Keine Science-Fiction, nur eine Frage der Sicherheit

Marktanalysen haben ergeben, dass bis zum Jahr 2020 zwischen 30 und 200 Milliarden Gegenstände und Geräte vernetzt sein werden – in Privathaushalten gleichermassen wie in der industriellen Fertigung. Unternehmen machen sich die Machine-to-Machine-Communication bereits in weiten Teilen ihrer Wertschöpfungskette zunutze. Dabei wird stets das Ziel verfolgt, Prozesse zu automatisieren bzw. zu optimieren. In einer Vision der flächendeckenden Durchdringung dieses Ansatzes steuern sich Aufträge selbstständig durch ganze Wertschöpfungsketten, buchen ihre Bearbeitungsmaschinen sowie ihr Material und organisieren ihre Auslieferung zum Kunden. Möglich wird dies durch die flächendeckende und (mittlerweile) bezahlbare Verfügbarkeit von industriell einsetzbaren (Funk-)Internetverbindungen.

Ein neues Cyber-Ökosystem entsteht

Nach und nach entwickeln sich so vernetzte Lebensräume und Ökosysteme, die – bei allem Komfort und technischem Fortschritt – nicht vor Sicherheitsrisiken gefeit sind. Angreifer können jederzeit willkürlich oder gezielt in digitalisierte Prozesse und Infrastrukturen unseres beruflichen Alltags eindringen. Bis dato ist nicht davon auszugehen, dass Sicherheitsvorkehrungen in gleichem Masse und Tempo mit dieser Entwicklung einhergehen. Eine im August 2014 von Fortinet durchgeführte Studie1 zeigt aber, dass sich Unternehmen durchaus der konstant fortschreitenden Cyber-Bedrohungen und der Notwendigkeit erhöhter Sicherheitsmassnahmen bewusst sind.

Steigender Bedarf an Rechenleistung bringt neue Herausforderungen

Bedenkt man, dass Machine-toMachine-Communication auch für den Betrieb von kritischen Infrastrukturen (z.B. Smart Grids, intelligente Verkehrssteuerung und Überwachungssysteme u.v.m.) erforderlich ist, wird bewusst, welch massgebliche Rolle geeignete Schutzmassnahmen in diesem Kontext einnehmen sollten. Eine zentrale Herausforderung ist dabei sicherlich die Speicherplatzproblematik: Durch die Vernetzung von Diensten und Geräten besteht ein stetig steigender Bedarf an Rechenleistung. Da die eingesetzten Geräte jedoch häufig über limitierte Ressourcen verfügen, ist einer der am häufigsten gewählten Ansätze jener, Daten und deren Verarbeitung in die Cloud auszulagern. Dadurch ergeben sich jedoch wiederum neue Herausforderungen in den Bereichen Sicherheit und Datenschutz.

Neue Bedrohungslage durch APTs

Hinzu kommt eine völlig neue Generation von Cyberkriminellen und Hackern, die meist aus wirtschaftlichen und politischen Motiven vernetzte Infrastrukturen attackieren, um an sensible Daten und spezifische Informationen zu gelangen bzw. gezielten Schaden anzurichten. Dieses massive Aufkommen sogenannter «Advanced Persistent Threats» (kurz APTs) stellt Unternehmen vor völlig neue Challenges in puncto IT-Sicherheit. Nicht mehr «nur» der Schutz von persönlichen Daten spielt hierbei eine Rolle, sondern zunehmend auch die Sicherheit von öffentlichen Infrastrukturen und industriellen Systemen, die teilweise ganze Regionen versorgen. Übernimmt beispielsweise ein Hacker die Kontrolle über das System eines sogenannten «Smart Meters», also eines intelligenten Stromzählers, sind nicht allein die Fernsteuerung der Geräte und die Trennung vom Stromanschluss, sondern auch die Manipulation der übertragenen Verbrauchsmenge möglich. Darüber hinaus könnte die Übermittlung von manipulierten Lastdaten zu einer Destabilisierung der Leitungsnetze führen – bis hin zum Ausfall der Stromversorgung ganzer Wohngegenden. Entscheidungsträger müssen sich bewusst werden, dass diese neuen Technologien nicht nur Vorteile mit sich bringen, sondern auch neue Sicherheitskonzepte erfordern.

Organisatorische und strategische Überlegungen als erster Schritt

Es mag banal klingen, doch bevor Unternehmen sich für bestimmte Sicherheitslösungen und -massnahmen entscheiden, sollten vorab organisatorische und strategische Fragen geklärt sein. In diesem Sinne gilt es, klare Verantwortlichkeiten festzulegen und für die Gesamtstrategie einen zentralen Chief Security Officer (CSO) zu ernennen. Sollten mehrere Partner oder Zulieferer an der Produktion beteiligt sein, sollten jegliche Sicherheitsmassnahmen und Richtlinien mit diesen abgestimmt und in das Gesamtkonzept integriert werden. So kann vermieden werden, dass die Produktion über Partnersysteme kompromittiert und die Sicherheitsmassnahmen damit ad absurdum geführt werden. Um die passenden Lösungen zu finden, sollten sich Unternehmen einen Experten suchen, der sie in einem zweiten Schritt zu folgenden Fragen berät: Mit welOrganisatorische

Neue Technologien bringen nicht nur Vorteile, sondern erfordern auch neue Sicherheitskonzepte.

chen Typen von Angreifern ist zu rechnen und welche Ziele verfolgen diese? Welche Angriffspunkte und Schnittstellen weist mein Kommunikationssystem auf? Welchen maximalen Schaden kann ein erfolgreicher Angriff bewirken? Welche technischen Massnahmen können einen Angriff verhindern? In welchem Verhältnis soll der Investitionsaufwand für Abwehrmassnahmen zum potenziell möglichen Schaden stehen? Sind diese organisatorischen und strategischen Fragen geklärt, wird es Zeit, sich über konkrete Lösungen Gedanken zu machen.

Geeignete Massnahmen zum Schutz eines Unternehmens

Viele Unternehmen schützen lediglich ihre Internetverbindungen durch Firewalls. In Zeiten von Machine-to-Machine-Communication und APTs reicht diese Sicherheitsvorkehrung bei weitem nicht mehr aus. Vielmehr gilt es, an verschiedenen Stellen Sicherheitsmassnahmen einzuführen: z.B. auch bei der Vernetzung von OfficeIT und Produktionsnetz sowie auf der Visualisierungs- und Steuerungsebene. Weiters empfiehlt es sich, eine laufende Dokumentation von Netzkomponenten beziehungsweise Kommunikationsteilnehmern durchzuführen, um so sicherheitskritische Fehler bei Systemerweiterungen vermeiden zu können. Zudem sollte definiert werden, welche Geräte zu welchen Zeiten miteinander kommunizieren dürfen. Ein weiterer wichtiger Aspekt ist die sichere Authentifizierung aller Kommunikationsteilnehmer, der Mitarbeiter und der Maschinen. Smart-Card-basierte Systeme haben sich dabei in der Vergangenheit gut bewährt. In diesem Zusammenhang lässt sich auch ein zunehmender Trend in Richtung biometrische Sicherheitsmassnahmen feststellen. Eine sinnvolle Aufteilung in Teilnetze bringt zusätzlichen Schutz, da so ein kompromittiertes Gerät keine weiteren Geräte oder andere Teilnetze infizieren oder gar komplett lahmlegen kann. Die Firmware kommunizierender Geräte sollte überdies vom Hersteller bei Bedarf aktualisiert werden können.

Wirtschaftliche Performance darf nicht unter Schutzmassnahmen leiden

Vernetzte Geräte und Maschinen versprechen Vorteile, bieten aber gleichzeitig eine breite Angriffsfläche für Cyberkriminelle. Um die Hürden im Bereich Sicherheit und Datenschutz zu meistern, wird es für Unternehmen immer wichtiger, ihre Netzwerkinfrastruktur zentral zu schützen sowie Aussenstellen effizient und sicher anzubinden. Für zahlreiche Betriebe geht damit auch ein Nachrüsten bereits vorhandener IT-Strukturen einher, da viele neue Sicherheitsaspekte nicht automatisch mitberücksichtigt werden. Natürlich darf gleichzeitig die wirtschaftliche Performance nicht unter den essenziellen Schutzmassnahmen leiden: Was nützen zehn verschlossene Türen, wenn jede einzelne mühsam aufgesperrt werden muss und damit die Effizienz des Unternehmens dramatisch sinkt? Sicherheitssysteme müssen schützen, nicht die betriebliche Performance einschränken.