Unternehmen & Technologie Mechatronik-Cluster

Ähnliche Dokumente
Smart Metering. IT-Sicherheit in der Produktion. Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur

Sicherheit der industriellen Automatisierung in österreichischen Unternehmen

Digitale Transformation in der Praxis

Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.

Ralph Zinser Business Development Manager Industrie 4.0

Cybersicherheit in der Smart Factory

Hauke Kästing IT-Security in der Windindustrie

VDMA IT-Security Report (Ergebnisauszug)

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Status Quo zur Sicherheit Eine Sichtweise

service center 3.0 für MANAGED IT-SERVICES IT-Ressourcen aus der private und hybrid telekom cloud aktiv managen

Sicherheit in der E-Wirtschaft

Industrial Security. Sicherheit im industriellen Umfeld. Frei verwendbar Siemens AG 2018

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Informationssicherheit für den Mittelstand

Asset & Configuration Mgmt sowie Identity & Access Mgmt Basis für die Integration von IT in das IT-SysBw

Service Portal Die komplette IT auf einen Blick an jedem Ort, auf jedem Device, in Echtzeit. Network Visibility

Was jetzt zu tun ist.

Inhalt. 1 Einleitung (Introduction) 3 2 Voraussetzungen für diesen Service 3 3 Leistungsbeschreibung (Service Description) 4 4 Service Transition 5

Separierung/Isolation Steffen Heyde secunet

Pharma Forum 2012 Trends und Visionen in der Pharmaindustrie IT-Security: Gefahrenpotenziale mit System minimieren

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite

Green IT Strategie Bausteine 4. Server Virtualisierung und Konsolidierung

Informations-Sicherheits- Management DIN ISO/IEC 27001: einfach und sinnvoll -

Auswahl und Einführung von Cloud-Lösungen

Risiko- und Krisenmanagement im Krankenhaus. Werner Gösenbauer Wien,

Internet of Things: Wenn Geräte miteinander kommunizieren können Unterwegs in eine Zukunft der digitalisierten Anlagenwelt

- Design hochverfügbarer Server- und Storage-Umgebungen - Server- und Storage-Assessments Datenanalyse und -klassifizierung

Nur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

Informationssicherheit

Mobile Enterprise. Vom IT-Hype zum Business Enabler

Neue Führungskräfte erfolgreich integrieren

Blick über den Tellerand Erfahrungen der EVU

Thomas W. Harich. IT-Sicherheit im Unternehmen

IT-Security Herausforderung für KMU s

Migration in die Cloud

Grundlagen des Datenschutzes. Musterlösung zur 7. Übung im SoSe 2008: Vergleich Fehlerbaum und Angriffsbaum

Grundlagen des Datenschutzes und der IT-Sicherheit

DKE Innovation Campus 2017

Wissensmanagement. Thema: ITIL

Ihr Technologiepartner für IKZ-Vorhaben

Wissensmanagement. Thema: ITIL

Der Begriff beschreibt den Zustand frei von nicht vertretbaren Risiken oder Gefahren

SICHERE I4.0 ANWENDUNGEN MIT BLOCKCHAIN DER DRITTEN GENERATION

Schutz vor moderner Malware

Cybersecurity bei Medizinprodukten

Absicherung eines Netzbetriebs. innogy SE Group Security Alexander Harsch V öffentlich

Cyberangriffe auf Maschinen und Anlagen eine reale Bedrohung in der Industrie 4.0? Dipl.-Ing. (TU) Carsten J. Pinnow, Vortrag am

Was heißt Digitalisierung für KMU in den Regionen? Gerhard Laga, WKÖ E-Center

10 IT-Gebote. Burkhard Kirschenberger Tel: Fax: Version Okt.

IT-Security in der Automation: Verdrängen hilft nicht!

Amtliche Bekanntmachung der Universität Konstanz

DSGVO erfolgreich meistern

Industrial Defender Defense in Depth Strategie

Sicherheit für Embedded Systems und IoT. Markus Grathwohl, Senior Corporate Account Manager

Hacking und die rechtlichen Folgen für die Geschäftsleitung

u m f a s s e n d e i t - l ö s u n g e n informatik ag

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

1.16. Programme und Portfolios

Inhaltsverzeichnis. Mobile Device Management 11 Vorwort und Einleitung 11

PowerIT. Hagen Dortmund Frankfurt Hamburg

Cyber Security in der Stromversorgung

IT-Sicherheit für KMUs

OPC UA TSN Interoperabilität durch offene Automation

Security. Voice +41 (0) Fax +41 (0) Mobile +41 (0) Web

Digitale Transformation als allumfassendes Phänomen

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

SAP Penetrationstest. So kommen Sie Hackern zuvor!

Datenschutz und IT-Sicherheit an der UniBi

IT-Sicherheit. Industrie 4.0 im Gebäude. Frei verwendbar Siemens AG 2016

WE LINK INDUSTRIE TO ENTERPRISE THE COMPREHENSIVE PRODUCT FOR MANUFACTURING OPERATIONS

Wir halten Ihr Material in Fluss

ITIL & IT-Sicherheit. Michael Storz CN8

Anbindung an die industrielle Cloud. Integration industrieller Netze in das Internet der Dinge und Anwendungen für Industrie 4.0

Aktuelle Bedrohungen im Umfeld von Industrie 4.0

Cyber-Security in der E-Wirtschaft Rahmenbedingungen und Diskussionsumfeld

Zertifizierung Auditdauer und Preise

Lernprogramm IT-Sicherheit in Unternehmen und im Privatbereich

GESCHÜTZT MIT HL SECURE 4.0

SCHARF AM BEDARF! SAP S/4HANA und Legacy IT: Den Weg ebnen in Richtung einer schnellen, sicheren und preiswerten SAP S/4HANA-Transformation

Informatiksicherheitsverordnung

Zukunftswerkstatt Südtirol 25. Mai 2016

Status Quo der IT-Security im Maschinenbau

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

SolutionContract BladeFrame

Pressekonferenz zur CEBIT 2018

SCHÜTZEN SIE IHR VERNETZTES UNTERNEHMEN Industrial Security für Maschinen- und Anlagenbauer

Training für Energieversorger. Security Awareness. Nachhaltig und wirksam

Informations- / IT-Sicherheit - Warum eigentlich?

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Die Evolution der Cyber-Security: Die Konvergenz von IT und OT

Service Modelle in der Industrie IoT Plattform für neue Anwendungen

Die Cloud ist das neue Normal. Die Cloud aus Kundensicht BEREIT SEIN 4,1% 9,2% 13,9% 12,0% 23,7% 37,0%

Proactive Environment Check für General Parallel File System

Compliant durch sichere Integration von mobilen Devices

Transkript:

Unternehmen & Technologie MechatronikCluster Projekt Enterprise 4.0 Unternehmenserfolg im digitalen Zeitalter mit Industrie 4.0 10 Schritte zum Betrieb sicherer industrieller IoT in KMU Herbert DIRNBERGER, herbert.dirnberger@cybersecurityaustria.at Lerngruppe Safety and Security, 22.12.2017

10 Schritte zum Betrieb sicherer industrieller IoT in KMU Das 1 1 der Industrial Internet of Things Security Der effektive Einsatz von Technologien und Prozessen sind entscheidende Faktoren, um qualitativ hochwertige Produkte und innovative Dienstleistungen als Unternehmen anbieten zu können. Durch den Einsatz entstehen auch Risiken, exemplarisch durch die Konvergenz von IT, Automatisierungstechnik und dem industriellen Internet der Dinge (folgt IIOT). Auch mittelständische Unternehmen bilden da keine Ausnahme. Zu den typischen Risiken, die auf z.b. IIOT Systemen von kleinen und mittelständischen Firmen einwirken können, gehören neben den direkten monetären Schäden auch Qualitätsminderung der Produkte oder Dienstleistungen, die Überlastung von Personal, Rechtsstreitigkeiten sowie Reputations und Knowhow Verluste. Im Folgenden werden zehn Sicherheitsmaßnahmen für das IIOT dargestellt, die speziell auf die Anforderungen von kleinen und mittelständischen Unternehmen (KMU) abgestimmt sind. Zugrunde liegt der Baseline Ansatz, der die Risiken möglichst minimiert. Wichtig ist, dass die Komposition dieser Maßnahmen für jedes KMU speziell betrachtet und durch weitere Maßnahmen ergänzt werden sollte. Der Vorteil der vorgestellten Maßnahmen ist ihre einfache Anwendung und die Einbeziehung der Organisation zur Risikobehandlung. Die Maßnahmen wirken oft gegen mehrere Risiken und sind Grundbausteine, um langfristig eine Sicherheitskultur im Unternehmen zu bilden. 1. Sensibilisieren und Bewusstsein schaffen, Management einbinden Der erste Erfolgsbaustein, um Risiken zu vermeiden oder zu mindern, ist es, das Management zu sensibilisieren und zu integrieren sowie bei allen Mitarbeitern ein Sicherheitsbewusstsein zu schaffen. Die Förderung und Bereitstellung von Sicherheit ist eine elementare Aufgabe des Managements und wird erst im Zuge eines offenen Informationsaustausches zwischen den handelnden Organisationseinheiten ermo glicht. 2 von 6

2. Verantwortung definieren Damit Sicherheit im Unternehmen und für das IIOT gebildet werden kann, muss die Organisation diese Aufgabe auch funktionell vergeben. Typische Rollen, die diese Aufgabe wahrnehmen können, sind Sicherheitsbeauftragte, Servicekoordinatoren, aber auch Administratoren und Techniker. Wichtig ist, dass die Verantwortung über die Sicherheit im ganzen Unternehmen bekannt ist und entsprechend unterstützt wird. 3. Budget und Ressourcen bereitstellen Ohne entsprechendes Budget und Ressourcen sind auch IIOT Sicherheitsmaßnahmen nicht umsetzbar. Vor allem bei Neuinvestitionen sind entsprechende Mittel für künftige Maßnahmen einzuplanen und bereitzustellen. Zu knapp bemessene Ressourcen behindern in jedem Fall die Entwicklung der Sicherheit. Allerdings wirken zu viele Mittel auch kontraproduktiv. Dann werden oft unpassende Maßnahmen eingesetzt. 4. Zugangskontrollen und schutz installieren Viele Risiken entstehen dadurch, dass die Zuga nge zu den Systemen nicht gesichert sind und keine Kontrolle über Zugriff, Verwaltung und Datenhaltung besteht. Physikalisch können nicht befugte Zugänge durch Pförtner, Zäune, Schranken, Zugangskontrollsysteme, versperrbare Türen oder Schaltschränke verhindert werden. In diesem Kontext muss auch auf ITSystemen und IIOT die Authentifizierung und Autorisierung von Benutzern geklärt werden. Nach Möglichkeit sollten keine Standardkennwörter der Hersteller verwendet und Administratorkonten nicht für klassische Bedienaufgaben herangezogen werden. Kritisch sind auch Zugänge für betriebsfremde Personen über Fernwartungen. 5. Backup erstellen und Recovery prüfen Bei einer typischen Laufzeit von 15 bis 25 Jahren wird es bei fast allen IIOT zu technischen Defekten, Fehlbedienungen, aber auch zu Energieausfällen oder ähnlichem kommen. Um die Systeme nach Ausfällen wieder in Betrieb nehmen zu können, sind Sicherungen von Betriebssystemen, Anwenderprogrammen, Parametern und aktuellen Daten notwendig. Erschwerend kommt bei heterogenen Umgebungen hinzu, dass manche Ersatzhardware nicht mehr verfügbar ist. Ein 3 von 6

weiterer Aspekt ist, dass bei großen Systemen ein gemeinsamer Wiederherstellungszeitpunkt nicht festgelegt werden kann und eine Sicherung des Systems wiederum die Verfügbarkeit beeinträchtigt. Eine entscheidende Rolle kommt den Wiederherstellungstests zu, da diese präventiv pru fen, ob die Backup Maßnahmen wirksam sind. 6. Dokumentation laufend u berarbeiten In allen Phasen des Lebenszyklus von industriellen IIOT Systemen wie Errichtung des Systems, Inbetriebnahme, Betrieb, Service, aber auch bei Störungen und in Notfällen ist eine gut strukturierte, leicht zugängliche und aktuelle Dokumentation notwendig. Kombiniert mit Backup und Recovery mindert eine gute Dokumentation viele Risiken. Ein Beispiel: Eine ordnungsgemäße Versionsverwaltung ist eine der stärksten Maßnahmen, wenn die Integrität von Daten durch Malware kompromittiert wird. Die Dokumentation von Patch und ChangeManagementProzessen ist ein wichtiges Element für weitere Serviceaktivitäten. 7. Segmentierung durchführen Durch den Ersatz von Feldbussen wie Industrial Ethernet, aber auch durch die Migration von Wireless Netzwerken in Unternehmensnetze, ist ein weiterer Schutz von industrieller IoT notwendig. Beispielsweise sind ältere Betriebssysteme nicht für den Einsatz in Netzwerken geeignet, aber auch Systemdienste von Steuerungen sollten nicht allen Mitarbeitern im Unternehmen zugänglich sein. Spezielle Patch Strategien oder bekannte Schwachstellen, die behoben werden sollen, erfordern eine klassische Segmentierung des Netzwerkes durch Firewalls, Router, VLAN, Datendioden oder Ähnliches. Eine begleitende, sehr wirksame Folge der Segmentierung ist, dass generell die Komplexität im gesamten Unternehmen sinkt. 8. AntiMalwareschutz einsetzen Trotz der technischen Maßnahmen wie Segmentierung und sicherer Authentifizierung besteht die Gefahr, dass Systeme durch Malware wie Viren, Trojaner oder Ähnliches kompromittiert werden. Da nicht immer alle Maßnahmen aus der klassischen IT wie PatchManagement oder Virenscanner eingesetzt werden können, sind auch alternative Maßnahmen wie Application Whitelistening, Write Blocker, CIFSScanning, aber auch Isolation der Systeme einsetzbar. 4 von 6

9. Komplexität reduzieren Komplexe, empfindliche und nichtlineare Systeme lassen sich nur schwer beherrschen. Maßnahmen wie Secure by Design, Hardening, Application Whitelistening usw. können die Komplexität verringern und in Folge die Robustheit erhöhen. Allgemein ist es ein wirksames Mittel zur Erhöhung der Widerstandsfähigkeit, wenn man die Ein und Ausgangsparameter begrenzt. 10. Integration von IIOT Sicherheit im Managementsystem durchführen Alle vorgestellten Maßnahmen werden oft von organisatorischen Maßnahmen wie Richtlinien, Standards, Messungen und laufenden Prozessverbesserungen begleitet. Dabei darf man das vorhandene Managementsystem und Beziehungen zu Partnern (3rd Party, Cloudanbieter, Netzwerkprovider und weitere) nicht vergessen und mit bestehenden ITRichtlinien und Servicelevel Agreements abgleichen. Autor Herbert Dirnberger leitet die Arbeitsgruppe Industrial Control System (ICS) Security beim Verein Cyber Security Austria. Bei IoT Austria ist er Rechnungsprüfer. Er hat zudem das IoT Austria Topic Team Industria IoT initiiert. herbert.dirnberger@cybersecurityaustria.at Artikel erschienen auf https://www.iotaustria.at/news:2017:12:10_schritt_zu_betrieb_sicherer_industrieller_iot_im_kmus 5 von 6

Ansprechpartner Cyber Security Austria Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur Herbert Dirnberger Blechturmgasse 11, 1050 Wien herbert.dirnberger@cybersecurityaustria.at ecoplus MechatronikCluster DI Thomas Holzmann Projektmanager +43 2742 900019675 t.holzmann@ecoplus.at IMC Fachhochschule Krems Department Business Mag. Gerhard Kormann Professor International Business & Export Management +43 2732 802381 +43 699 177 97 755 gerhard.kormann@fhkrems.ac.at 6 von 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback