VdTÜV

Cybersecurity: Sicherheit als Wegbereiter für die Industrie der Zukunft

Produktion und Dienstleistungen in unserer Wirtschaft basieren zunehmend auf digitaler Vernetzung. Daten- und Informationssicherheit sind ein wichtiger Standortfaktor für die deutsche Wirtschaft.
Datenschutz Cybersecurity IT
©weerapat1003 via fotolia

Gleichzeitig werden die Wirtschaft, der Staat und die Bevölkerung mit einer wachsenden Anzahl skrupelloser Cyber-Kriminalität konfrontiert. Dazu zählen u. a. die Infiltration spezieller Netzwerke, das gezielte Ausspähen und die rasche Proliferation bzw. der Verkauf von sensiblen Daten über potenzielle Schwachstellen in Unternehmen. Zwischen 2013 und 2014 hat sich die Zahl der gemeldeten Cyberangriffe weltweit um 48 Prozent auf insgesamt 42,8 Millionen erhöht. Hinzu kommt eine enorme Dunkelziffer. Daher bleibt die andauernde, sichere Vernetzung nach dem Stand der Technik in Gesellschaft und Industrie eine vorrangige strategische Aufgabe. Es kommt aus Sicht des VdTÜV darauf an, Daten- und Informationssicherheit in Unternehmen, Organisationen und Institutionen der öffentlichen Hand als strategische und lohnenswerte Investition zu begreifen und systematisch zu konzipieren. Herkömmliche Ansätze der IT-Sicherheit sind heute nicht mehr ausreichend.

Zunächst ist aus unserer Sicht eine IT-Sicherheitsforschung erforderlich, die auf die Herausforderungen der digitalen Vernetzung reagiert sowie die Entwicklung und Erforschung risikobasierter Schutzkonzepte fördert. Zweitens wird bei der Informationssicherheit grundsätzlich ein Umdenken stattfinden müssen: Ein Teil der heute gebräuchlichen Sicherheitsmechanismen wurden in der Vergangenheit schlecht implementiert. Weitere Security-Mechanismen wie Identifikationsmanagement oder eine Zugriffskontrolle fehlen meist komplett. Dies hat dazu geführt, dass Schadensereignisse viel zu spät oder gar nicht erkannt wurden, Unternehmen und Behörden früher oder später kompromittiert werden oder bereits kompromittiert wurden. Eine wirksame Bekämpfung komplexer gezielter Angriffe darf daher nicht nur die Sicherheitsarchitektur, sondern muss das komplette Unternehmen, seine Prozesse sowie dessen Mitarbeiter miteinbeziehen.

In Zukunft muss es darum gehen, eine ganzheitliche, kompatible Informationssicherheitsstruktur zur Stärkung von Vertrauen und Akzeptanz in der digitalen Welt aufzubauen. Es müssen Lösungen gefunden werden, die vor allem darauf abzielen, den Zeitraum zwischen dem Erkennen einer Cyberattacke und der Behebung des Problems auf ein Minimum zu reduzieren. Eine zentrale Rolle zur Minimierung dieses Zeitraums wird dabei der Einsatz spezialisierter Sicherheitsdienstleister, wie den TÜV-Unternehmen, spielen.[1]

Safety and Security by Design

Während die Notwendigkeit von Safety-Maßnahmen (Unversehrtheit des Menschen, Betriebssicherheit) unbestritten ist, herrscht im Bereich der Security (Schutz der digitalen Informationen) noch Unsicherheit über den benötigten Schutzbedarf. So verfügen hochinnovative Produkte wie beispielsweise medizinische Geräte, zu denen u.a. Herzschrittmacher, Dialyse-Stationen und CT-Scanner gehören, über eigene IP-Adressen und eine integrierte Software, über die illegal die Funktion des Produkts manipuliert werden kann. Gleiches trifft auch auf kritische Infrastrukturen, also neuralgische Systeme wie die Strom- und Wasserversorgung, zu. Diese sind heute in Europa oft nicht ausreichend geschützt. Entweder wird die Informationssicherheit nicht systematisch gemanagt oder die technische Umgebung getrennt von der IT betrachtet. Da aber alle Energie- und Datennetze digital gesteuert werden und der Vernetzungsgrad und die Datenflut weiter ansteigen, wächst auch die Verwundbarkeit der Anlagen durch Cyber-Attacken. Die konventionelle Betriebssicherheit (Safety) muss zukünftig konsequent in Interaktion zur Cyber Security als Gesamtbild verstanden und gemanagt werden. Im Mittelpunkt steht dabei der Aufbau geeigneter Sicherheitsarchitekturen der konventionell und digital vernetzten Produktionsprozesse. Das bedeutet, dass alle Aspekte der Sicherheit von Anfang an in den gesamten Lebenszyklus von Produkten, Systemen und der Software einbezogen werden müssen. Ziel muss es sein, sowohl die technische als auch die digitale Welt und ihr Zusammenspiel zu begreifen. Dann werden wir auch automatische Alarmierungs-, Analyse- und Auswertungsmöglichkeiten schaffen, so die Bedrohungen identifizieren, die Risiken bewerten und wirksame Schutzmaßnahmen ergreifen können. Solange diese Herausforderungen nicht bewältigt sind, dürfte es die Industrie 4.0 schwer haben, sich durchzusetzen.

Standardisierung und Zertifizierung

Die größte Herausforderung für die digital vernetzte Produktion, für die Verkehrsmittel der Zukunft, das Smart Grid wie auch das Gesundheitswesen wird die Standardisierung darstellen. Die notwendige Integration der neuen vernetzten Systeme über Domänen- und Hierarchiegrenzen hinweg wird sich nur auf Basis internationaler, konsensbasierter Normen und Standards realisieren. Diese schaffen eine sichere Grundlage für die technische Beschaffung, unterstützen die Kommunikation durch einheitliche Begriffe und Konzepte und werden die Interoperabilität, Praxistauglichkeit und Marktrelevanz sicherstellen.[2]

Wirksame Erkennungs- und Schutzkonzepte in Software-Anwendungen (App-Security) sind für Unternehmen und Organisationen wichtiger denn je.  Um die Risiken zu minimieren und Schwachstellen zu beseitigen, bevor sie ein Hacker ausnutzen kann, sollte Security künftig ein wesentliches Leistungsmerkmal bereits des Entwicklungsprozesses sein. Die internationalen und in 26 Industrienationen von den nationalen Sicherheitsbehörden offiziell anerkannten „Common Criteria - CC“ verfolgen exakt diesen Ansatz. Diese CC müssten aber für industrielle Komponenten und Systeme noch entsprechend angepasst werden.

Allerdings müssen auch komplexe IT-Systeme im Betrieb ständig auf ihre Sicherheit und aktuelle Schwachstellen überprüft werden, um daraus resultierende Risiken frühzeitig zu erkennen. Bisherige automatisierte Methoden haben sich für eine Risikoidentifikation häufig als unzureichend erwiesen, weil sie den Kontext der Anwendung nicht mit in die Betrachtung einbezogen. Intelligente neue Verfahren[3] ermöglichen eine automatische Detektion, die zwischen Risiken und Schwachstellen unterscheidet und damit eine ressourcenschonende Priorisierung innerhalb des Schutzkonzepts zulassen. Die Methode lässt sich sowohl auf bereits in Betrieb genommene Applikationen als auch auf Software anwenden, die sich noch in der Entwicklung befindet.

Zukünftig wird es für die Unternehmen viel wichtiger, das Sicherheitsniveau von IT-Lösungen und
-Prozessen kontinuierlich zu überprüfen und das Informationssicherheits-Management-System (ISMS) durch eine Zertifizierung zum Beispiel nach der internationalen Norm ISO/IEC 27001 zu optimieren. Zu den Vorteilen eines professionellen Informationssicherheits-Management-Systems zählt insbesondere die wirksame Kontrolle von IT-Risiken durch ein systematisches Risiko-Management. Somit können Schwachstellen aufgedeckt, Risiken sowie potenzielle Schäden und Folgekosten minimiert werden.

Fazit

Ob Cloud, mobiles Filesharing, das Internet der Dinge oder Industrie 4.0: Jede technologische Neuentwicklung wird Kriminellen weiterhin potenziell interessante Angriffsvektoren bieten. Auch die besten IT-Security Komponenten, wie Firewalls, Security Module oder auch VPNs bieten im Systemkontext unter Umständen keine vollkommene Sicherheit. Auf Grund dieser Erkenntnis zu resignieren oder ganz auf neue Technologien zu verzichten, ist keine befriedigende Alternative, denn die zunehmende Vernetzung bietet Unternehmen und Gesellschaft große Chancen und Innovationsmöglichkeiten. Fundament von Wirtschaft und Wohlstand  allerdings bleibt die Informationssicherheit - und zwar als iterative Aufgabe, deren Dynamik sich mit der künftigen technologischen Entwicklung noch weiter beschleunigen wird. Es muss uns zukünftig immer mehr darum gehen, Informationssicherheit in Bezug auf Technologien, Prozesse und Organisation ganzheitlich zu managen, Angriffe auf die IT-Infrastruktur rechtzeitig zu erkennen und richtig damit umzugehen. Das bedarf auch auf nationaler Ebene Veränderungen, wie Initiativen der Bundesregierung zeigen. Mit einem IT-Sicherheitsgesetz als Teil der Digitalen Agenda, einem umfangreichen Programm zum Start in eine sichere vernetzte Zukunft, will Deutschland dabei seine internationale Führungsrolle sichern: Neben der Meldepflicht für Unternehmen bei gravierenden Cyber-Attacken soll es eine Informationspflicht für Provider bei Störungen des User-Accounts geben. Darüber hinaus sind ein Ressourcen-Ausbau der zuständigen Sicherheitsbehörden sowie eine Anpassung der Rechtsprechung an die digitale Wirklichkeit geplant.[4]

Ziel muss es zudem sein, den fachlichen Austausch über Ländergrenzen hinweg weiter zu vertiefen und branchenübergreifend voneinander zu lernen, aber innovative Lösungen nicht nur zu diskutieren, sondern auch in die Tat umzusetzen, um Sicherheit und Qualität in den verschiedensten Bereichen der Gesellschaft und für die Bürgerinnen und Bürger zu erhalten. Nur so werden wir die Herausforderungen der Zukunft meistern und der Cyber-Kriminalität wirksam begegnen können.



[1] TÜV Rheinland, Digitale Trends 2014, http://www.computerwoche.de/a/die-it-security-trends-2014,2550872, 2014

[2] Koordinierungsstelle IT-Sicherheit, Normungs-Roadmap IT-Sicherheit 1.0, Berlin 2013.

[4] Bundesverband der Deutschen Industrie, Erwartungen der deutschen Industrie an ein IT-Sicherheitsgesetz, Berlin 2014.

Ansprechpartner

Leiter des Geschäftsbereichs Fahrzeug und Mobilität
T +49 30 760095-350