Eine wachsende Zahl von Produktionsanlagen steht Angriffen aus dem Internet praktisch ungeschützt gegenüber. Durch den Einzug neuer Technologien in die Fabrikhallen werden solche Angriffe zu einem zunehmend realistischen Szenario, warnt der IT-Security Dienstleister Defense AG aus München. Trotzdem sichern sich bisher nur sehr wenige Unternehmen ausreichend gegen solche Sicherheitsrisiken ab.
Dass die Gefahr externer Manipulationen wächst, liegt vor allem an der Einführung neuer Netzwerktechniken in der automatisierten Produktion. In immer stärkerem Maße lösen hier die aus der kommerziellen Datenverarbeitung bekannten Technologien wie Ethernet und das im Internet verwendete Internet Protocol (IP) die traditionellen Produktionsnetzwerke mit ihren proprietären Bussystemen ab. Doch diese neue Art der Standardisierung setzt das Produktionsnetzwerk auch allen Gefahren aus, die in Büroumgebungen seit langem bekannt sind. Dazu zählen Manipulationen durch Viren und Würmer ebenso wie gezielte Hacker-Angriffe, aber auch bewusstes oder unbewusstes Fehlverhalten der eigenen Mitarbeiter.
Während Büronetzwerke heute in den meisten Unternehmen gegen solche Gefahren abgesichert werden, herrscht auf Seiten der Produktion noch erheblicher Nachholbedarf. "Die wenigsten produzierenden Unternehmen haben ein umfassendes Sicherheitskonzept für ihre industriellen Netzwerke", warnt Peter Dölling, Vorstand der auf IT-Sicherheit spezialisierten Defense AG. Zwar sei in Deutschland in den vergangenen Jahren viel in die IT-Sicherheit investiert worden, doch diese Investitionen seien fast ausschließlich in die Büronetzwerke geflossen. Dies sei vor allem deshalb bemerkenswert, so Dölling, weil gerade im produzierenden Gewerbe die eigentliche Wertschöpfung in den Fabrikhallen erfolge und eben nicht in den Büros. Zudem seien die Risiken in der Produktion erheblich höher, da eine durch Hacker oder Viren hervorgerufene Fehlfunktion von Maschinen hier zu erheblichen Sach- oder gar Personenschäden führen könne.
Die Gründe für die Vernachlässigung der Sicherheit in Industrie-Netzwerken sind mannigfaltig. So ist vielen Produktionsverantwortlichen gar nicht bewusst, welche Sicherheitsrisiken die Einführung moderner Netzwerktechniken mit sich bringt. Zudem ist es immer seltener möglich, die kritischen Netzwerke und Maschinensteuerungen gegenüber der Außenwelt abzuschotten, da immer mehr Produktionsanlagen aus Kostengründen aus der Ferne und damit meist über das Internet gewartet werden. Zudem fehlen derzeit noch externe Impulse, in die Sicherheit der industriellen Netzwerke zu investieren.
Banken betrachten bei ihren Ratings im Rahmen von Basel II meist nur die Sicherheit der Business-Systeme. Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) konzentriert sich praktisch ausschließlich auf Empfehlungen zur Absicherung von Büronetzwerken; industrielle Netzwerke werden im umfassenden IT-Grundschutzhandbuch des BSI so gut wie nicht erwähnt.
Zudem sind sich Vorstand und Geschäftsführung der neuen Risiken oft nicht bewusst. "Doch das KontraG unterscheidet nicht zwischen Büro- und Industrienetzwerken", warnt Peter Dölling die Manager vor den erheblichen Haftungsrisiken. "Und ein mehrstündiger Produktionsausfall oder gar eine durch fehlende Sicherheitsvorkehrungen verursachte Umweltkatastrophe haben ein erheblich höheres Schadenspotential als etwa ein korrumpiertes Warenwirtschaftssystem."
Unterschiedliche Sicherheitskonzepte
Zwar gibt es durchaus Verfahren und auch Produkte zur Absicherung industrieller Netzwerke, doch deren effektiver Einsatz scheitert häufig an fehlendem Know-how und mangelnder Kommunikation zwischen Produktion und IT. Einerseits verfügen die Produktionsverantwortlichen nicht über ausreichende Erfahrung mit dem Thema IT-Sicherheit; andererseits hat das IT-Personal in den Unternehmen meist keine Informationen über die spezifischen Anforderungen und Gegebenheiten in der Produktion. Hier sind völlig andere Sicherheitskonzepte erforderlich, weil viele in kommerziellen Netzwerken selbstverständliche Maßnahmen nicht durchführbar sind, etwa regelmäßige Softwareaktualisierungen oder gar die Vergabe von Passwörtern. "Lediglich die bestehenden und der IT-Abteilung vertrauten Konzepte aus der Büroumgebung in die Fabrikhallen zu übertragen, kann nicht funktionieren", so Dölling. "Vielmehr ist es unbedingt erforderlich, dass Produktion und IT an einem Tisch sitzen und gemeinsam ein Sicherheitskonzept für das Netzwerk in der Fertigung entwickeln und umsetzen."
Dass die Gefahr externer Manipulationen wächst, liegt vor allem an der Einführung neuer Netzwerktechniken in der automatisierten Produktion. In immer stärkerem Maße lösen hier die aus der kommerziellen Datenverarbeitung bekannten Technologien wie Ethernet und das im Internet verwendete Internet Protocol (IP) die traditionellen Produktionsnetzwerke mit ihren proprietären Bussystemen ab. Doch diese neue Art der Standardisierung setzt das Produktionsnetzwerk auch allen Gefahren aus, die in Büroumgebungen seit langem bekannt sind. Dazu zählen Manipulationen durch Viren und Würmer ebenso wie gezielte Hacker-Angriffe, aber auch bewusstes oder unbewusstes Fehlverhalten der eigenen Mitarbeiter.
Während Büronetzwerke heute in den meisten Unternehmen gegen solche Gefahren abgesichert werden, herrscht auf Seiten der Produktion noch erheblicher Nachholbedarf. "Die wenigsten produzierenden Unternehmen haben ein umfassendes Sicherheitskonzept für ihre industriellen Netzwerke", warnt Peter Dölling, Vorstand der auf IT-Sicherheit spezialisierten Defense AG. Zwar sei in Deutschland in den vergangenen Jahren viel in die IT-Sicherheit investiert worden, doch diese Investitionen seien fast ausschließlich in die Büronetzwerke geflossen. Dies sei vor allem deshalb bemerkenswert, so Dölling, weil gerade im produzierenden Gewerbe die eigentliche Wertschöpfung in den Fabrikhallen erfolge und eben nicht in den Büros. Zudem seien die Risiken in der Produktion erheblich höher, da eine durch Hacker oder Viren hervorgerufene Fehlfunktion von Maschinen hier zu erheblichen Sach- oder gar Personenschäden führen könne.
Die Gründe für die Vernachlässigung der Sicherheit in Industrie-Netzwerken sind mannigfaltig. So ist vielen Produktionsverantwortlichen gar nicht bewusst, welche Sicherheitsrisiken die Einführung moderner Netzwerktechniken mit sich bringt. Zudem ist es immer seltener möglich, die kritischen Netzwerke und Maschinensteuerungen gegenüber der Außenwelt abzuschotten, da immer mehr Produktionsanlagen aus Kostengründen aus der Ferne und damit meist über das Internet gewartet werden. Zudem fehlen derzeit noch externe Impulse, in die Sicherheit der industriellen Netzwerke zu investieren.
Banken betrachten bei ihren Ratings im Rahmen von Basel II meist nur die Sicherheit der Business-Systeme. Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) konzentriert sich praktisch ausschließlich auf Empfehlungen zur Absicherung von Büronetzwerken; industrielle Netzwerke werden im umfassenden IT-Grundschutzhandbuch des BSI so gut wie nicht erwähnt.
Zudem sind sich Vorstand und Geschäftsführung der neuen Risiken oft nicht bewusst. "Doch das KontraG unterscheidet nicht zwischen Büro- und Industrienetzwerken", warnt Peter Dölling die Manager vor den erheblichen Haftungsrisiken. "Und ein mehrstündiger Produktionsausfall oder gar eine durch fehlende Sicherheitsvorkehrungen verursachte Umweltkatastrophe haben ein erheblich höheres Schadenspotential als etwa ein korrumpiertes Warenwirtschaftssystem."
Unterschiedliche Sicherheitskonzepte
Zwar gibt es durchaus Verfahren und auch Produkte zur Absicherung industrieller Netzwerke, doch deren effektiver Einsatz scheitert häufig an fehlendem Know-how und mangelnder Kommunikation zwischen Produktion und IT. Einerseits verfügen die Produktionsverantwortlichen nicht über ausreichende Erfahrung mit dem Thema IT-Sicherheit; andererseits hat das IT-Personal in den Unternehmen meist keine Informationen über die spezifischen Anforderungen und Gegebenheiten in der Produktion. Hier sind völlig andere Sicherheitskonzepte erforderlich, weil viele in kommerziellen Netzwerken selbstverständliche Maßnahmen nicht durchführbar sind, etwa regelmäßige Softwareaktualisierungen oder gar die Vergabe von Passwörtern. "Lediglich die bestehenden und der IT-Abteilung vertrauten Konzepte aus der Büroumgebung in die Fabrikhallen zu übertragen, kann nicht funktionieren", so Dölling. "Vielmehr ist es unbedingt erforderlich, dass Produktion und IT an einem Tisch sitzen und gemeinsam ein Sicherheitskonzept für das Netzwerk in der Fertigung entwickeln und umsetzen."
