Allgemein, Fachartikel

IT-Sicherheit in Produktionsanlagen: Wer ist bei Ihnen verantwortlich?

In vielen Fertigungsunternehmen ist nicht definiert, wer die IT-Sicherheit der Produktionsanlagen verantwortet. Doch genau mit dieser Frage sollte sich ein pflichtbewusstes Management auseinandersetzen.

Produktionsleiter Emil Fluri kann sich im Moment nur schwer auf seine Arbeit konzentrieren. Dabei sollte er doch unbedingt mit der Planung des Grossauftrags beginnen, den sein Chef an Land zog und der demnächst anläuft! Doch seit er von der globalen Cyber-Attacke «Petya/Not Petya» gehört hat, welche die Fertigung des Milka-Werks im benachbarten Lörrach lahmlegte, findet der 48-Jährige einfach keine Ruhe mehr. Wenn Hacker selbst ein Unternehmen dieser Grösse so in Bedrängnis bringen können, fragt er sich, wie sicher kann dann ein KMU mit 150 Mitarbeitern vor Cyber-Attacken sein? Nicht dass sein Fertigungsbetrieb im Kanton Baselland jetzt unbedingt ein attraktives Ziel wäre, aber er erinnert sich, gelesen zu haben, dass ein Unternehmen kein direktes Ziel einer Attacke sein muss, um deren Opfer zu werden. 80 Prozent der Sicherheitsvorfälle in Bezug auf Steuerungs­systeme waren gemäss dieser Studie unbeabsichtigt, aber schädlich.Doch egal, ob sein Fertigungsbetrieb nun beabsichtigt oder unbeabsichtigt attackiert würde: Ein Produktionsausfall käme einer Katastrophe gleich! Zwar verbesserte sich die Marge aufgrund des abgeschwächten Frankens zuletzt deutlich, doch noch immer sind die Folgen des Natio­nalbank-Entscheids vom Januar 2015 nicht komplett ausgestanden. Zwischendurch lief es so miserabel, dass die Unternehmensleitung sogar mit einer Produk­-tionsverlagerung liebäugelte. Und dieses Schreckgespenst erhielte sicherlich neue Konturen, würde nicht mit höchster Effizienz gefertigt. Doch wie sollte diese Effizienz im Fall eines plötzlichen Anlagenstillstands gegeben sein?

Emil Fluris düstere Stimmung bleibt auch seinen Kollegen beim Verbandstreffen nicht verborgen. Als sein Kollege ihn auf diese anspricht, redet er sich schliesslich seinen Kummer von der Seele. Der Produktions­ingenieur empfindet es als befreiend, endlich mit jemandem, der ihn versteht, über seine Sorgen sprechen zu können — zumal er mit diesen ganz offensichtlich nicht allein ist. Sein ehemaliger Studienkollege verantwortet in einem ähnlich grossen Betrieb ebenfalls die Produktionsleitung und hat sich bereits intensiver mit dem Thema auseinandergesetzt. Von ihm erhält er auch den Hinweis auf das Whitepaper «IT-Sicherheit in Produktionsanlagen», in welchem Prof. Dr. Karl-Heinz Niemann von der Hochschule Hannover kleineren und mittleren Unternehmen Hilfestellung gibt.

Noch am selben Abend lädt Emil Fluri die 42-seitige Einführung auf der Website von Wago herunter und scrollt diese durch. Neben einer Übersicht über die relevanten Normen und Standards findet er auch ­konkrete Massnahmen zur Umsetzung der IT-Sicherheit in der Produktion. Beim ersten Punkt «Management Commitment» der Empfehlungen grinst Emil Fluri in sich hinein. Seiner Geschäftsleitung war der heftige Streit, den er kürzlich mit dem IT-Chef ausgefochten hatte, nicht entgangen. Es ging darum, wer denn für die IT-­Sicherheit in der Produktion verantwortlich sei. Jeder sah natürlich die Pflicht beim anderen und machte das auch dem CEO so deutlich. Nachdem dieser davon zunächst nichts wissen wollte, nahm er das Thema für die Kadersitzung in der folgenden Woche doch noch auf die Agenda. Schliesslich, gestand er seiner Führungsriege, müsse die IT-Sicherheit als Top-down-Prozess im Unternehmen etabliert werden. Emil Fluri kann das nur recht sein. Und mit dem Whitepaper hat er nun ein starkes ­Instrument, um in der kommenden Kader-­Sitzung wirklich voranzukommen.

Kurz vor Mitternacht fährt Emil Fluri seinen Rechner herunter, löscht das Licht und geht zu Bett. Dort wird er seit Wochen erstmals wieder ruhig und un­besorgt einschlafen.

Das Whitepaper: Die IT-Sicherheit ist im Top-down-Prozess zu etablieren

Wie lässt sich Hackern und Cyber-Terro­risten ein Schnippchen schlagen? Auf diese Frage gibt Prof. Dr. Karl-Heinz Niemann von der Hochschule Hannover in Kapitel 4 des Whitepapers «IT-Sicherheit in Produktionsanlagen» eine Antwort und schlägt einen Zehn-Punkte-Plan für die Etablierung der IT-Sicherheit im Produk­tionsbereich vor. Diese zehn Punkte sind:

1. Management Commitment

2. Organisation der Zuständigkeiten und Prozesse

3. Erstellung einer Richtlinie

4. Schulung Personal

5. Beschaffung und Bereitstellung von Wissen

6. Identifizierung, Bewertung und Schutz der Vermögenswerte

7. Regelung des externen Zugriffs auf Produktionsanlagen

8. Datensicherung

9. Behandlung von Störungen und Ausfällen

10. Behandlung von IT-Sicherheitsvorfällen

Die Literatur fokussiert vor allem auf die Punkte 6 und 7. Allerdings ist Prof. Dr. ­Karl-Heinz Niemann überzeugt, dass die IT-Sicherheit als gesamtheitlicher Prozess unter Einbeziehung aller Punkte zu sehen ist.

Die einzelnen Punkte werden daher in folgenden Abschnitten kurz beschrieben, wobei die Handlungsem­p­fehlungen dem Whitepaper entnommen werden können.

Management Commitment

Nur durch ein entsprechendes Commitment des Managements ist die Etablierung von IT-Sicherheitsmassnahmen im Unternehmen (Top-down-Prozess) möglich. Hierfür sollte das Management eine IT-Sicher­heitsstrategie für das Unternehmen verfassen (lassen), welche den Office- und den Produktionsbereich umfasst. Die Strategie sollte klare Ziele und entsprechende Verantwortlichkeiten definieren.

Organisation der Zuständigkeiten und Prozesse

Da die IT-Sicherheit als übergreifender Prozess zu sehen ist, ist eine gesamtverantwortliche Stelle in Form eines IT-Sicherheitsbeauftragten zu definieren. Dieser sollte gemeinsam mit weiteren Mitarbeitern und einem Vertreter des Managements das Informationssicherheits-Team bilden. Dieses ist für die Umsetzung der IT-Sicherheitsstrategie verantwortlich.

Erstellung einer Richtlinie

Das Thema IT-Sicherheit ist in einer entsprechenden Richtlinie, die dem Personal grundlegende Verhaltensregeln vorgibt, zu beschreiben. Nur wenn das Personal weiss, was von ihm in Bezug auf IT-Sicherheit erwartet wird, kann es sich entsprechend verhalten. Dazu gehören unter anderem Verhaltensvorgaben in Bezug auf die (Nicht-)Nutzung von Privatgeräten. Des Weiteren beschreibt das Whitepaper in diesem Absatz Massnahmen zum Umgang mit Automatisierungssystemen.

Schulung Personal

Durch ein adäquates Know-how und eine Ausbildung des Personals kann ein entscheidender Beitrag zur IT-Sicherheit in Unternehmen erfolgen. Hier beschreibt Prof. Dr. Karl-Heinz Niemann, worauf beim Eintritt eines Mitarbeiters in ein Unternehmen zu achten ist und welche Massnahmen bei seinem Ausscheiden zu treffen sind.

Beschaffung und Bereitstellung von Wissen

In diesem Abschnitt zeigt Prof. Dr. Karl-Heinz Niemann auf, dass Wissen allein keinen Schutz bietet, wenn es nicht trans­feriert wird.

Niemann verweist hierbei auf einen Fall, bei dem einem Fertigungsunter­nehmen die Schwachstellen in den Komponenten von Automatisierungssystemen zwei Jahre lang bekannt waren, diese aber nicht abgestellt wurden. Keiner der Mitarbeiter fühlte sich zuständig, die vom Hersteller bereitgestellten Software-Aktualisierungen in die ­Systeme einzuspielen. Niemanns Empfeh­lungen stellen sicher, dass dieses Wissen auch genutzt beziehungsweise weitergegeben wird.

Identifizierung, Bewertung und Schutz der Vermögenswerte

Dieser Abschnitt beschreibt, wie die Assets einer Produktionsanlage systematisch erfasst, bewertet und bei Bedarf geschützt werden. Hierbei wird gemäss der Normreihe VDI 2182 vorgegangen, wobei die Normreihe IEC 62443 ein vergleichbares Vorgehen wiedergibt. Verschiedene Abbildungen erklären, wie und in welchen Schritten bei der Analyse des Automatisierungssystems vorzugehen ist.

Regelung des externen Zugriffs auf Produktionsanlagen

Der externe Zugriff auf Produktionsanlagen für Remote-Diagnose und für Remote-Wartungszwecke ist aus Sicht der IT-Sicherheit ein besonders kritischer Vorgang. Eine gute Orientierung gibt die Beschreibung «Fernwartung im industriellen Umfeld» des Bundesamts für Sicherheit in der Informationstechnik. Diese grundlegenden Vorgehensweisen für die Errichtung von Remote-Zugängen fasst das Whitepaper verständlich und komprimiert zusammen.

Datensicherung

Einhundertprozentige Sicherheit gibt es nicht. Was ist aber zu tun, wenn es zu einer Löschung aller Datenbestände einschliesslich des Betriebssystems kommt? Diese Frage greift Prof. Dr. Karl-Heinz Niemann auf und gibt Empfehlungen, wie Backup-Systeme sicher in ein Gesamt­konzept einzubinden sind.

Behandlung von Störungen und Ausfällen

Je nach Produktionsanlage und Branche laufen bei Störungen oder Ausfällen Kosten auf, die sehr schnell in einen fünf- oder auch sechsstelligen Bereich gehen können. Daher ist es wichtig, entsprechend schnell wieder den Betrieb aufzunehmen, wozu es gewisser Mechanismen bedarf, welche dieses Kapitel näher beschreibt.

Behandlung von IT-Sicherheitsvorfällen

Die im Abschnitt zuvor beschrieben Massnahmen können zunächst allgemeiner Art sein, weshalb IT-Sicherheitsvorfälle eine Unterkategorie bilden.

Wie weitergehende, präventive Massnahmen aussehen können, zeigt das abschliessende Kapitel auf. Hierbei wird vor allem nochmals der Präventionsaspekt unterstrichen, da 15 Prozent betroffener Unternehmen mehr als einen Monat ­be­nötigen, bis sie überhaupt merken, dass sich ein Aussenstehender in ihr System ­eingeschlichen hat.

Download des Gratis-Whitepapers unter www.wagodirect.ch3

Gratis-Whitepaper herunterladen und IT-Sicherheit ihrer Produktionsanlagen erhöhen: www.wagodirect.ch