Organisation ist alles

Netzwerksicherheit – Industriespionage gefährdet viele Unternehmen. Höchstmögliche Sicherheit erfordert neben technischen jedoch vor allem organisatorische Maßnahmen.

12. August 2008

Ein zunehmender Trend in der industriellen Automatisierungstechnik ist der zunehmende Einsatz des Internetprotokolls TCP/IP auf Basis von Ethernet für die Datenübertragung anstelle der bisher meist busbasierten Kommunikation. Diese Entwicklung ermöglicht unter anderem eine durchgängige unternehmensweite Kommunikation, von der Maschine bis in die Büroumgebung. Ein Nachteil dieser Entwicklung ist jedoch die zunehmende Gefährdung durch Angriffe von außen, etwa über das Internet. In besonderem Maße gilt dies für Unternehmen mit digitalen Fertigungslinien, bei denen sämtliche an der Produktion beteiligten Systeme miteinander vernetzt sind, damit sie reibungslos miteinander kommunizieren können: Die dafür notwendigen Schnittstellen ermöglichen es Hackern oft, in die Firmennetzwerke einzudringen und beispielsweise Kontodaten oder Betriebsgeheimnisse auszuspionieren.

Technik allein hilft nicht

Zwar schützen sich viele Unternehmen heute nicht nur mit ausgeklügelten Firewall-Mechanismen, Intrusion-Prevention-Systemen oder Verschlüsselungstechnologien, doch scheint mittlerweile sicher, dass sich dieses Problem mit Technik allein wohl nicht lösen lässt: Mindestens ebenso wichtig ist die parallele Etablierung entsprechender organisatorischer Rahmenparameter. Zu diesen organisatorischen Voraussetzungen zählt ein Sicherheits-Management auf Basis eines Information Security Management Systems (ISMS) ebenso wie Betriebsprozesse, die sich an der weltweit anerkannten IT Infrastructure Library (ITIL) orientieren.

Ein entscheidender Faktor für das Gelingen eines solchen Projektes ist die eindeutige Definition entsprechender Ziele und Vorgaben durch die Geschäftsleitung: Fehlt die Unterstützung durch die oberste Managementebene, besteht aufgrund von Zielkonflikten die Gefahr der Blockade der Sicherheitsmaßnahmen durch beteiligte Unternehmenseinheiten: So lässt sich beispielsweise ein erhöhter personeller Aufwand während der Implementierungs- und Migrationsphase nur schlecht mit einem möglichen Ziel der Reduzierung der Personalkosten vereinbaren.

Umfassende Information

Ebenso wichtig ist auch eine frühzeitige und offene Kommunikation mit allen Verantwortlichen aus der Produktion und den IT- Abteilungen, um Missverständnisse zu vermeiden, vor allem über Ziele und Wege der Umsetzung. So erwarten zum Beispiel die Beteiligten aus der Produktion, dass die zu implementierenden Maßnahmen möglichst vollständig automatisiert ablaufen, was für Mitarbeiter aus der Informationstechnologie oft eine untergeordnete Rolle spielt. Auch unterschiedliche oder unbekannte Terminologien können zu Missverständnissen führen. Als ein einfaches Mittel empfiehlt sich beispielsweise die frühzeitige und umfassende Erklärung und Dokumentation von Fachbegriffen und Abkürzungen.

Unabdingbar ist zudem eine klare Definition der Aufgaben sowie die eindeutige Zuweisung der Verantwortlichkeiten für die einzelnen Prozesse und Abläufe, bei der Implementierung ebenso wie beim späteren Betrieb in den Bereichen IT, Produktion, Instandhaltung usw. Allgemeingültige Aussagen über die Zuordnung der Verantwortlichkeiten zu einzelnen Fachbereichen hängen dabei jedoch vor allem von den jeweils vorhandenen Zuständigkeiten für die Kommunikationsinfrastruktur innerhalb der Produktion ab.

Frühzeitige Schulung

Sehr wichtig ist deshalb auch eine rechtzeitige Schulung und Ausbildung aller für die Betreuung der Prozesse und für die Administration der Systeme vorgesehen Mitarbeiter, schließlich werden diese künftig teilweise mit neuen Fachgebieten betraut, die auch neue Kenntnisse erfordern. Diese reichen von grundsätzlichen Themen wie Netzwerktechnik, Protokollierung oder Adressierung bis zu speziellen Themen der IT-Sicherheit, wie etwa Firewall oder Intrusion Prevention.

Abhängig vom Umfang der geplanten Maßnahme ergeben sich auch für die Anwender Änderungen bei Prozessen und Abläufen, etwa bei der Beantragung von Fernwartungszugängen für Lieferanten und Partner oder beim eigenen Zugriff auf eine Maschinensteuerung. Sehr wichtig ist deshalb die Sensibilisierung der betroffenen Anwender für die Wichtigkeit der Maßnahmen. Nur so lässt sich das Risiko minimieren, dass Mitarbeiter aus Unwissen oder Unwillen die beschlossenen Maßnahmen umgehen oder unwirksam machen.

Unkomplizierte Prozesse

Eine solche frühzeitige Einbindung und Schulung der Anwender erleichtert zudem die Überprüfung der geplanten technischen Maßnahmen, da sich der Anwender nur dann kooperativ verhalten wird, wenn er die Sicherheitsmaßnahmen grundsätzlich nachvollziehen und verstehen kann. Wichtig ist hierbei jedoch eine möglichst große Benutzerfreundlichkeit: So sollte jeder unnötige Aufwand für die Anwender vermieden werden, etwa das manuelle oder mehrfache Anmelden an unterschiedlichen Systemen. Eine Lösung hierfür bieten zum Beispiel Single-Sign-On-Mechanismen. Entscheidend für die Wirksamkeit aller Sicherheitsmechanismen bei der Einrichtung und im Betrieb ist jedoch, dass sie sich in bestehende Überwachungs- und Monitoring-Prozesse integrieren und möglichst nicht umgehen lassen. Dies lässt sich unter anderem durch unabhängige Prüfungen (Audits) gewährleisten.

Stefan Jessenberger, Siemens Enterprise Communications

Fakten

- Die jährliche Schadenssumme durch Industriespionage liegt in Deutschland bei etwa 2,8 Milliarden Euro.

- Besonders gefährdet sind Automatisierungsumgebungen mit veralteten Betriebssystemen.

- Höchstmögliche Sicherheit gibt es nur, wenn organisatorische und technische Maßnahmen ineinandergreifen.

Erschienen in Ausgabe: 05/2008