Refine
Document Type
- Report (4) (remove)
Language
- German (4)
Has Fulltext
- yes (4)
Is part of the Bibliography
- no (4)
Keywords
- Computersicherheit (4) (remove)
Kleine und mittlere Unternehmen (KMU), die dem Bereich der Automatisierungstechnik zuliefern, stehen vor der wachsenden Herausforderung, dass Kundinnen und Kunden vermehrt Produkte fordern, die im Sinne der IT-Sicherheit „sicher“ entwickelt werden. Die Norm IEC 62443-4-1 beschreibt einen solchen sichereren Produkt-Entwicklungslebenszyklus. Derartige Standards stellen hohe Anforderungen an die Organisation der Prozesse. Um die Umsetzung dieses Prozesses auch KMU zu ermöglichen, werden im folgenden Dokument Musterprozesse beschrieben, die Unternehmen befähigen die Anforderungen zu verstehen und im eigenen Unternehmen ein-, bzw. fortzuführen.
Die zunehmenden Anwendungsfälle der vertikalen und horizontalen Vernetzung von Automatisierungssystemen erhöhen gleichzeitig auch die Bedrohungen der IT-Sicherheit der relevanten automatisierten technischen Prozesse. Zukünftige Anlagenstrukturen werden stärker vernetzt und dezentralisiert organisiert sein, oder sogar weltweit mit anderen technischen Systemen über das Internet kommunizieren. Dies erfolgt häufig über standardisierte Kommunikationsprotokolle, im Weiteren Middleware genannt. Daher ist die Bedeutung standardisierter Verfahren und Modelle zur Erleichterung der Sicherheitskonfigurationen der Middleware, die die folgenden Anforderungen erfüllen, von wesentlicher Bedeutung:
- Sichere Kommunikation (sichere Middleware)
- Authentifizierung und Autorisierung der Kommunikationspartner auch bei stark vernetzten Systemen und Ad-hoc-Verbindungen
- Einfache Verwaltung von Sicherheitsmaßnahmen ohne erheblichen Mehraufwand für die Organisation
Die bestehende Referenzarchitektur und die Sicherheitsmerkmale der entsprechenden Middleware werden untersucht, um deren Anwendbarkeit in verschiedenen Stufen der Automatisierungspyramide zu ermitteln. Es werden die Sicherheitsmerkmale für eine durchgängig sichere Kommunikation und deren Flexibilität bei der Integration in eine Public Key Infrastruktur (PKI) untersucht. Die bestehenden Zugangskontrollmechanismen und deren Zukunft im Rahmen von Industrie 4.0 werden bewertet. Die Möglichkeiten zur Integration des mit Attributzertifikaten aktivierten Berechtigungsmechanismus im Rahmen von OPC UA werden in diesem Projekt untersucht und als Teil des Demonstrators implementiert. Die Anwendungsrelevanz der entwickelten Lösungen wird gewährleistet, indem die Projektpartner des projektbegleitenden Ausschusses bei der Erstellung und dem Review von Konzepten frühzeitig beteiligt werden.
Der vorliegende Artikel beschreibt die Ergebnisse einer Studie zur Sicherheit von Web-Servern niedersächsischer Unternehmen aus dem Raum Hannover. Untersucht wurden vier Unternehmensgruppen, die sich aus Mitgliedern von Unternehmensverbänden und berufsständischen Körperschaften zusammensetzen. Insgesamt werden mehr als 1800 Unternehmen betrachtet. Als Indikator für die IT-Sicherheit wurden vier Sicherheitslücken herangezogen, die leicht überprüft werden können, ohne die Web-Server in ihrem Betrieb zu beeinträchtigen.
Die Ergebnisse sind ernüchternd: Viele Unternehmen setzen keine Verschlüsselung ein oder die Web-Server-Software ist nicht auf dem neusten Stand. Bei ungefähr jedem dritten Unternehmen, welches Verschlüsselung einsetzt, enthält die Software seit mehr als einem Jahr bekannte Schwachstellen und sollte umgehend aktualisiert werden. Dies zeigt, dass das IT-Sicherheitsmanagement in vielen Unternehmen mangelhaft ist.
Im Rahmen des vom Bundesministerium für Wirtschaft und Technologie geförderten Forschungsprojektes INSA sollen wichtige Beiträge zur Verbesserung der IT-Sicherheit von Produktionsanlagen insbesondere in kleinen und mittelständischen Unternehmen (KMU) realisiert und erprobt werden.
Die IT-Sicherheit von Produktionsanlagen wird zu einer immer wichtigeren Komponente des Schutzes von Unternehmen gegen Cyber-Attacken. Neben Angriffen aus dem Internet sind dabei interne Angriffsquellen in Betracht zu ziehen. Gängige Vorgehensmodelle, wie z. B. die VDI-Richtlinie 2182, setzen dabei unter anderem auf eine wiederkehrende Analyse der Bedrohungen und auf die Implementierung entsprechender Schutzmaßnahmen. Die Durchführung einer solchen wiederkehrenden Gefährdungsanalyse ist mit einem wiederkehrenden manuellen Aufwand verbunden, weshalb kleine und mittlere Unternehmen die Durchführung dieser Maßnahmen häufig meiden. Ziel des Projektes ist die Unterstützung kleiner und mittlerer Unternehmen bei der Durchführung entsprechender Bedrohungsanalysen zu unterstützen.
Der Ansatz des Projektes beruht auf der automatisierten bzw. teilautomatisierten Erfassung der installierten Automatisierungskomponenten (Assets). Danach kann für bekannte Standardkomponenten durch die Verwendung wissensbasierter Methoden eine Beurteilung der Bedrohung einer Automatisierungsanlage erfolgen. Hierfür wird fachspezifisches Wissen erfasst und verarbeitet wird. Diese Methoden können bei Bedarf in die Engineering-Oberfläche einer Automatisierungsanlage intergiert werden.