KaeferLive - Thomas Käfer

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Cyber-Security - Schulungs- und Beratungsangebot – Neue Kooperation mit der weyer Gruppe in Düren

Cyber-Security - Schulungs- und Beratungsangebot – Neue Kooperation mit der weyer Gruppe in Düren

Cyber-Security - Schulungs- und Beratungsangebot – Neue Kooperation mit der weyer Gruppe in Düren


IT-Sicherheit – Datenschutz – Pen-Testing oder: Was wir von Hackern lernen können…

Die IT und die Vernetzung von unterschiedlichsten Systemen untereinander – das Internet of Things – ist eines der zentralen Themen unserer Zeit – nicht nur aus Entwicklersicht, sondern auch in Hinblick auf die IT-Sicherheit und den Datenschutz. Und so ist es nicht verwunderlich, das neben den vielen positiven Meldungen über neue Errungenschaften der Digitalisierung auch die Kehrseiten deutlich werden. Ob es angegriffene Fahrzeuge, groß angelegte Hacker-Attacken auf Telekommunikationsnetze, Datenschutzpannen und vielleicht demnächst ein Angriff auf die Strom- und Wasserversorgung oder eine Chemie-Anlage sind: IT-Sicherheit ist ein ernstzunehmendes Thema, auch wenn es von Entwicklern und Treibern der Digitalisierung oft als Hemmnis und Stolperstein auf dem Weg zu einer schnellen Lösung gesehen wird.


Ging es Angreifern in der Vergangenheit meist um das Stehlen von Geld und Daten, so bergen Angriffe auf IT-Strukturen im IoT bzw. auf OT-Systeme zusätzlich Gefahren für Leib und Leben. 
„Uns passiert schon nichts“ und „Wir sind gewohnt, mit ganz anderen Risiken umzugehen“
Viele Unternehmen und Betreiber von Industrieanlagen befinden sich in Unkenntnis der tatsächlichen Bedrohungslage bzw. Angriffsmöglichkeiten entweder in einer vermeintlichen Sicherheit oder zumindest in einer unkomfortablen Grauzone aus Unwissenheit, Unsicherheit und Restrisiko.

Funktionale Sicherheit vs. IT-Sicherheit

Selbstverständlich kennen Betreiber von Industrieanlagen die gesetzlichen und technischen Vorgaben, um die Betriebssicherheit einer Fabrik zu gewährleisten und z.B. das Austreten von gefährlichen Stoffen zu verhindern. Natürlich gibt es bei besonders gefährlichen Prozessen nicht nur eine Schutzeinrichtung und der physikalische Zugang zu Anlagen und Sicherungseinrichtungen ist selbstredend besonders geschützt und für einen Angreifer sehr schwer zu erlangen.
Aber was ist, wenn der Angreifer gar nicht vor Ort sein muss? Was ist, wenn er es schafft, Produktionsdaten aus einer Anlage über vernetzte Systeme zu entwenden oder zu verfälschen? Was ist, wenn er grundsätzliche zulässige Steuerbefehle an die Anlage sendet, die in Kombination mit anderen Angriffsvektoren für eine Störung oder gar einen Ausfall sorgen? Was ist, wenn er es schafft, eigentlich funktionierende Sicherheitsmaßnahmen bei einem Störfall zu kompromittieren und Meldeketten außer Kraft zu setzen?
Passiert schon nicht? Plastische Beispiele von tatsächlich machbaren bzw. erfolgten Angriffen werden Sie vom Gegenteil überzeugen. Betrachtet man nämlich, wie fahrlässig Systeme und Netzwerke im Bereich von Automobilen, Industriesteuerungen, Web-Anwendungen, Smart-Home und Stromversorgungsnetzen aktuell bzw. in der jüngeren Vergangenheit entwickelt wurden, ist das Vertrauen in die Betriebs- und IT-Sicherheit unbegründet.

Security by Design

Viele Schäden könnten von Beginn an verhindert werden, wenn den Entwicklern und Entscheidern ein Basiswissen an IT-Sicherheit vermittelt würde. Andere können durch den Einsatz von IT-Sicherheitsexperten in wichtigen Projektphasen erkannt und beseitigt werden. Tatsächlich sind IT-Sicherheit und Datenschutz als integrale Bestandteile einer jeden Entwicklung bereits in der Konzeptionsphase der Idee zu berücksichtigen. Das senkt nicht nur die Entwicklungskosten für diese Punkte, sondern zeigt bereits in einem frühen Stadium, ob und wo die Geschäftsidee aus Security- oder Datenschutz-Sicht angreifbar ist.
Folgen

In jüngerer Vergangenheit hat auch der Gesetzgeber erkannt, dass beim Betrieb von sicherheitskritischen Anlagen nicht nur die funktionale Sicherheit (Safety), sondern auch die IT-Sicherheit (Security) zu berücksichtigen ist. Und last but not least ist spätestens mit Einführung der DS-GVO auch das Thema „Datenschutz“ (Privacy) in der Industrieanlage angekommen.
Werden Fragestellungen rund um die IT-Sicherheit bei der Planung bzw. der Errichtung von Industrieanlagen nicht ausreichend berücksichtig, droht nun die Verweigerung der Betriebsgenehmigung allein wegen diesen „nebensächlichen“ Themen.
Und auch bei bereits bestehenden Anlagen kann ein Hacker-Angriff durch Störung der Produktion, Erpressung oder Geheimnisverrat existenzgefährdende Schadensausmaße annehmen.

Gegenmaßnahmen

Die Weyer-Gruppe berät Industriekunden bereits seit Jahrzehnten u.a. beim Erreichen eines adäquaten Schutzniveaus in Bezug auf die funktionale Sicherheit. Durch Kooperation mit dem Forensik-Spezialisten und öffentlich bestellten Sachverständigen für IT-Systeme Dipl.-Ing. Thomas Käfer, M.Sc. wurde das Beratungsportfolio auf das Thema „IT-Sicherheit und Datenschutz“ erweitert.  Im Rahmen von Schulungen, Workshops und individueller Projektberatung bietet Ihnen das Team Weyer-Käfer ab sofort hochkompetente Beratungsleistung mit Blick auf funktionale und IT-Sicherheit.
Schulungen und Workshops: Anhand von zahlreichen aktuellen Beispielen lassen sich konzeptionelle und individuelle Fehler sehr plastisch demonstrieren und geeignete Abhilfemaßnahmen diskutieren, um die Eintrittswahrscheinlichkeit derartiger Vorfälle deutlich zu senken.

Individual-Beratung: Ganz konkret für Ihre Anlage bzw. Ihr Projekt

Eine Schulung oder ein Workshop kann nur der erste sinnvolle Schritt zu mehr IT-Sicherheit sein. Ihre Anforderungen sind aber so individuell wie Ihre Anlage. Daher bieten wir im Rahmen einer Projektberatung ganz konkrete Consulting-Leistungen an, um Risiken zu identifizieren und zu bewerten und die IT-Sicherheit an Ihrem Standort zu erhöhen.

Weitere Infos siehe Website der weyer-Gruppe.

Bewerte diesen Beitrag:
Neuauflage Forschungsbericht Car-Forensics 5.0

Kommentare

 
Keine Kommentare vorhanden