IT-Sicherheit für Industrie 4.0
Max Weidele und Marcus Geiger, Cyber Akademie, befassen sich in der Novemberausgabe 2018 des Behördenspiegel mit der IT-Sicherheit für Industrie 4.0. Um Unklarheiten bei der Durchführung von industriellen IT-Sicherheitsprojekten zu beseitigen und das gegenseitige Verständnis zwischen den beteiligten Abteilungen zu fördern, ist die Plattform www.sichere-industrie.de ins Leben gerufen worden. Hier finden sich praxisnahe Informationen zu den verschiedensten Gebieten der industriellen IT-Sicherheit. Sie bündelt u.a. konkrete Hinweise und Handlungsempfehlungen zu sicherheitskritischen Einkaufsbestimmungen für Maschinen und Anlagen oder zur Standardisierung von externen Fernwartungszugängen in den Herzen der Anlage. Im Zentrum steht der interdisziplinäre Austausch, um den Wissensaustausch zwischen Automatisierungs- und IT-Abteilungen und ein reibungsloseres Vorankommen beim Schutz der digitalen Werte zu fördern.
Tipps für IT-Sicherheit in vernetzten Industrieanlagen
Praktische Tipps für IT-Sicherheit in vernetzten Industrieanlagen gibt in der Ausgabe 11-2018 der Zeitschrift GIT Sicherheit Udo Schneider, Trend Micro Deutschland. Basis einer sinnvollen Security Garantie ist das Wissen um schützenswerte Güter. Dann muss die Frage beantwortet werden, welche Lücken oder Verwundbarkeiten in den gefundenen Komponenten existieren. Im Gegensatz zum Risikoanalyseprozess der „normalen funktionalen Sicherheit ist die Risikoanalyse im Bereich IT-Sicherheit endlos zyklisch. Inzwischen gebe es mit IEC26443/ISA99 neue Normen und Rahmenwerke, die deutlich expliziter auch IT-Security als Teil des Sicherheits- und Betriebskonzepts von industriellen Systemen modellieren. Im Unterschied zu IEC61508 würden in der IEC26443 konkret Anforderungen und auch Maßnahmen der IT-Sicherheit beschrieben. Auf solche Maßnahmen geht der Beitrag näher ein.
Das IT-Sicherheitsgesetz 2.0 erweitert das Branchenspektrum mit Meldepflichten
Das Bundesinnenministerium arbeitet am IT-Sicherheitsgesetz 2.0, titelt der Behördenspiegel in der Dezemberausgabe 2018. Weitere Branchen sollen Mindeststandards nachweisen und bei erheblichen IT-Sicherheitsvorfällen melden müssen. In dem neuen Gesetz wird es um Unternehmen gehen, bei denen IT-Pannen besonders große Kollateralschäden haben, ohne dass damit auch Engpässe verbunden sind.
Als wahrscheinliche Kandidaten stehen die Rüstungsindustrie, die Chemie- und die Automobilbranche im Raum. Die Zahl der betroffenen Unternehmen kann um ein Vielfaches steigen, vor allem um KMU. Ein Kritikpunkt vonseiten der Industrie besteht darin, dass den gesetzlichen Pflichten in der Praxis keine ausreichende Unterstützung gegenüberstehe. Das BSI soll in Zukunft als „Scharnier“ für den fortlaufenden Austausch zwischen Sicherheitsbehörden und Unternehmen fungieren. Ein anderes Thema ist die Regulation von internetfähigen Geräten.
IT-Sicherheitsprognosen für 2019
IT-Sicherheitsprognosen für 2019
Git-Sicherheit.de berichtet am 14. Januar über die IT-Sicherheitsvorhersagen von Trend Micro für das Jahr 2019. Cyberkriminelle werden sich an die veränderten IT-Landschaften von Unternehmen anpassen, wobei auch altbewährte Angriffsmethoden weiterhin erfolgversprechend sein könnten. Die Cloud werde dabei besonders gefährdet sein. Der Bericht von Trend Micro „Mapping the Future: Dealing with Pervasive and Persistent Threats” betone die zunehmenden Bedrohungen. Für Unternehmen sei es wichtiger denn je, mehr Mittel in die Aus- und Weiterbildung der Mitarbeiter zu investieren, um sich vor diesen wachsenden Risiken zu schützen.
Die Rolle von Social Engineering bei gelungenen Angriffen auf Unternehmen werde im Laufe des Jahres weiter zunehmen. Da Exploits in Unternehmensnetzwerken oftmals ungepatcht blieben, werde diese Taktik auch weiterhin erfolgreich sein. Trend Micro prognostiziere auch, dass Angreifer die bewährten Methoden für Angriffe auf die zunehmend verbreitete Cloud-Nutzung einsetzen würden. Es würden immer mehr Schwachstellen in Cloud-Infrastrukturen, wie Containern, gefunden werden. Schwache Maßnahmen für die Cloud-Sicherheit würden eine vermehrte Ausnutzung von Accounts für das Mining von Kryptowährungen ermöglichen. Dies könne zu noch schwereren Datenpannen aufgrund falsch konfigurierter Systeme führen. Es sei wahrscheinlich, dass BEC(Business Email Compromise)-Angriffe mehr auf Mitarbeiter abzielen werden, die direkt mit Führungskräften der obersten Ebene kommunizieren. SIM-Austausch und SIM-Jacking würden ein wachsendes Gefahrenpotential für standortferne Mitarbeiter und alltägliche Nutzer darstellen. Diese Angriffsmethode ermögliche es Kriminellen, ein Mobiltelefon ohne Wissen des Benutzers zu übernehmen.