Fünf Tipps zur sicheren Digitalisierung

Fünf Tipps zur sicheren Digitalisierung

Digitalisierungsprojekte stehen aktuell bei vielen Unternehmen und Behörden ganz oben auf der Agenda. Möglichst schnell und kostengünstig soll die digitale Lösung in Betrieb genommen werden. Dabei wird besonders die Sicherheit der neuen vernetzten Systeme meist nur oberflächlich behandelt. Mit unseren fünf Tipps zur sicheren Digitalisierung vermeiden Sie unnötige Risiken.

Die Belange der IT und vor allem der IT-Sicherheit sind häufig unterpriorisiert, besonders in Branchen wie dem Maschinenbau, in denen die wesentliche Wertschöpfung traditionell aus den klassischen Ingenieurwissenschaften kommt.

Die Folgen einer solchen Vorgehensweise sind bei "Industrie 3.0" mit klassischen SPS/PLC eventuell noch vertretbar. Doch mit den hohen Vernetzungsgraden der Digitalisierung, auch über Organisationsgrenzen hinweg, entstehen große Risiken für Unternehmen und deren Geschäftsmodelle. Damit Sie den Schritt in die digitale Zukunft machen können, haben wir fünf Empfehlungen für Sie:

1. IT-Sicherheit als Fundament der Digitalisierung

Nur wenn der Aspekt der IT-Sicherheit bereits bei Konzeption und Konstruktion Ihrer Lösung berücksichtigt wurden, kann der höchste Grad an Sicherheit gewährleistet werden. Betrachten Sie diese Herangehensweise als Fundament der Digitalisierung, da häufig im Nachhinein nur noch ein unvollständiges Sicherheitsniveau implementiert werden kann.

2. Sehen Sie das große Ganze

Ein weiterer Gesichtspunkt, der bei der Konzeption von industriellen IT-Sicherheitslösungen oft vernachlässigt wird, ist die ganzheitlichen Sicht auf die Komponenten. Häufig wird vor allem auf die Sicherheit der Applikation fokussiert, z. B. auf den Aspekt, ob Daten verschlüsselt übertragen werden oder auch, ob die Applikation "sicher" entwickelt wurde. Für die Sicherheit eines (IT-)Systems sind aber alle Komponenten des Rechnersystems wichtig. So sind auch bei der Auswahl von Hardware und Betriebssystem sicherheitstechnische Anforderungen zu berücksichtigen.

Weiterhin ist die Sicherheit nicht statisch, sondern ständigen Änderungen unterworfen und neuen Angriffen ausgesetzt. Ein Linux-Betriebssystem beispielsweise, das beim Rollout keine veröffentlichten Schwachstellen hat, kann schon nach wenigen Wochen von zahlreichen bekannten Exploits betroffen sein. Ohne ein zuverlässiges Update-Konzept bleibt schnell nur noch wenig Sicherheit übrig.

3. Nutzen Sie Netzwerksegmentierung

Beim Thema Netzwerksicherheit gibt es Konzepte, die direkt aus der IT auch auf industrielle Anwendungen übertragen werden können. Ein Beispiel ist die Netzsegmentierung, um Ausbruch von Schadsoftware wenigstens auf einzelne (Sub-)Netze beschränken zu können. Aktuelle Beispiele sind WannaCry und Petya, die so eingeschränkt werden konnten.

4. Verwenden Sie Lösungen, die dem Einsatzbereich gerecht werden

Leitlinien sicherer IT erörtert BSI-Vizepräsident Dr. Gerhard Schabhüser

Allerdings gibt es in industriellen Netzen auch Speziallösungen für Problemstellungen, die industriespezifisch sind. So werden z. B. für Anwendungen, die Daten nach "außen" garantiert rückwirkungsfrei übertragen sollen, sog. Datendioden eingesetzt, die in unterschiedlichen technischen Ausprägungen zur Verfügung stehen. Ein anderer, sehr spezieller Anwendungsfall ist Fernwartung, die häufig mit herkömmlichen VPN-Lösungen aus dem Office-IT-Bereich realisiert wird. Hierbei ist aber keine Kontrolle über die Verbindung und die Arbeit des Fernwarters möglich. Um dies zu gewährleisten sollten unbedingt spezialisierte Fernwartungslösungen zum Einsatz kommen, die unter anderem das Vier-Augen-Prinzip sowie eine Aufzeichnung der Sessions unterstützen.

5. Schauen Sie genau hin: Zertifizierungen und ihre Unterschiede

Oft ist auch vom "Stand der Technik" hinsichtlich IT-Sicherheitskomponenten die Rede. Was bedeutet das aber für den Anwender? Nachdem dieser Begriff nicht näher definiert ist, bleiben z. B. gängige Zertifizierungsverfahren als Gütenachweis. In der IT(-Sicherheit) sind das vor allem Zertifizierungen nach Common Criteria. Es ist dabei aber ratsam, nicht nur nach "Evaluation Assurance Level" (EAL) auszuwählen, sondern darauf zu achten, welche Aspekte des Produkts überhaupt evaluiert wurden. Hier gibt es große Unterschiede.

Dies sind nur einige Tipps zur Umsetzung von IT-Sicherheit für industrielle Anwendungen. Kontaktieren Sie uns für eine umfassende Beratung zu diesem Thema!

 

Bildquelle:© zapp2photo - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.