Aktuelles, Experten, Studien - geschrieben von dp am Samstag, August 10, 2019 12:40 - noch keine Kommentare
Industrie 4.0: Erfolgsfaktor und Engpass IT/OT-Sicherheit
Neben Ingenieuren werden Sicherheits-Experten dringend benötigt, aber der Arbeitsmarkt ist leergefegt
[datensicherheit.de, 10.08.2019] Im Vorfeld der „it-sa 2019“ wirft die NürnbergMesse die Frage auf, was passiert, wenn Sicherheitsvorkehrungen z.B. in einer Chemiefabrik ausgehebelt werden – „bei Angriffen auf vernetzte Produktionsanlagen kann es um Leben und Tod gehen“. Neben Ingenieuren seien daher IT/OT-Spezialisten dringend benötigt, der Arbeitsmarkt aber sei leergefegt: „Zusätzliches Know-how ist gefragt.“
Ingenieure für Produktionsanlagen ausgebildet, jedoch nicht für OT-Sicherheit
Wenn es um IT-Sicherheit geht, mangele es in der Produktion an Kenntnissen. Die Ingenieure seien zwar für Produktionsanlagen ausgebildet, jedoch nicht für Cyber-Attacken. Der Leitfaden einer Expertengruppe soll demnach nun Abhilfe schaffen.
Der Begriff „Industrie 4.0“ sei noch jung, doch schon jede vierte Maschine der inländischen Fertigungsindustrie sei mit dem Internet verbunden, so das Ergebnis einer Umfrage des IT-Branchenverbandes Bitkom: „Danach haben zehn Prozent der befragten Unternehmen sogar mehr als die Hälfte ihrer Maschinen am Internet.“
Fachleute derzeit schwer zu finden und Fortbildungen brauchen Zeit
Bei diesen Unternehmen bekomme Cyber-Security eine neue Relevanz, doch viele wüssten nicht, wie sie sich dem Thema nähern sollen. Dabei gebe es bereits gravierende Sicherheitsvorfälle in der OT (Operational Technology). „Die Ingenieure kennen zwar ihre Anlagen bestens, doch fehlt es häufig an Fach-Know-how für IT-Security in der Produktion, insbesondere im Mittelstand.“
Fachleute seien derzeit schwer zu finden und Fortbildungen dauerten eine Weile. Ratgeber könnten das Problem lindern, doch bisher mangelte es an praxisorientierten Hilfestellungen. Dem möchte das industrial internet Consortium (IIC) mit der Publikation „IoT Security Maturity Model: Practitioner’s Guide Version 1.0“ nun Abhilfe schaffen.
Einheitliche Standardlösungen kommen häufig nicht in Frage
Gemeinsam mit Partnerunternehmen habe das IIC eine Expertengruppe gebildet, „welche über zwei Jahre gängige Sicherheitspraktiken in realen IoT-Anwendungen, wie sie in der OT standardmäßig zum Einsatz kommen, untersuchte“. Das herausfordernde Problem für die Gruppe sei nach eigener Aussage die Anwendungsbreite in der Industrie gewesen.
Sie hätten viele unterschiedliche Einsatzformen verschiedener, jeweils von den vorhandenen Produktionsanlagen abhängiger Komponenten vorgefunden. „Damit kommen einheitliche Standardlösungen häufig nicht in Frage.“ Außerdem unterschieden sich die Anlagen in ihrer Signifikanz für das Geschäftsmodell. Damit erforderten sie je nach Relevanz verschiedene Sicherheitsstufen.
Praxishandbuch für Betreiber industrieller Anlagen zur Einschätzung ihres Sicherheitslevels
Ergebnis dieser Anforderungen ist demnach der Leitfaden „Security Maturity Model (SMM) Practioner’s Guide“ (s.u.). Das Praxishandbuch solle Betreiber industrieller Anlagen bei der Einschätzung ihres aktuellen Sicherheitslevels und notwendigen Maßnahmen unterstützen. Anhand von 36 Parametern könnten Anlagen und Anwendungsbereiche unterschieden und somit eine individuelle Bedarfsabschätzung erreicht werden. Auf dieser Basis empfiehlt die Expertengruppe „geeignete Schritte zur Optimierung des IoT-Sicherheitsniveaus“.
Hervorzuheben seien drei ergänzende Fallbeispiele, die beispielsweise dem Management einen Überblick über geeignete Sicherheitsmodelle und -verfahren im praktischen Einsatz geben könnten. Die Spannbreite reiche vom vernetzten datengesteuerten Abfüllsystem bis zur Steuerung von Updates für vernetzte Autos, „die diese Updates verbindungslos Over-the-Air (OTA) erhalten“.
NIST-Ratgeber als ideale Ergänzung zum IIC-Praxishandbuch
Wem das nicht ausreichen sollte, der könen auf den schon etwas älteren Praxisratgeber der US-amerikanischen Standardisierungsbehörde NIST (National Institute of Standards and Technology) zurückgreifen: Der „Guide to Industrial Control Systems (ICS) Security“ verfolge einen etwas anderen Ansatz – „er erklärt die für Industrieanlagen typischen Bedrohungen und erörtert passende Schutzformen“.
Nach der Darstellung einer industrietypischen Risikoanalyse gehe der Ratgeber ausführlich auf anlagentaugliche Sicherheitsarchitekturen ein. Die Spezifik moderner IoT-Komponenten komme dabei jedoch etwas zu kurz, ebenso aktuelle IT-Verfahren wie drahtlose Updates über Funkverbindungen (OTA). „Von daher empfiehlt sich der NIST-Ratgeber eher als ideale Ergänzung zum IIC-Praxishandbuch.“
Weitere Informationen zum Thema:
bitkom, 23.04.2018
Industrie 4.0: Jede vierte Maschine ist smart
industrial internet CONSORTIUM, 25.02.2019
IoT Security Maturity Model: Practitioner’s Guide Version 1.0
NIST, Mai 2015
Special Publication 800-82 | Revision 2 / Guide to Industrial Control Systems (ICS) Security
datensicherheit.de, 10.02.2019
Neuerscheinung: Industrie 4.0 zwischen Idee und Realität
datensicherheit.de, 19.07.2018
Industrie 4.0: Datensicherheit bekommt Schlüsselrolle
datensicherheit.de, 11.06.2018
Plattform-Ansatz erforderlich: Sicherheit für die Industrie 4.0
datensicherheit.de, 13.12.20168
Industrie 4.0: Neben technischen auch zahlreiche rechtliche Fragen zu klären
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren