Downloads im Maschinenraum

IT-Sicherheit und Produktion verschmelzen

22.06.2015
Von xxxxxxxxxxx xxxxxxxxxxxxxx

Mit den neuen Entwicklungen in der Industrie erhält auch der Produktionssicherheitsbeauftragte neue Aufgaben. Problematisch wird es dann, wenn ihm nun Aufgaben zugewiesen werden, die bisher dem IT-Leiter zufielen - Themen wie Zugriffskontrolle, Security Monitoring, Firewalls, Malware, etc. finden ihren Weg in die Produktionshalle. Die Produktionsabteilung wird vor bisher unbekannte Herausforderungen gestellt. Es gilt also, die Synergie zwischen Produktions-Sicherheit und Office-Sicherheit zu erkennen und zu nutzen, wofür die nötigen Kompetenzen der IT-Manager genutzt werden sollen, die sich auch in der Produktion einsetzen lassen.

Meldung über Missbrauch

Der Entwurf des IT-Sicherheitsgesetz sorgte im letzten Jahr für Aufsehen: Unternehmen, die Opfer von Cyberangriffen geworden sind, sollen registriert werden. Das Gesetzesvorhaben betrifft zwar explizit sogenannte kritische Infrastrukturen, also etwa Krankenhäuser, Verkehrsbetreiber und Energieversorger, jedoch wird dies auch in Produktionsunternehmen im Hinblick auf Werksspionage und Sabotage mehr und mehr sinnvoll.

Eine mögliche Lösung bietet das ebenfalls aus der Office-IT bekannte Security Monitoring: Jede Maschine besitzt dabei seine eigene, eingebaute Sicherheits-Kontrollfunktion, die verdächtige Anwendungen meldet. Nur an wen eigentlich? Wer prüft Meldungen von tausenden Maschinen, die mehr Protokolle als Produkte erzeugen? Hier lohnt sich ein weiteres, nachgelagerten Security Monitoring, das alle Meldungen mit intelligenten und lernfähigen Algorithmen überprüft. Dies ist unterm Strich also nichts anderes als die bekannten Lösungen zum Security Information and Event Management (SIEM), wie sie in der Office-IT seit Jahren erfolgreich eingesetzt werden.

Eine weitere Lösung, die aus der Office-IT übernommen wird, bietet die Verwaltung von Zugriffsrechten und Identitäten (IAM). Im Produktionsumfeld geht es dabei allerdings weniger um die Handhabung von einer Großzahl an verschiedener Identitäten, sondern vielmehr um Berechtigungsvergabe. Da die Anzahl der Befugten meist überschaubar ist, spielen Fragen der Kontrolle die größere Rolle. Nutzer mit besonderen und kritischen Zugriffsrechten stellen immer ein Risiko dar, daher muss die Rechtevergabe hier besonders eingehend geprüft und mit klaren Richtlinien versehen werden.

Fazit

Es lassen sich also einige Lektionen aus der Office-IT lernen, um sie in der Industrial Security anzuwenden. Deutsche Maschinenbauer haben nicht den Ruf, besonders sprunghaft zu sein und gehen daher das Internet der Dinge langsam an - das ist auch gut so, denn so bietet sich die Möglichkeit, aus bestehendem Wissen zu lernen und nicht zweimal die gleiche Lernkurve in Sachen IT-Sicherheit durchlaufen zu müssen.

Zur Startseite