Suchen

IT-Sicherheit Gehackt! Was ist jetzt bloß zu tun?

Redakteur: Ines Stotz

In Smart Factories tauschen Anlagen und Produkte kontinuierlich Daten aus. Sie steuern sich selbst, optimieren Abläufe und initiieren Wartungszyklen. Aber: Durch die zunehmende Vernetzung entstehen an den Schnittstellen der Systeme neue Angriffspunkte für Sabotage und Spionage. Umso wichtiger ist ein Sicherheitskonzept – das auch Strategien für den Angriffsfall umfassen sollte.

Firmen zum Thema

Der Datenschutzindikator, den der TÜV SÜD gemeinsam mit der Ludwig-Maximilians-Universität München entwickelt hat, zeigt ein erschreckendes Bild über den Zustand des Datenschutzes von Unternehmen.
Der Datenschutzindikator, den der TÜV SÜD gemeinsam mit der Ludwig-Maximilians-Universität München entwickelt hat, zeigt ein erschreckendes Bild über den Zustand des Datenschutzes von Unternehmen.
(Bild: TÜV Süd, Uhlendorf)

Erschreckend, aber nicht überraschend: Nur wenige Unternehmen haben bisher einen Plan, wenn es zu Datenschutzverletzungen käme. Dabei ist es nur eine Frage der Zeit, Opfer eines Hacker-Angriffs zu werden. „Denn auch Schutzmaßnahmen können keine absolute Sicherheit bieten“, macht Rainer Seidlitz deutlich. Er ist Prokurist bei der TÜV SÜD Sec-IT und plädiert für ein definiertes systematisches Vorgehen im Umgang mit Angriffen. „Nur so lassen sich die entsprechend notwendigen Maßnahmen unmittelbar in die Wege leiten.“

Wie wichtig das ist, zeigt ein neuer Bericht zur Lage der IT-Sicherheit in Deutschland, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) im November 2014 veröffentlicht hat. Darin wird deutlich, wie vielfältig und allgegenwärtig die Bedrohungen für Informations- und Kommunikationssysteme in Unternehmen sind. IT-Systeme werden immer komplexer und vernetzen Produktion und Mitarbeiter. Zugleich steigt die Qualität der Angriffe kontinuierlich.

Bildergalerie
Bildergalerie mit 8 Bildern

Datenschutzindikator zeigt kaum Problembewusstsein

„Dem gegenüber steht das vielfach noch nicht ausgeprägte Problembewusstsein“, wie Rainer Seidlitz untersucht und herausgefunden hat. Der Datenschutzindikator, den TÜV SÜD gemeinsam mit der Ludwig-Maximilians-Universität München entwickelt hat, gibt Unternehmen die Möglichkeit, selbst zu prüfen, wie sie in Sachen Datenschuzt aufgestellt sind.

Auf die Frage, ob ein systematisches Vorgehen zum Umgang mit Datenschutzverletzungen in ihrem Unternehmen definiert ist, antworteten 39 Prozent mit „trifft gar nicht zu“. Und nur 20 Prozent sind sich sicher, dass ein systematisches Vorgehen im Falle von Datenschutzverletzungen festgelegt ist, die oft Folge von Hacking-Angriffen sein können. „Auch unsere Prüferfahrungen bei TÜV SÜD zeigen, dass dem Datenschutz in der betrieblichen Praxis oft nicht genug Bedeutung zukommt“, unterstreicht der Prokurist.

Maßnahmen im Ernstfall: Vier Handlungsschritte

Neben der Prävention sieht der IT-Spezialist es daher als wichtig an, dass Unternehmen sich auf den Ernstfall vorbereiten: „Das bedeutet Strategien dafür zu entwickeln, was im Fall eines Angriffs zu tun ist. Die konkreten Maßnahmen hängen von der Art und den Umständen des Angriffs ab.“ Rainer Seidlitz empfiehlt dabei vier grundsätzliche Schritte:

1. Direkte Reaktion und Schadensbegrenzung

Ist ein Angriff erkannt, geht es vor allem darum, den möglichen Schaden zu begrenzen. Dazu müssen betroffene Systeme innerhalb von Stunden abgeschottet, Zugänge und Zugriffe gesperrt und Netze getrennt werden. Wichtig ist auch, dass Daten – wie Log-Dateien – gerichtsfest als Beweise gesichert werden.

2. Detaillierte Analyse des Vorfalls

In einem zweiten Schritt gilt es, den Vorfall eingehend zu untersuchen: Wann fand der Angriff statt? Welche Aktionen wurden auf welchen Systemen durchgeführt und welche Instrumente wurden genutzt (E-Mail, Drive-by-Exploits etc.)? Welche Ziele wurden verfolgt? Wohin sind Daten geflossen?

3. Sicherheitsmanagement optimieren

Aus der Analyse des Vorfalls lassen sich „lessons learned“ ableiten. Daraus sollten Maßnahmen für ein höheres Sicherheitsniveau erarbeitet werden. Solche Maßnahmen können sich auf die Anpassung der Systemkonfiguration, Änderung von Berechtigungen oder aber Schulungen von Mitarbeitern beziehen.

4. Maßnahmenprüfung

Die Wirksamkeit der Maßnahmen sollte anschießend mithilfe von Szenarien und Penetrationstests überprüft werden.

Vorfälle nach ISO 27001 managen

„Der Umgang mit externen Angriffen sollte also ein integraler Bestandteil im Sicherheitskonzept jedes Unternehmens sein. Doch um größtmögliche Sicherheit zu erreichen, muss eine umfassende Strategie her - die sowohl Angriffe von innen als auch Datenschutzaspekte einbezieht“, erklärt Seidlitz weiter.

Als Leitlinie für den Aufbau einer solchen Strategie empfiehlt er die 2013 novellierte ISO 27001. Sie gilt als international führende Norm für Informationssicherheits-Managementsysteme und bietet einen systematischen und strukturierten Ansatz, vertrauliche Daten zu schützen, die Integrität betrieblicher Daten sicherzustellen und die Verfügbarkeit von IT-Systemen zu erhöhen.

Um auf Angriffe vorbereitet zu sein, so der Fachmann, müssen folgende Aspekte geklärt und schriftlich fixieren werden:

Verantwortlichkeiten und Abläufe

Um schnell auf Sicherheitsvorfälle reagieren zu können, müssen die Kompetenzen und Verantwortlichkeiten eindeutig geklärt sein. Wer darf beispielsweise über die Trennung von Netzen entscheiden, die gegebenenfalls zu Produktionsausfällen führt? Diese Abläufe sollten klar kommuniziert und anhand von Szenarien eingeübt werden.

Meldewege und Berichtswesen

Vorfälle sind über angemessene Kanäle unverzüglich an die Verantwortlichen zu melden. Dabei sollte zwischen Vorfällen mit und ohne Sicherheitsrelevanz unterschieden werden.

Mitarbeiter und Auftragnehmer

Mitarbeiter und Auftragnehmer sollten verpflichtet werden, beobachtete und vermutete Sicherheitslücken zu melden. Dafür ist ein Problembewusstsein notwendig und eine Unternehmenskultur, die offene Kommunikation fördert.

Bewertung

Es müssen eindeutige Kriterien festgelegt werden, nach denen entschieden wird, wann ein Ereignis als sicherheitsrelevanter Zwischenfall eingestuft wird.

Vorgehensweise

Welche konkreten Maßnahmen im Ernstfall zu ergreifen sind, muss vorab dokumentiert und mit Penetrationstests erprobt und eingeübt werden.

Erfahrungen nutzen

Erfahrungen und Lehren aus dem Umgang mit Angriffen sollten genutzt werden, um das Sicherheitskonzept zu verbessern und ähnliche Angriffe künftig zu unterbinden.

Beweissicherung

Es sollten Abläufe festgelegt werden, die sicherstellen, dass Daten in einer gerichtsfesten Art und Weise gesammelt und gesichert werden.

Rainer Seidlitz zieht das Fazit: „Smart Factories machen Produktionsprozesse effizienter und flexibler. Unternehmen müssen sich nicht nur die damit verbundenen Sicherheitsrisiken bewusst machen, sondern konkrete Handlungsanweisungen festlegen, von den Verantwortlichkeiten über die Meldewege und die Definition relevanter Ereignisse bis zur Beweissicherung. So lassen sich Produktionsausfälle, Imageschäden und Datenverluste vermeiden.“

(ID:43378626)