Kommentar Heute schon an Security gedacht?

Manne Kreuzer, Markt&Technik

Schadsoftware und Angriffe auf Industrieanlagen sind keine Fiktion mehr. Es ist mehr als Zeit auch in der Industrie Security-Konzepte umzusetzen und zu leben.

Viren, Würmer oder Hackerangriffe werden noch heute von vielen Industrieanwendern nur als ein Problem der allgemeinen IT oder von Privatpersonen angesehen - die Realität ist aber eine andere. Als im Jahr 2010 das erste Mal bekannt wurde, dass mit "Stuxnet" eine Industrieanlage angegriffen wurde, haben es noch viele als eine Geheimdienstaktivität und damit als Einzelfall abgetan. Mit "Duqu" wurde ziemlich bald darauf der nächste Schädling enttarnt. Und in diesem Jahr zeigte sich, dass mit "Flame" ein ganzer Angriffsbaukasten schon seit mindestens 2007 auf die Industrie abzielt.

Auch wenn die Entwicklung vermutlich von Geheimdiensten geleistet wurde, so bedeutet das noch lange keine Entwarnung. Geheimdienste befreundeter Nationen haben schon Industriespionage zum Vorteil ihrer heimischen Firmen geleistet - Ausschreibungen bei Flugzeugen sind nur die Spitze des Eisberges.

Es ist nur eine Frage der Zeit, bis die entwickelte Technologie in die Hände von kriminellen Organisationen kommt. Bereits heute schon werden regelmäßig Web-Sites und Server "entführt" und Lösegeld gefordert. Der nächste Schritt wird wohl die Ausweitung der "Geschäftsaktivitäten" sein und Industrieproduktionen stillgelegt werden.

Diese gezielten Attacken haben nichts mit den gestreuten Angriffen der Vergangenheit zu tun - z.B. Viren und Würmer zum Aufbau eines Bot-Netzes - und können damit auch nicht mit den üblichen Schutzmechanismen wie Firewall und Virenscanner geblockt werden. Diese Tools schützen vielleicht vor dem "Grundrauschen" der üblichen Malware und sind deshalb auch weiterhin notwendig, für die Angriffe der Zukunft sind aber neue Schutzmechanismen zu installieren.

Dabei reichen einzelne, voneinander unabhängige Funktionen nicht mehr aus - ohne Vernetzung und Integration zu einem einheitlichen Schutzkonzept bleiben es nur mehr oder weniger schwache Glieder der Abwehrkette. Der Security ist mittlerweile ebenso viel Aufmerksamkeit zu schenken, wie der Safety.

Dies ist klar mit Kosten verbunden, sowohl auf der Lieferanten-, als auch bei der Kundenseite von Automationsprodukten. Dabei schlägt aber nicht nur der Aufpreis bei den einzelnen Geräten zu Buche, sondern auch der Mehraufwand in das Personal, denn der Mensch gehört genauso zur Fertigung, wie die einzelnen Maschinen.

Dabei kann der Mensch sich sowohl positiv als auch negativ auf das Gesamtsystem auswirken. Der geschulte und motivierte Mitarbeiter erkennt die Risiken, der Gleichgültige oder Frustrierte wird schnell zum schwachen Glied der Kette. Security kann nur als Partnerschaft im eigenen Unternehmen funktionieren und darf nicht in Misstrauen und gegenseitige Bespitzelung zwischen Belegschaft und Management führen - tobt der Cyberwar im Inneren, haben es die Angreifer von Außen umso einfacher.

Sicherheit - egal ob Safety oder Security - müssen Bestandteil der Unternehmenskultur sein. Sie muss täglich gelebt sein, denn ein agiles Unternehmen passt sich ständigen den Anforderungen der Kunden und des Wettbewerbs an. Mit jeder Veränderung muss aber das Sicherheitskonzept neu bewertet werden. Dies ist zweifelsfrei ein anstrengender Prozess, der keine Pause haben darf, denn die Cyberkriminellen sind geduldig und motiviert.