IT-Sicherheit an Werkzeugmaschinen - Maßnahmen zur einfachen Umsetzung - MetaalNieuws
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Verein Deutscher Werkzeugmaschinenfabriken
Kompetenzen und Leistungen
IT-Sicherheit
an Werkzeugmaschinen
Maßnahmen
zur einfachen
Umsetzung2 3
IT-Sicherheit 5.
an Werkzeugmaschinen 4.
Daten und
Systeme zur Fertigungs- und Prozessautomatisierung – zusammengefasst unter dem Begriff NC-Programme
Industrial Control Systems (ICS) – werden in nahezu allen Infrastrukturen eingesetzt, die
physische Prozesse abwickeln. Dies reicht von Energieerzeugung und -verteilung über Gas- Internet-
und Wasserversorgung bis hin zu Fabrikautomation, Verkehrsleittechnik und modernem Ge- Anbindung
bäudemanagement. Solche ICS sind zunehmend denselben Cyber-Angriffen ausgesetzt, wie
dies in der konventionellen IT der Fall ist [1] [14]*.
Betreiber solcher Anlagen müssen sich angesichts einer zunehmenden Häufigkeit von Vor-
fällen und neu entdeckten Schwachstellen dringend dieser Thematik annehmen. Dies gilt
sowohl für Infrastrukturen, die unmittelbar mit dem Internet verbunden sind, als auch für
diejenigen, welche auf mittelbarem Wege durch Cyber-Angriffe attackiert werden können.
Ebenso betroffen sind Maschinen in der Produktion, insbesondere auch Werkzeugmaschi-
nen [4]. Sich selbst oder sein Unternehmen aus diesem Bedrohungsszenario auszuschließen
ist nicht nur fahrlässig, sondern geradezu höchst gefährlich! Die Frage darf nicht lauten, ob
ein Angriff erfolgen wird, sondern wann dieser erfolgt und wie folgenschwer er verlaufen
wird [14].
Die Optimierungspotenziale durch den
Die Frage darf zunehmenden Einsatz von IT-Technologien
im Produktionsprozess und die Entwick-
nicht lauten, ob ein lungsmöglichkeiten in täglichen Unterneh-
3. 2. 1.
mensabläufen sind zu groß, als dass sich
Angriff erfolgen wird, wirtschaftlich handelnde Organisationen
sondern wann dem entziehen könnten. Ziel muss es sein,
einen möglichst hohen Grad an IT-Sicherheit Netzanschluß Personal, Zugang,
dieser erfolgt und bei voller Produktivität zu erreichen. und Firmen-IT Kennwörter Datenträger
wie folgenschwer er Die nebenstehende Abbildung zeigt eine
Übersicht, an welchen Stellen bei Werkzeug-
verlaufen wird. maschinen besondere Beachtung unter dem
Gesichtspunkt IT-Sicherheit empfohlen wird. Als Ausgangspunkt für eine Standortbestimmung dient i. d. R. eine unternehmens-
spezifische Risikoanalyse der Cyber-Bedrohungslage. Eine Annäherung kann z. B. über den
Primäres Ziel dieses Dokuments ist es, Be-
Fragebogen zur IT-Sicherheit des VDMA [3] erfolgen.
treiber von Werkzeugmaschinen für die
Bedrohungen zu sensibilisieren und ein Zugunsten einfacher Verständlichkeit und Umsetzbarkeit verzichtet das vorliegende Doku-
fache organisatorische und technische ment aber bewusst auf fachlich tiefgehende Erörterungen des Themas IT-Sicherheit, etwa
Maßnahmen zu zeigen, mit denen prag bezüglich der unternehmensweiten Anwendung neuerer Normen wie IEC 62443 [15]. Für den
matisch die IT-Sicherheit verbessert werden fachlich Interessierten wird daher zur Vertiefung auf entsprechende Literatur verwiesen.
kann – besonders auch an schon vorhande-
nen Maschinen.
* Weiterführende Literatur und Informationsquellen: Siehe Seite 13 und 14.4 5
1. Datenträger 2. Personal, Zugang, Kennwörter
Situation heute Wechseldatenträger, vorrangig USB-Sticks, sind weit verbreitet. Diese Situation heute Heute fehlen bei vorhandenen Produktionsmitteln häufig individuelle
werden für viele unterschiedliche Zwecke eingesetzt – u. a. um Bearbei- Zugangsberechtigungen und Passwörter. Entweder ist gar keine
tungsprogramme und weitere Fertigungs- oder Auftragsdaten auf die Maschine zu über- Authentifizierung aktiv und der „Standarduser“ hat die Rechte eines Administrators, oder es
tragen, aber ebenso als Werbemittel, allgemeines Datenaustauschmedium, Lieferanten ist nur ein allgemein bekanntes Passwort zum Schutz vorhanden (z. B. User: „admin“, Kenn-
katalog und weiteres. Mitarbeiter im Unternehmen verwenden diese häufig auch privat, wort: „admin“). Begründet wird diese Nachlässigkeit (= Sicherheitslücke!) oft mit dem
z. B. um Arbeitsdokumente aus dem Home-Office zu übernehmen. Fremdpersonal, wie notwendigen schnellen, unkomplizierten Zugang zu den Geräten, der für eine hohe Anla-
Wartungspersonal oder andere Dienstleister, nutzt oft eigene Wechseldatenträger, welche genverfügbarkeit sorgen soll. Auch an Werkzeugmaschinen ist teils das Systemkennwort/
wiederum mit einer Vielzahl von Anlagen in Kontakt kommen. Als Wechseldatenträger Steuerungskennwort dauerhaft aktiv, um dem Bediener erhöhte Benutzerrechte einzuräu-
zählen hier auch etwa über den USB-Port an der Maschine angeschlossene Handys. Unter- men. Die Absicherung durch den Berechtigungswahlschalter wird damit umgangen. So kön-
nehmen und Anwender sind hinsichtlich der sich daraus ergebenden Bedrohungen häufig nen leicht wichtige Bearbeitungsparameter geändert werden, was zu Produktionsmängeln
nicht ausreichend sensibilisiert [1] [5]. und Maschinenschäden führen kann. Räumlich ist i. d. R. ein Zugang zur Maschine nicht
beschränkt oder beschränkbar.
Bedrohungen
Bedrohungen
atensicherheit: Daten können leicht kopiert und transportiert werden,
D
auch über Unternehmensgrenzen hinweg. Der Zugang zu den Geräten ist oft nicht gesichert. Jeder kann dann die Geräte
bedienen und (um-)programmieren, NC-Programme laden, anpassen, speichern und
I nfektionsgefahr: Durch Kontakt mit vielen Systemen kann über Wechsel-
löschen, Parameter wie Maschinendaten (Achsbeschleunigungen etc.) ändern usw.
datenträger leicht Schadsoftware übertragen und eingeschleppt werden.
Zusätzlich kann über den Zugang zu einem Gerät oft der Zugang zu weiteren
Maßnahmen Geräten, Systemen oder in die gesamte IT-Infrastruktur des Unternehmens erfolgen.
Maßnahmen
Regelmäßige Sensibilisierung der Anwender im Unternehmen, insbesondere
auch in der Produktion
Verpflichtung der Belegschaft zu einem sorgsamen Umgang mit Vertrauliche Behandlung von Kennwörtern! Auch allgemein bekannte
organisatorisch
Wechseldatenträgern Kennwörter dürfen nur von autorisierten Mitarbeitern genutzt werden
Bereitstellung unternehmenseigener USB-Sticks zur ausschließlichen wenn möglich Kennwörter immer personenbezogen festlegen
Nutzung im Unternehmen, Verbot der Nutzung privater Wechseldatenträger Sensibilisierung der Mitarbeiter
und des Anschlusses anderer per USB verbundener Datenträger wie portable Aufbau und Umsetzung eines Zugriffs- und Berechtigungs-Systems (Identity-
organisatorisch
SSD-Festplatten oder Smartphones im Unternehmen und Access-Management), z. B. Einsatz unterschiedlicher Benutzerrechte
Regelung mit entsprechender Freigabe zum Zugriff auf ggf. verriegelte auch für die Steuerung, sofern dies vom jeweiligen System unterstützt wird
USB-Ports Zweckgemäße Nutzung des Berechtigungsschalters an der Werkzeug
Nutzung von ausschließlich unternehmenseigenen, ggf. personalisierten, maschine. I. d. R. verfügen Werkzeugmaschinen bereits über einen entspre-
und regelmäßig (!) auf Schadsoftware geprüften Datenträgern chenden (Schlüssel-)Schalter, in der Praxis wird dieser nicht immer eingesetzt
Übertragung von Programmen auf Maschinen nur mittels spezieller, Aktivierung und konsequente Nutzung von Authentifizierungen/
dafür reservierter USB-Sticks über Rechner mit aktuellem (!) Virenschutz Autorisierungen als Zugangsbeschränkungen wo vorhanden
technisch
Einrichtung von Schleusen mit z. B. (permanent aktualisierten [!]) Viren Aktivieren eines automatischen Ausloggens bei nicht aktivem Nutzer,
technisch
scannern für Wechseldatenträger keine dauerhaft gesetzten Kennwörter verwenden
Einschränkung des physikalischen Zugangs zu USB-Schnittstellen
Geschäftsleitung Produktion IT-Abteilung voll zuständig teilweise zuständig6 7
3. Netzanschluss und Firmen-IT 4. Internet-Anbindung
Situation heute Um das Potenzial einer vernetzten Fertigung zu erschließen, werden Situation heute Über eine Anbindung der Firmennetze und auch der Produktions
immer mehr Produktionsmaschinen in das Firmen-Netzwerk (LAN) maschinen an das Internet werden zahlreiche Services möglich, welche
integriert. So kann eine Maschine mit einer Fertigungssteuerung (Manufacturing Execution sonst entweder gar nicht, nur deutlich teurer oder stark eingeschränkt ermöglicht werden
System, MES), der Produktionsplanung (Production Planning System, PPS) oder einem können (etwa Remote-Service [6], betriebswirtschaftliche Anwendungen z. B. für Zahlungs-
Warenwirtschaftssystem (Enterprise Resource Planning, ERP) kommunizieren, etwa zur ströme, Anbindung an die Kunden-IT für Auftragsinformationen etc.). Ein Schutz der Inter-
Abfrage des Lagerbestands, oder auch, um Produktivitätskenndaten an höhere Ebenen net-Anbindung durch eine Firewall wird üblicherweise umgesetzt [4].
zurückzumelden. Bei Einsatz von MES-Systemen ist der Anschluss an das Firmennetz obliga-
torisch, es muss jedoch zwingend eine Trennschicht, z. B. Virtual LAN (VLAN), eingesetzt wer- Bedrohungen
den. Eine unbedingt empfehlenswerte Trennung [1] [7] [9] der verschiedenen Netzwerkbereiche
Externer Zugriff auf Systemkomponenten bei Nutzung von öffentlich
und Zugriffsrechte innerhalb des Unternehmens ist seit langem Stand der Technik, aber
bekannten Standardkennwörtern (z. B. User: „admin“, Kennwort: „admin“).
längst nicht überall umgesetzt.
Ausnutzung von bekannten Schwachstellen oder Ausführung sogenannter
Bedrohungen Zero-Day-Exploits, d. h. bislang unbekannter Angriffe, für die noch keine
Erkennungsmöglichkeiten in Anti-Viren-Produkten o. Ä. existieren.
chadsoftware, welche im Büro-IT-Umfeld ins Netz gelangt, kann die
S
Produktionsmaschinen infizieren oder beeinträchtigen. Einfaches externes Auffinden von angreifbaren Steuerungskomponenten
des Unternehmens durch entsprechende Suchmaschinen [7].
Personal und ggf. Schadsoftware kann bei unzureichender Absicherung von
der Produktionsmaschine aus auf Geräte und Daten in der Büro-IT zugreifen.
Maßnahmen
Maßnahmen
organisatorisch
Unternehmensweite Festlegung der notwendigen und sinnvollen
Zugriffsrechte („Wer darf was?“)
Unternehmensweite Festlegung der notwendigen und sinnvollen
organisatorisch
Zugriffsrechte („Soll der Drucker der Geschäftsführung wirklich von Personalisierung von Zugängen
der Produktionsmaschine aus zu erreichen sein?“, „Kann der Pförtner Einsatz einer stets aktuellen (!) und regelmäßig gewarteten (!) Firewall
auf die NC-Programme zugreifen?“ etc.) [2] Einsatz von starken Kennwörtern, wo möglich 2-Faktor-Authentifizierung,
Beschränkung der Zugriffsrechte der einzelnen Nutzer und Geräte und Zertifikate für externe Zugänge
auf das Sinnvolle und Notwendige (Ggf. zeitweise) Deaktivierung nicht genutzter Dienste und Features
technisch
Logische Trennung der Netzwerksegmente, also z. B. Trennung der Logische Trennung der Netzwerksegmente, also z. B. Trennung der
Produktion vom Rest des Unternehmens mittels VLAN o. Ä. Produktion vom Rest des Unternehmens mittels VLAN
technisch
Einsatz von Firewalls, Monitoring-Lösungen etc.
Eingeschränkter logischer oder physikalischer Zugang zu LAN-Ports
Geschäftsleitung Produktion IT-Abteilung voll zuständig teilweise zuständig8 9
5. Daten und NC-Programme Glossar IT-Security
Situation heute Allgemein liegt eine steigende Menge unternehmenskritischer Infor- Safety und Security Phishing und Social Engineering
mationen (nicht nur für die Produktion) entweder ausschließlich oder
auch in elektronischer Form vor. Der sorglose Einsatz von Wechseldatenträgern, verbunden Mit Safety wird i. d. R. die funktionale Mittels gefälschter Information (Absender
mit einem unzureichenden Zugriffs- und Berechtigungssystem, erlaubt den leichten Zugriff Sicherheit oder auch Personensicherheit oder Dokumente) wird versucht, an
auf Daten [4]. So lassen sich beispielsweise technische Zeichnungen, Angebote, Aufträge, beschrieben. Security bezeichnet vertrauliche Informationen und Zugangs-
oder Prozessparameter und NC-Programme ohne großen Aufwand einfach von einem hingegen die Absicherung von IT-Anlagen rechte zu gelangen.
Laufwerk oder einer Maschine auf einen USB-Stick kopieren und in der Tasche aus dem (Datensicherheit).
Klassische Beispiele sind E-Mails von vor-
Unternehmen tragen [7] [8]. Eine Nachverfolgbarkeit dieses Datendiebstahls ist – ohne Safety als gesetzliche Vorgabe bleibt wei- geblich bekannten Absendern mit Auf
Zugriffs- und Berechtigungssystem – unmöglich. terhin relevant. Mit zunehmendem Digitali- forderungen, ein bestimmtes Dokument zu
sierungsgrad der Produktion wird aber öffnen („Hier ist Ihre Auftragsbestätigung
Bedrohungen begleitend die Datensicherheit (Security) mit der Bitte um Prüfung“, „Bitte aktualisie-
Datenverlust infolge von Fehlbedienung (versehentliches Löschen immer wichtiger für einen störungsfreien ren Sie Ihre Zahlungsinformationen“ etc.).
oder Verschieben). Betrieb; siehe dazu auch die weiteren Die Mails werden i. d. R. unter falschem
Ausführungen in der vorliegenden Ver Absender versandt. Die enthaltenen Doku-
Datenverlust durch Schadsoftware (z. B. Erpressungs-Trojaner, öffentlichung. mente oder Links bauen Verbindungen zu
mittels Phishing etc.). Hintergrund-Webseiten auf, laden dann die
Datendiebstahl und Know-how-Verlust. Credentials Schadsoftware unbemerkt auf den Rechner
und kompromittieren damit das System:
Zugangsdaten.
Alles, was der Anwender kann/darf (auf
Maßnahmen Üblicherweise eine Kombination aus Dateien im Netz zugreifen, löschen etc.),
Benutzername und Kennwort. kann/darf der Angreifer dann auch.
IAM (Identity and Access Management)
Klassifizierung des Wertes von Daten und Informationen im Unternehmen,
Regelung zu Umgang, Schutz und Sicherung sowie Vernichtung Verwaltung der Identifikation und der
Zugriffsrechte von Nutzern eines Systems.
Erstellung eines Backup-Konzeptes und regelmäßige Datensicherung,
auch für Produktionsdaten wie NC-Programme, auch von Bearbeitungs Getrennte Zugriffsrechte ermöglichen einen
organisatorisch
maschinen nutzerbasierten Zugang zu Daten und
Einführung von standardisierten Abläufen für den Umgang mit Daten bei Informationen. Beispiele wären etwa ein
Neueintritt und Ausscheiden von Mitarbeitern Windows-Login oder eine ERP-Zugangs
berechtigung. Die Softwarekomponente
Festlegung von Zugriffsbeschränkungen für alle im Unternehmen
zur Verwaltung der verschiedenen Nutzer-
vorhandenen Informationen (Berechtigungen)
identitäten und deren Zugriffsrechte wird
Inventarisierung, Personalisierung oder Auflistung (Whitelisting) als IAM bezeichnet.
zugelassener Datenträger im ICS-Netzwerk
Datenverschlüsselung bei Übertragung von Daten auf Datenträgern
und in Geräten (z. B. PCs)
Monitoring und Meldung ungewöhnlicher Datenzugriffe, Verbindungen
oder Verbindungsversuche
technisch
Weitere technische Sicherheitsmaßnahmen wie Segmentierung von Netzen,
Deaktivierung von Internet-Zugängen, Einrichtung von VPNs, Firewalls etc. Geschäftsleitung Produktion IT-Abteilung voll zuständig teilweise zuständig10 11
Whitelisting / Blacklisting Bot-Netz Netzwerk-Segmentierung TLS (Transport Layer Security)
Ausschließliches Zulassen (Whitelisting) Ein fremder Rechner (Master) steuert viele Trennung eines Netzwerks in mehrere, Modernes Verschlüsselungsverfahren,
oder gezielter Ausschluss (Blacklisting) von dezentrale Rechner (Slaves) mittels dort voneinander logisch getrennte Segmente. welches u. a. für Webseiten eingesetzt
spezifizierten Geräten, Datenträgern etc. installierter Schadsoftware fern, wird (bei https://), Nachfolger von
Eine Netzwerk-Segmentierung stellt eine
i. d. R. unbemerkt vom infizierten Nutzer. SSL (Secure Sockets Layer).
Über Whitelisting kann z. B. nur bestimm- logische (nicht physikalische) Trennung
ten, gewünschten Geräten der Zugang zum Bot-Netze können auf zweierlei Weise eines großen Netzes in mehrere Sub-Netze Wenn Daten unverschlüsselt über das
Firmennetz gestattet werden. Über Black- Schaden anrichten: erstens unmittelbar dar. So können abgeschottete Bereiche Internet übertragen werden (etwa bei
listing werden z. B. einzelne bekannte und durch die Auslastung der Rechnerleistung, eingerichtet werden, etwa für Produktion „http://“ statt „https://“) können die über-
unerwünschte Absender von Werbe-Mails was zu einer Verlangsamung der betroffe- und Buchhaltung, ohne neue Netzwerk tragenen Daten von Dritten mitgelesen
blockiert. nen Systeme führt und z. B. eine Maschinen- kabel zu verlegen, ggf. müssen aber Kompo- werden. Aus diesem Grund geben moderne
steuerung schwer bedienbar machen kann, nenten wie Switches ausgetauscht werden. Webbrowser oft eine Warnung aus, wenn
(Zero-Day-)Exploits und zweitens mittelbar über Handlungen, noch unverschlüsselte Seiten aufgerufen
die vom Master (= Steuerrechner) initiiert, VPN (Virtual Private Network) werden sollen.
Ausnutzung von (ganz neuen) Sicherheits-
aber im Namen des Slaves (= des infizierten
lücken. Virtuelles Netzwerksegment, welches
Rechners) ausgeführt werden, z. B. Spam OT (Operational Technology)
innerhalb eines großen Netzwerks
Über sogenannte „exploits“ werden Sicher unter Angabe der Adresse der Firma ver
(z. B. Internet) einen geschützten Bereich Beschreibt Produktionsmittel, wird
heitslücken in Softwarekomponenten aus- senden oder Schlimmeres (Urheberrechts-
bereitstellt (z. B. für Zugang zum Firmen- genutzt zur Abgrenzung gegenüber
genutzt, um in das System einzubrechen. verletzungen, kriminelle Inhalte …).
netz über das Internet). IT (Informationstechnologie).
Besonders kritisch sind dabei solche
Sicherheitslücken, für die noch kein Patch DDoS-Angriff Über ein VPN kann eine „sichere Insel“ in I. d. R. von IT-Experten genutzter Ausdruck
(Maßnahme) des Herstellers bereitsteht einer unsicheren Umgebung eingerichtet für Produktionstechnik im weiteren Sinne.
DDoS steht für „Distributed Denial of
und welche erstmalig ausgenutzt werden, werden. Ein VPN bindet den Nutzer logisch
Service”; eine DDoS-Attacke führt i. d. R. zu
so dass noch keine Schutzsoftware diese vollständig (!) in das Netz ein, so dass ohne
massenhaften Anfragen von vielen ver-
erkennen kann („zero day“). weitere Maßnahmen alle Aktivitäten
schiedenen Geräten („distributed“), welche
möglich sind, welche auch im lokalen Netz
dann den angegriffenen Dienst/Server
erfolgen können.
überlasten und damit de facto stilllegen.
Um DDoS-Angriffe durchzuführen, benötigt IPsec, L2TP, OpenVPN, IKEv2, PPTP …
der Angreifer die Kontrolle über eine Viel-
Protokolle für die Bereitstellung eines
zahl von Geräten, welche er beispielsweise
VPN, abhängig vom Hersteller (z. B. IPsec
über ein Bot-Netz erlangen kann. Ange-
bei Cisco).
griffen werden häufig Webserver (Ergebnis:
„Seite nicht erreichbar“), aber auch andere Die eingesetzten Protokolle hängen vom
Dienste können Ziel solcher Angriffe wer- Hersteller der VPN-Lösung ab.
den, z. B. Datenbanken.12 13
IT-Sicherheit betrifft Weiterführende Literatur
das gesamte Unternehmen und Informationsquellen
Verbände Quelle*
„Informationssicherheit [1] Leitfaden Industrie 4.0 Security, ISBN 978-3-8163-0689-4 (2016) VDMA
Inhalt: Handlungsempfehlungen für den Mittelstand,
ist kein Zustand, der einmal Einführung in das Thema für das ganze Unternehmen
(Dokument ist auf Anfrage erhältlich)
erreicht wird und dann [2] Leitfaden Cyber-Sicherheits-Check (2020)
Inhalt: Einführung in eine Analyse der eigenen IT-Sicherheit,
ZVEI, VDMA,
IDSA
fortbesteht, sondern Schwerpunkt Office-IT
[3] Fragebogen zur Selbsteinschätzung der IT-Sicherheit (2014) VDMA
ein Prozess, der kontinuierlich Inhalt: Hilfestellung zur Selbsteinschätzung im eigenen Unternehmen
angepasst werden muss.“
Bundesstellen Quelle*
[4] Sicherheit für die Industrie 4.0, Studie (2016) BMWi
Inhalt: Umfangreiche Studie zum Thema IT-Sicherheit in der Industrie
[5] Empfehlungen für Betreiber von ICS – Erfahrungen aus der BSI
industriellen Sicherheitsberatung v2.0 (2018)
Diese Aussage ist dem – sehr zur Umsetzung empfohlenen – Dokument Basis-Absicherung Inhalt: Kurze Informationsschrift zu den organisatorischen Rahmen
nach IT-Grundschutz entnommen, herausgegeben vom Bundesamt für Sicherheit in der In- bedingungen
formationstechnik (BSI) [12] [18]. Praktisch bedeutet dies, dass für die Erlangung von IT-Sicher- [6] Empfehlungen für Betreiber von ICS – Fernwartung im industriellen BSI
Umfeld v2.0 (2018)
heit alle Mitarbeiter und Unternehmensbereiche gefordert sind [11], von der Geschäftslei- Inhalt: Empfehlungen zum Thema Remote-Service
tung über die Produktion und die verschiedenen anderen Abteilungen bis hin zu externen
[7] Empfehlungen für Betreiber von ICS – Industrial Control System BSI
Dienstleistern [10]. Sowohl organisatorische als auch technische Regelungen müssen Security: Top 10 Bedrohungen (2019)
ineinandergreifen und ständig den aktuellen Erfordernissen angepasst werden. Inhalt: Zusammenfassung zur IT-Sicherheit, speziell für die
Automatisierungstechnik und industrielle Produktion
Speziell Produktionsmaschinen stellen besondere Anforderungen an das unternehmens- [8] Empfehlungen für Betreiber von ICS – Innentäter v2.0 (2018) BSI
weite IT-Umfeld. Sie sind meist fertig konfigurierte Systeme vieler verschiedener, eng Inhalt: Maßnahmenkatalog und Handlungsempfehlungen
aufeinander abgestimmter Komponenten, die nicht verändert oder regelmäßig aktualisiert [9] Empfehlungen für Betreiber von ICS – Monitoring und Anomalie BSI
erkennung in Produktionsnetzwerken (2019)
werden können oder sollen. Der technische Hintergrund liegt in den hohen Zuverlässigkeits- Inhalt: Informationsschrift
anforderungen und der Abstimmung der Softwarekomponenten mit der jeweiligen [10] Empfehlung zur Cyber-Sicherheit – Sicherheit von Geräten im BSI
Hardware. Auch das Bedieninterface der Maschine (HMI) wird oft an Kundenbedürfnisse an- Internet der Dinge (IoT) (2017)
Inhalt: Handlungsempfehlungen
gepasst. Änderungen an diesem System wie etwa installierte Virenscanner etc. bedürfen
immer der Freigabe des Maschinenherstellers. [11] Allgemeine Empfehlungen – Empfehlungen für Fortbildungs- und BSI
Qualifizierungsmaßnahmen im ICS-Umfeld (2018)
Inhalt: Handlungsempfehlungen
Entsprechend muss eine robuste und widerstandsfähige IT-Umgebung in der Produktion
solche Maschinen und Anlagen schützen. Einen breiten Überblick und guten Einstieg in das [12] Basis-Absicherung nach IT-Grundschutz (2017) BSI
Inhalt: Empfehlungen zum Umgang mit IT-Sicherheit für das
Thema liefern hier beispielsweise der Leitfaden des VDMA für mittelständische Unterneh- gesamte Unternehmen
men [1] sowie der erwähnte BSI-Grundschutz [12] und speziell dessen Zusatzmodul „IND“ [13] [13] Zusatzmodul „IND“ zum IT-Grundschutz (2020) BSI
für Industrieumgebungen. Für die weitere Vertiefung werden seitens des BSI zudem Inhalt: Besondere Belange von IT-Systemen in der Produktion (ICS, OT)
Plattformen zum Austausch mit anderen Unternehmen im Kontext der IT-Sicherheit ange-
boten [16] [17].
Geschäftsleitung Produktion IT-Abteilung voll zuständig teilweise zuständig14
Wissenschaft und Forschung Quelle*
[14] Cyberangriffe gegen Unternehmen in Deutschland, Kriminol.
Forschungsbericht (2020) Forschungs-
Inhalt: Umfangreiche Studie zur Cyber-Kriminalität, institut
auch als Kurzfassung/Management Summary verfügbar Niedersachsen
© Copyright 2020
Standardisierung Quelle*
Herausgeber
[15] Normenreihe IEC 62443 (2020) IEC Verein Deutscher Werkzeugmaschinenfabriken e. V. (VDW)
Inhalt: Mehrteilige internationale Normenreihe zur IT-Sicherheit
Fachverband Werkzeugmaschinen und
Fertigungssysteme im VDMA
Lyoner Straße 14
Online-Ressourcen Quelle* 60528 Frankfurt am Main
Tel. +49 69 756081-0
[16] www.allianz-fuer-cybersicherheit.de BSI Fax +49 69 756081-11
Inhalt: Austauschangebot zur IT-Sicherheit für KMU E-Mail vdw@vdw.de
[17] www.it-sicherheit-in-der-wirtschaft.de BSI Internet www.vdw.de
Inhalt: Informationsportal zum Thema „IT-Sicherheit“ mit Fokus Twitter www.twitter.com/VDWonline
auf KMU YouTube www.youtube.com/metaltradefair
[18] Online-Kurs „IT-Grundschutz“ BSI
Inhalt: Online-Kurs zur entsprechenden Veröffentlichung Vorsitzender
Dr. Heinz-Jürgen Prokop,
Trumpf Werkzeugmaschinen GmbH + Co. KG, Ditzingen
Geschäftsführer
Dr. Wilfried Schäfer
Autoren
Arbeitskreis „Steuerungs- und Systemtechnik“ des
VDW-Forschungsinstituts, unter fachlicher Beratung von
Prof. Dr. Felix Hackelöer, Institut für Automation und
Industrial IT (AIT), TH Köln.
Gestaltung
Klaus Bietz \ visuelle Kommunikation, Frankfurt am Main
Druck
h. reuffurth, Mühlheim am Main
Stand
11/2020
Bildnachweis
Adobe Stock
* Die Quellen können über eine einfache Internetrecherche gefunden werden.Verein Deutscher Werkzeugmaschinenfabriken e. V. (VDW) www.vdw.de
Sie können auch lesen
