IT-Sicherheit in der Industrie Herausforderung Cyber-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit seinen Veröffentlichungen Hilfestellungen für Unternehmen, die sich gegen IT-Angriffe schützen wollen. Allerdings ist das Amt weder ein Dienstleister noch ein Beratungsunternehmen – man muss also auch selbst etwas tun. Dazu bietet sich die Teilnahme an der Allianz für Cyber-Sicherheit an.

Im November 2013 hatte das BSI anlässlich der SPS IPC Drives in Nürnberg ein „Industrial Control System Security Kompendium“ veröffentlicht. Dieses Papier soll den Verantwortlichen bei Herstellern, Integratoren und Betreibern von industriellen Anlagen und Steuerungssystemen nahebringen, welche Maßnahmen notwendig sind, um die Systeme gegen Angriffe zu schützen. Die genauere Durchsicht des Kompendiums war dann aber für Security-Experten eher eine Enttäuschung. Dort werden viele Dinge erwähnt, von denen man meinen sollte, sie seien selbstverständlich, wenn man industrielle Anlagen auch nur mit einem Minimum an Security betreiben will.

Aber es sind wohl auch nicht die Sicherheitsspezialisten, die das Kompendium adressiert. Vielmehr liegt seine Absicht darin, überhaupt erst einmal alle Themengebiete zusammenzutragen, die betroffen sind, wenn eine Anlage oder Maschine gegen Angriffe geschützt werden soll. Und das ist den Autoren auch gelungen: In allgemeinverständlicher Form werden Problempunkte und Handlungsfelder benannt, mit dem Ziel, das Bewusstsein für „Security by ­Design“ zu entwickeln. Denn nachträgliches Absichern ist immer nur ein Lücken Stopfen – Sicherheit muss schon bei der Entwicklung berücksichtigt werden.

Viele Sicherheitsprobleme haben ihren Ursprung in Kommunikationsproblemen – und zwar in dem Sinne, dass diejenigen, die für Sicherheit sorgen sollen, aneinander vorbei reden. Um mal in die Vorurteilskiste zu greifen: Hier treffen die im Blaumann gekleideten Maschinenbauer und Automatisierer auf zopftragende Informatiker.

Beide haben völlig unterschiedliche Begriffswelten und Abkürzungen. Das kann schon damit anfangen, dass der Informatiker dem Begriff „IP“ ganz zweifelsfrei das Internet-Protokoll zuordnet, während der Automatisierer darunter sein jahrelang angesammeltes Know-how versteht, das er als Intellectual Property in einen Chip hat gießen lassen. Das ICS-Kompendium will hier ­einen Beitrag zum gegenseitigen Verständnis leisten, indem es gleich zu Anfang viele Begriffsklärungen bringt und auch interessante Vergleiche zwischen Office-IT und Maschinen-IT anstellt. So soll beim Automatisierer das Bewusstsein dafür geweckt werden, dass Ports und Zugriffsrechte nicht nur zum Freischalten da sind, und der Informatiker muss lernen, dass man eine ­Maschine nicht schnell mal mit einem Patch versorgen kann.