Risiken für industrielle Kontrollsysteme (Industrial Control Systems, ICS):
Infektionen mit Schadsoftware über Internet und Intranet,
Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware,
Social Engineering, menschliches Fehlverhalten und Sabotage,
Einbruch über Fernwartungszugänge,
mit dem Internet vernetzte Steuerungskomponenten,
technisches Fehlverhalten und höhere Gewalt,
Kompromittierung von Smartphones im Produktionsumfeld,
Kompromittierung von Extranet- und Cloud-Komponenten sowie
(D)DoS-Angriffe.
Dabei gibt es folgende Unterschiede zwischen Office – und Industrie – Infrastrukturen zu bedenken:
1. Virenschutz: Während im Büro etablierte Sicherheitsmechanismen existieren, gilt dies nicht für die industrielle IT. Die Installation von fremder Software ist oftmals nicht erlaubt, außerdem können Online-Updates Probleme bereiten.
2. Verfügbarkeit: In der Office-IT sind kontrollierte Unterbrechungen keine Seltenheit. In der Industrie kosten Verzögerungen und Unterbrechungen hingegen bares Geld. Korrektureinspielungen erfolgen eher selten und werden in längeren Wartungszyklen zusammen mit dem Hersteller ausgeführt.
3. Hardware Lifecycle: Der Lebenszyklus von Hardware-Komponenten liegt in der klassischen IT meist bei wenigen Jahren, in der Industrie-IT kann eine Komponente durchaus 20 bis 25 Jahre im Einsatz sein.
4. Risikobeurteilung: Im Büro liegt der Fokus auf der Vertraulichkeit, Verfügbarkeit und Integrität von Daten, die Industrie muss sich zwangsläufig eher am Schutz von Mensch und Umwelt ausrichten.
Heute gibt es zwei wesentliche Netzwerktypen im Energiebereich: Prozesssteuerungsnetzwerke und IT-Netzwerke. Beide Netzwerktypen sind in modernen Infrastrukturen miteinander verbunden. Verglichen mit vorherigen Architekturen, in denen es nur geringe Überschneidungen gab, sind nun Überschneidungen von internen Anschlüssen vorhanden. Somit bietet sich eine Angriffsoberfläche zwischen den zwei Netzwerken. Höhere Sicherheitslevel bieten der Einsatz interner sowie von Informationssicherheitsplattformen gesteuerter Abwehrmechanismen. Mögliche Angriffe folgen einem Kettenschema. Über die entstehende Lücke wird ein viel komplexerer Angriff gestartet, der beispielsweise dazu dienen kann, Zentrifugen zu zerstören oder auch vertrauliche Pläne und Daten zu entwenden. Um die Angriffskette effektiv zu verhindern bzw. zu stören, sollten Abwehrmaßnahmen zu jedem Zeitpunkt während der Attacke greifen. Die klassische Risikokalkulation für interne Netzwerksicherheitsabwehr drückt dies so aus:
Risiko (R) = Bedrohung (B) x Schwachstellen (S) x Folge/Auswirkungen (F)
Werden alle Parameter der Risikoberechnung gegen Null gesteuert, verringert sich das Sicherheitsrisiko immens. Daher sollte eine genaue Prüfung des Internetverkehrs erfolgen, beispielsweise mithilfe von Black- und Whitelisting.
Im Hinblick auf Datensicherheit haben Unternehmen der Energiebranchen ebenfalls Richtlinien zu beachten – nicht nur bei intelligenten Stromzählern, die Stromverbrauchsdaten direkt über das Internet oder klassische Telefonleitungen übertragen. Ebenso herkömmliche Sicherheitsrisiken wie Datenmigration, -trennung und -speicherung sowie der sichere Austausch von Kundeninformationen, z.B. zur Bonitätsprüfung, stehen im Fokus.
Gesetzliche Verordnungen und Vorschriften leisten ihr Übriges zu einem besonders sensiblen Umgang mit Daten. Professionelle Lösungen helfen dabei, die Vorgaben einzuhalten. Empfehlenswert sind regelbasierte Sicherheitsauthentifizierungen, bei denen einzelnen Benutzern oder Benutzergruppen beliebig viele Dienste und Nutzungsrechte individuell zugeordnet werden.
Vom Energiesektor hängt für Firmen- und Privatkunden einiges ab, nicht nur Produktivität und Komfort, sondern auch Gesundheit (man denke an Krankenhäuser) und Sicherheit. Dieser Verantwortung ist sich die Branche noch nicht durchgängig bewusst.
Passende Lösungen, die den Besonderheiten der Prozess- und IT-Architekturen Rechnung tragen, sind bereits erhältlich. Sie errichten einen umfassenden Schutz der Infrastrukturen, während sie gleichzeitig bei der Einhaltung von Datenschutzvorgaben behilflich sind und es ermöglichen, die Performance zu sichern und Bedienfehler weitgehend auszuschließen.
Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge sind dies die Top-Risiken für industrielle Kontrollsysteme (Industrial Control Systems, ICS):
Infektionen mit Schadsoftware über Internet und Intranet,
Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware,
Social Engineering, menschliches Fehlverhalten und Sabotage,
Einbruch über Fernwartungszugänge,
mit dem Internet vernetzte Steuerungskomponenten,
technisches Fehlverhalten und höhere Gewalt,
Kompromittierung von Smartphones im Produktionsumfeld,
Kompromittierung von Extranet- und Cloud-Komponenten sowie
(D)DoS-Angriffe.
Dabei gibt es folgende Unterschiede zwischen Office – und Industrie – Infrastrukturen zu bedenken:
1. Virenschutz: Während im Büro etablierte Sicherheitsmechanismen existieren, gilt dies nicht für die industrielle IT. Die Installation von fremder Software ist oftmals nicht erlaubt, außerdem können Online-Updates Probleme bereiten.
2. Verfügbarkeit: In der Office-IT sind kontrollierte Unterbrechungen keine Seltenheit. In der Industrie kosten Verzögerungen und Unterbrechungen hingegen bares Geld. Korrektureinspielungen erfolgen eher selten und werden in längeren Wartungszyklen zusammen mit dem Hersteller ausgeführt.
3. Hardware Lifecycle: Der Lebenszyklus von Hardware-Komponenten liegt in der klassischen IT meist bei wenigen Jahren, in der Industrie-IT kann eine Komponente durchaus 20 bis 25 Jahre im Einsatz sein.
4. Risikobeurteilung: Im Büro liegt der Fokus auf der Vertraulichkeit, Verfügbarkeit und Integrität von Daten, die Industrie muss sich zwangsläufig eher am Schutz von Mensch und Umwelt ausrichten.
Heute gibt es zwei wesentliche Netzwerktypen im Energiebereich: Prozesssteuerungsnetzwerke und IT-Netzwerke. Beide Netzwerktypen sind in modernen Infrastrukturen miteinander verbunden. Verglichen mit vorherigen Architekturen, in denen es nur geringe Überschneidungen gab, sind nun Überschneidungen von internen Anschlüssen vorhanden. Somit bietet sich eine Angriffsoberfläche zwischen den zwei Netzwerken. Höhere Sicherheitslevel bieten der Einsatz interner sowie von Informationssicherheitsplattformen gesteuerter Abwehrmechanismen. Mögliche Angriffe folgen einem Kettenschema. Über die entstehende Lücke wird ein viel komplexerer Angriff gestartet, der beispielsweise dazu dienen kann, Zentrifugen zu zerstören oder auch vertrauliche Pläne und Daten zu entwenden. Um die Angriffskette effektiv zu verhindern bzw. zu stören, sollten Abwehrmaßnahmen zu jedem Zeitpunkt während der Attacke greifen. Die klassische Risikokalkulation für interne Netzwerksicherheitsabwehr drückt dies so aus:
Risiko (R) = Bedrohung (B) x Schwachstellen (S) x Folge/Auswirkungen (F)
Werden alle Parameter der Risikoberechnung gegen Null gesteuert, verringert sich das Sicherheitsrisiko immens. Daher sollte eine genaue Prüfung des Internetverkehrs erfolgen, beispielsweise mithilfe von Black- und Whitelisting.
Im Hinblick auf Datensicherheit haben Unternehmen der Energiebranchen ebenfalls Richtlinien zu beachten – nicht nur bei intelligenten Stromzählern, die Stromverbrauchsdaten direkt über das Internet oder klassische Telefonleitungen übertragen. Ebenso herkömmliche Sicherheitsrisiken wie Datenmigration, -trennung und -speicherung sowie der sichere Austausch von Kundeninformationen, z.B. zur Bonitätsprüfung, stehen im Fokus.
Gesetzliche Verordnungen und Vorschriften leisten ihr Übriges zu einem besonders sensiblen Umgang mit Daten. Professionelle Lösungen helfen dabei, die Vorgaben einzuhalten. Empfehlenswert sind regelbasierte Sicherheitsauthentifizierungen, bei denen einzelnen Benutzern oder Benutzergruppen beliebig viele Dienste und Nutzungsrechte individuell zugeordnet werden.
Vom Energiesektor hängt für Firmen- und Privatkunden einiges ab, nicht nur Produktivität und Komfort, sondern auch Gesundheit (man denke an Krankenhäuser) und Sicherheit. Dieser Verantwortung ist sich die Branche noch nicht durchgängig bewusst.
Passende Lösungen, die den Besonderheiten der Prozess- und IT-Architekturen Rechnung tragen, sind bereits erhältlich. Sie errichten einen umfassenden Schutz der Infrastrukturen, während sie gleichzeitig bei der Einhaltung von Datenschutzvorgaben behilflich sind und es ermöglichen, die Performance zu sichern und Bedienfehler weitgehend auszuschließen.
