Industrie 4.0 und umfassende globale Vernetzung lassen die Grenzen zwischen der klassischen und der produktionsbezogenen IT verschwimmen. Das Bewusstsein dafür, dass die IT-Sicherheit eines Unternehmens auch in der Produktion gewährleistet sein muss, hinkt der rasanten Entwicklung weit hinterher – zumal Know-how und Ressourcen Mangelware sind. Die Zertifizierung nach ISO 270001 kann Unternehmen einen Weg aus dieser risikoreichen Lage weisen.
Welche Herausforderungen stellen sich mit Blick auf das Management von IT-Sicherheit?
Allem voran geht es für Unternehmen jetzt und in Zukunft darum, ein individuell passendes Niveau an IT-Sicherheit zu schaffen und beizubehalten. Dies ist kein einfaches Vorhaben. Es fordert die Mitarbeit aller und bringt organisatorische Anpassungen mit sich. Neue Prozesse entstehen, Zuständigkeiten ändern sich, neue Ressourcen kommen hinzu. Speziell für kleine und mittlere Industrieunternehmen (KMU) sind diese ressourcenintensiven Herausforderungen kaum aus eigener Kraft zu bewältigen.
Welche Gefahren bedrohen die IT-Sicherheit in der Produktion?
Vor dem Hintergrund von Industrie 4.0 und internationaler Vernetzung gefährdet eine ganze Reihe von Faktoren die IT-Sicherheit in der Produktion:
-
Unzureichende Kenntnisse der Mitarbeiter:
Mitarbeiter, die mit der Steuerung und Überwachung der Maschinen betraut sind, können die IT-Sicherheit schwächen, wenn sie nicht ausreichend geschult sind und zum Beispiel nachlässig mit ihren Zugangsdaten umgehen. -
Unsichere Netzwerk-und Kommunikationsprotokolle:
Für Industrie 4.0 müssen Anlagen vernetzt und in die unternehmensweite IT-Infrastruktur integriert sein. Sind Netzwerke nicht ausreichend gesichert oder unsichere Kommunikationsprotokolle im Einsatz, erleichtert dies Angriffe von außen. -
Unzureichende Schutzmaßnahmen gegen Malware und Ransomware:
Industrie-4.0-Systeme, die von Malware oder Ransomware betroffen sind, können Schäden in der Produktion verursachen, die erhebliche finanzielle Auswirkungen haben. Unternehmen müssen Schutzmaßnahmen ergreifen, etwa Firewalls, Antivirenprogramme und regelmäßige Updates.
-
Fehlende Sicherheitsmaßnahmen:
Maschinen in der Produktion müssen ausreichend vor unautorisiertem Zugriff oder Manipulation geschützt sein, etwa durch Passwort- oder Biometrie-Systeme. Oft sind solche Sicherheitsmaßnahmen unzureichend implementiert oder veraltet.
-
Unsichere Cloud-Lösungen:
Industrie 4.0 setzt vermehrt auf Cloud-Lösungen, um Produktionsdaten und Maschinensteuerungen zu speichern und zu verarbeiten. Oft sind diese Lösungen nicht gut genug abgesichert und ermöglichen Hackern den Zugriff auf die Steuerung der Systeme. -
Unsichere IoT-Geräte:
IoT-Geräte wie Sensoren und Aktoren werden in der Industrie 4.0 dafür eingesetzt, Daten zu sammeln und zu verarbeiten. Haben diese Geräte Schwachstellen, können Hacker über sie auf das Netzwerk und die Maschinen zugreifen. -
Physischer Zugang:
Maschinen in der Produktion können auch gefährdet sein, wenn unbefugte Personen physische Kontrolle über sie erlangen. Deshalb müssen Unternehmen ihre Maschinen in sicheren Bereichen aufstellen und den Zugang kontrollieren. -
Schwachstellen in der Vernetzung:
Maschinen sind oft in ein Netzwerk integriert, um die Produktion zu optimieren und zu automatisieren. Schwachstellen in der Vernetzung können die Sicherheit gefährden und potenzielle Angriffsvektoren bieten.
Welche Maßnahmen verbessern die IT-Sicherheit in der Produktion?
Klare Rollendefinition und -verteilung:
Ein Informationssicherheitsbeauftragter (CISO) trägt die Verantwortung dafür, dass Sicherheitsmaßnahmen in allen Bereichen der IT implementiert und eingehalten werden. Bei größeren Unternehmen ist diese Position in der Regel eingeführt, jedoch liegt der Fokus meistens auf der Office-IT. Die industrielle Sicherheit oder die Sicherheit der Produktentwicklung werden bisher nur selten ausreichend berücksichtigt.
Ein denkbarer Ansatz wäre, zusätzlich zum klassischen CISO eine korrespondierende Funktion für die Produktion einzuführen – einen Industrial CISO. Dies hieße, zwei vergleichbare Rollen zu schaffen, die eng kooperieren und sich die Verantwortungsaspekte teilen.
Operativ kann der CISO durch bereichsspezifische Rollen unterstützt werden – aus der Office-IT, aus der Produktions-IT durch den Industrial Security Officer (ISO) und aus der Produktentwicklung durch den Product Security Officer (ProSO). Alle Aspekte der Governance und verschiedener Maßnahmen müssen dabei gewährleistet sein.
In der Realität ist allerdings davon auszugehen, dass vor allem in kleinen und mittleren Unternehmen mehrere Rollen in Personalunion geführt werden.
Trennung von Office-IT und Produktions-IT:
Gehen Office-IT und Produktions-IT ineinander über, finden Angreifer oft direkt einen Einstiegspunkt. Ohne ausreichende Segmentierung kann ein einziges kompromittiertes Office-System für großen Schaden in vernetzten Produktionssystemen sorgen – und umgekehrt ein Angriff in der Produktion sensible Daten im ERP-System gefährden. Deshalb müssen Office-IT und Produktions-IT ausreichend voneinander getrennt werden.
Im ersten Schritt ist zu klären, was der Office-IT zuzurechnen ist und welche Zonen gebildet werden können. Idealerweise beginnt dies mit einer Analyse der Bedrohungen und des risikobasierten Schutzbedarfs: Komponenten mit ähnlichem Bedarf werden in einer Zone zusammengefasst. Falls dies, gerade in KMU, nicht zu leisten ist, kann die Zonierung auch auf Basis einer groben Bedrohungsabschätzung erfolgen. Zum Beispiel lassen sich alle Rechner der Office-IT, die auf das E-Mail-System zugreifen und deshalb besonders gefährdet sind, zusammenfassen.
Im zweiten Schritt können die Zonen der Betriebsebene mit technischen Mitteln von den Zonen der Produktionsebene getrennt werden.
Identity and Access Management (IAM):
IAM, oder auch Zugangs- und Identitätsmanagement (ZIM), in der Industrie 4.0 bedeutet die Verwaltung von Zugriffsrechten und Identitäten für Personen und Systeme, die Zugriff auf vernetzte Produktionsanlagen, Maschinen und Systeme haben. Unternehmen müssen dafür sorgen, dass jeder Benutzer und jedes System nur auf die Daten und Ressourcen zugreifen kann, die für die Ausführung der individuellen Aufgaben notwendig sind. ZIM beinhaltet:
- die Implementierung von Sicherheitsmechanismen wie Passwortrichtlinien, Mehr-Faktor-Authentifizierung und rollenbasiertes Zugriffsmanagement;
- die Verwaltung von Identitäten für vernetzte Geräte und Maschinen, die sicherstellen soll, dass nur autorisierte Geräte auf das Netzwerk und die Produktionssysteme zugreifen können;
- die Vergabe von eindeutigen Identifikatoren für jedes Gerät und die Umsetzung von Sicherheitsprotokollen für den Datenaustausch zwischen den Geräten.
Softwaresicherheit in der Produktion:
Softwaresicherheit in der Industrie 4.0 bezeichnet die Sicherheit der Software, die in Produktionsanlagen und -systemen eingesetzt wird – durch Maßnahmen zur Vorbeugung, Erkennung und Abwehr von Sicherheitsbedrohungen wie Cyberangriffen und Malware. Unternehmen müssen gewährleisten, dass die Software in den Anlagen und Systemen der Produktion nicht angegriffen werden kann. Nötige Schritte sind:
- die Verwendung von sicheren Programmierpraktiken und der Einsatz von Sicherheitstools wie statischen Analysewerkzeugen und Scannern, die Schwachstellen in der Software frühzeitig erkennen;
- Maßnahmen zur Absicherung der Kommunikation zwischen Systemen und Komponenten in der Produktionsumgebung, zum Beispiel durch verschlüsselte Verbindungen und sichere Protokolle;
- die regelmäßige Aktualisierung von Software und Patches, damit Sicherheitslücken schnell behoben werden können.
Lieferantensicherheit oder Sicherheit beim Einkauf von Maschinen für die Produktion:
Lieferantensicherheit in der Industrie 4.0 heißt sicherzustellen, dass Lieferanten und deren Produkte, die in die Produktionsprozesse integriert sind (etwa Sensoren, Aktoren, Steuerungssoftware), den Anforderungen an IT-Sicherheit und Datenschutz entsprechen und kein Sicherheitsrisiko für das produzierende Unternehmen darstellen. Unternehmen müssen dafür sorgen, dass Lieferanten geeignete Maßnahmen implementieren und Sicherheitsstandards einhalten. Dazu gehören zum Beispiel:
- die Implementierung eines ISMS (Information Security Management System);
- die regelmäßige Überprüfung von Sicherheitsmaßnahmen;
- Schulungen der Mitarbeiter im Umgang mit IT-Sicherheit.
Welche Rolle spielt ein ISMS für die IT-Sicherheit in der Produktion?
Ein ISMS (Informationssicherheits-Managementsystem) definiert Kriterien und Maßnahmen, nach denen die Unternehmensleitung Aufgaben und Aktivitäten der Informationssicherheit – die Sicherheit aller Informationen – nachvollziehbar lenkt. Es dient dazu, die definierten Ziele zu erreichen, das Unternehmensrisiko zu minimieren und regulatorischen Anforderungen zu genügen. Bedacht sind Sicherheitsprozesse, Ressourcen, Mitarbeiter und Managementprinzipien – die Grundpfeiler der IT-Sicherheit in der produktionsbezogenen IT.
Wie IT-Sicherheit und Informationssicherheit zusammengehören, können Sie im Beitrag Informationssicherheit im Überblick: Definition, Schutzziele, Aufgaben nachlesen.
Welche Möglichkeiten bietet die Zertifizierung nach ISO 27001?
Die internationale Norm ISO 27001 bietet Leitlinien, Grundsätzen und Maßnahmen zur Einrichtung eines wirksamen ISMS. Dazu gehören Vorgaben für:
- Personalsicherheit
- Asset Management
- physische und Umgebungssicherheit
- Betriebssicherheit
- Kommunikationssicherheit
- Lieferantenbeziehungen
Die Zertifizierung nach ISO 27001 zwingt ein Unternehmen dazu, sich intensiv mit der Sicherheit aller relevanten Informationen zu beschäftigen und Regeln festzulegen – vor allem in der sicherheitstechnisch sträflich vernachlässigten Produktions-IT ein dringend notwendiger Rahmen.
Ein zertifiziertes Unternehmen zeigt, dass es Informationssicherheit ernst nimmt und für sichere Prozesse geradesteht. Dies stärkt bestehende Geschäftsbeziehungen und sorgt für Vertrauen bei neuen Kunden und Geschäftspartnern. Zudem hilft es Unternehmen dabei, Datenschutzvorschriften einzuhalten, Bußgelder zu vermeiden und geschäftliche Risiken zu begrenzen.
Wie kann DataGuard produzierenden Unternehmen helfen?
DataGuard unterstützt Sie mit Know-how und Beratungsleistungen rund um das Thema Informationssicherheit, zum Beispiel zum Aufbau und Betrieb eines ISMS nach ISO 27001. Ein Team von Experten verfügt über fundierte Fachkenntnisse und Best Practices aus einer Vielzahl von Projekten und sorgt für persönliche Beratung bei Ihren individuellen Anliegen.
Die Plattform von DataGuard bietet Ihnen Zugriff auf zahlreiche Richtlinien zur Umsetzung eines ISMS. Sie liefert Ihnen eine wertvolle Grundlage, die Sie nutzen und an Ihre eigenen Prozesse anpassen können, zum Beispiel an die spezifischen TISAX®-Anforderungen, falls Sie für die Automobilindustrie produzieren.
Sehr hilfreich ist auch die DataGuard Academy, mithilfe derer Ihre Belegschaft plattformgestützt und effizient grundlegende Schulungen zur Informationssicherheit absolvieren – und sich mit Risiken wie Social Engineering vertraut machen kann.
Benötigen Sie Beratung beim Aufbau eines ISMS, bei der Zertifizierung nach ISO 27001 oder bei der Schulung Ihrer Belegschaft? Wir helfen Ihnen gerne weiter – wenden Sie sich noch heute an einen unserer Experten für Informationssicherheit.
Die Zukunft der Informationssicherheit: 3 wichtige Strategien für 2023
3 Schlüsselstrategien, die Sie umsetzen können, um für die Zukunft gerüstet zu sein und wettbewerbsfähig zu bleiben.
Jetzt kostenlos herunterladen