Fachartikel

IT absichern trotz zunehmender Vernetzung

Vernetzung im Zuge von Industrie 4.0 betrifft nicht nur die Fabrik- oder Prozessautomatisierung, sondern auch Bereiche wie Smart Farming, Smart City und Smart Energy. Wer sich jedoch mit der Vernetzung bislang alleinstehender Komponenten beschäftigt, muss sich heute zwangsläufig mit IT-Sicherheit auseinandersetzen. Der Fachartikel liefert dazu umfangreiche Hintergrundinformationen und erklärt, warum eine ganzheitliche Betrachtung von IT-Sicherheit derzeit wichtiger denn je ist.
Gerade in Zeiten von Industrie 4.0 kommt der Sicherheit in IT-Netzwerken eine besondere Bedeutung zu.
Je stärker eine Branche in das öffentliche Leben hineinwirkt, desto strenger sind auch die rechtlichen Vorgaben. Der Bereich Smart Energy beispielsweise ist ein elementarer Teil kritischer Infrastrukturen (KRITIS). Darunter versteht man Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Um den rechtlichen Sicherheitsanforderungen gerecht zu werden, müssen Unternehmen und ihre Abläufe zertifiziert sein, zum Beispiel nach der internationalen Norm ISO/IEC 27001, aber auch die eingesetzten Produkte selbst. Produktanforderungen werden in zahlreichen technischen Richtlinien definiert. Ein Beispiel ist die technische Richtlinie des BSI für kryptografische Verfahren. Weiterhin können Verordnungen wie die am 25. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) im weitesten Sinne die IT-Sicherheit in Unternehmen betreffen. Diese drei Beispiele geben nur einen groben Einblick in das große Feld rechtlicher Rahmenbedingungen im Zusammenhang mit IT-Sicherheit.

IT-Sicherheit abstrakt betrachtet
IT-Verantwortliche müssen die Sicherheitsinfrastruktur permanent prüfen und an die aktuellen Anforderungen anpassen. Abhängig vom Industriebereich, in dem eine IT-Lösung zum Einsatz kommen soll, gilt es also die passenden Vorgaben zu kennen, zu beachten und die realisierten Lösungen permanent auf dem aktuellen Sicherheitsstand zu halten. Deshalb lässt sich dem Thema IT-Sicherheit niemals nur mit einem Produkt begegnen, sondern mit einer Mischung aus Produkt, strikt vorgegebenen Abläufen, Mitarbeiterschulungen, Dokumentation und vielem mehr.
Bild 1: Die CIA-Triade fasst drei übergeordnete Schutzziele der IT-Sicherheit zusammen:
Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Gleichzeitig ist Sicherheit aus Anwendersicht ein vielschichtiger Begriff und je nach Anwendungsfall ist ein bestimmter Sicherheitsaspekt mehr oder weniger zu berücksichtigen beziehungsweise verschiedene Sicherheitsaspekte stehen gar im Widerspruch zueinander. Dann gilt es abzuwägen, welche Vorrang haben. Bei der Bewertung von Schutzzielen einer individuellen Anwendung hilft die CIA-Triade (Bild 1). Es betrachtet die Bereiche Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Was steckt konkret dahinter?

Eckpunkt 1: Vertraulichkeit
Vertraulichkeit bedeutet die Zugriffsbeschränkungen auf sensible Daten. Es muss sichergestellt sein, dass nur die Personen Zugang zu Daten oder IT-Systemen haben, die sie für ihre Arbeit benötigen. Es gilt also sensible Daten wie etwa Kreditkartendaten, Unternehmensgeheimnisse oder auch persönliche Daten zu evaluieren und das Schadensmaß, das durch unberechtigten Zugriff darauf entstehen kann, abzuschätzen. Danach sind entsprechende Schutzziele zu formulieren. Eine geeignete Berechtigungsstruktur ist ebenso wichtig wie die Sensibilisierung der für bestimmte Zugriffe freigeschalteten Mitarbeiter. Technisch spielen Hilfsmittel wie VPN-Verbindungen, der Einsatz aktueller Verschlüsselungstechnologien oder Access-Control-Lists (ACL) eine wichtige Rolle.

Wie wichtig Vertraulichkeit in der Anwendungspraxis ist, wird beispielsweise beim Einsatz von Smart Metern deutlich. Würden Zählerdaten durch Unberechtigte ausgelesen, könnten diese Rückschlüsse auf das Verbrauchsverhalten vieler Stromkunden ziehen. Das BSI schreibt daher eine komplette Ende-zu-Ende Verschlüsselung für sämtliche Daten vor, die mit den Smart Meter Gateways (SMGW) ausgetauscht werden. Außerdem wird eine strikte Zugriffskontrolle durch den Smart Meter Gateway Administrator (SMGA) vorgeschrieben, der sicherstellen muss, dass entsprechende Nutzdaten nur an vorher definierte Marktteilnehmer und niemanden sonst gesendet und von diesen ausgelesen werden.

Der Kommunikationsdienstleister Welotec aus Laer im Münsterland ist mit seinen TK800 LTE-Routern (Bild 2) Teil der Smart-Meter-Rollout-Kette und hat dazu seine Router entsprechend angepasst. Dank Dual-APN (Access Point Name) übertragen sie Nutz- und Managementdaten auf unterschiedlichen Kanälen (entsprechen der jeweiligen Zielgruppen). Beidseitige Authentifizierung und die gängigen Protokolle für Datenkommunikation wie HTTPS, SSH, und SNMPv3 sichern das Management des Routers zuverlässig ab. BSI-konforme Ende-zu-Ende-Verschlüsselung schützt alle übertragenen Inhalte gegen Einblicke oder Manipulation von außen. Das Thema Manipulation führt uns zum zweiten Punkt der CIA-Triade.

Seite 1: IT-Sicherheit abstrakt betrachtet


Seite 1 von 2 Nächste Seite >>
17.10.2018/ln/Jos Zenner, Business Development Manager bei Welotec

Nachrichten

Sicherheit für Cloud und 5G [13.02.2019]

Palo Alto Networks hat mehrere neue Funktionen eingeführt, die Angriffe vorhersagen und durch Automatisierung stoppen sollen. Ab sofort erhalten Next-Generation-Firewall-Kunden, die auf die PAN-OS-Version 9.0 upgraden, Zugang zu diesen neuen Sicherheitsfähigkeiten, bestehend aus mehr als 60 neuen Funktionen und Tools zur einfachen Implementierung von Security Best Practices. [mehr]

Im Fadenkreuz [5.02.2019]

Proofpoint lüftet den Vorhang für den 'Proofpoint Targeted Attack Protection Index' (TAP). Dabei handelt es sich um einen Index, mit dessen Hilfe die IT-Security-Teams in den Unternehmen die aktuelle Gefährdung einzelner Personen im Unternehmen einschätzen könnten. Der Hintergrund sei die Strategie der Cyberkriminellen, nicht die technische Infrastruktur direkt anzugreifen, sondern über Mitarbeiter Zugang zu Systemen im Unternehmen zu erlangen. [mehr]

Tipps & Tools

Citrix: Basis-vDisk erstellen [3.02.2019]

In Citrix-Umgebung kann es vorkommen, dass eine vDisk importiert werden muss, bei der Änderungen in verschiedenen Versionen gespeichert sind, aber die zugehörige XML Datei nicht (mehr) verfügbar ist. Glücklicherweise gibt es eine Methode, um eine neu zusammengeführte Basis-vDisk außerhalb von PVS zu erstellen, bevor Sie sie in eine Farm importieren, und die dafür keine XML- oder PVP-Dateien benötigt. [mehr]

Vorschau Februar 2019: Cloudmanagement [21.01.2019]

Die Vorteile der Cloud liegen auf der Hand in Form schnell verfügbarer IT-Ressourcen, um deren Betrieb sich der Administrator nur noch eingeschränkt kümmern muss. Dafür wiederum wollen Cloudlandschaften passgenau in die Unternehmens-IT eingebunden werden, vor allem wenn es um die Sicherheit geht. In der Februar-Ausgabe widmet sich IT-Administrator dem Cloudmanagement und zeigt unter anderem, wie Sie Azure-Logs auswerten und Red Hat CloudForms mit Ansible verwalten. In unserem großen Vergleichstest treten daneben vier deutsche Hosting-Anbieter gegeneinander an. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen