Ich hebe den Telefonhörer ab, als das Licht ausgeht. Die Frau am anderen Ende grüßt freundlich und sagt, dass sie alle Lampen in meiner Wohnung über das Internet steuern kann - und schaltet das Licht wieder an. Szenario aus einem Horrorfilm oder Realität? Technisch ist es durchaus möglich: So oder so ähnlich könnte es Ihnen gehen, wenn Sie Ihr Zuhause via Smart Home vernetzt haben.
Die erheblichen Sicherheitsmängel im Zusammenhang mit Smart Home sind kein Geheimnis. Doch nicht nur Kühlschränke, Babyphone oder die Beleuchtung sind immer häufiger vernetzt. Im Rahmen von Industrie 4.0 arbeiten auch immer mehr Unternehmen mit vernetzten Produktionsanlagen, Maschinen oder ERP-Systemen.
Durch die weltweite Vernetzung können Mitarbeiter im deutschen Standort Produktionsprozesse in China beeinflussen. Unternehmen können viel flexibler auf individuelle Wünsche ihrer Kunden reagieren und sie in den Produktionsprozess einbeziehen. Neben vielen Vorteilen birgt Industrie 4.0 jedoch auch Risiken: Was geschieht, wenn Unbefugte auf eine Konfigurationsschnittstelle zugreifen und in interne Prozesse eingreifen?
Im Rahmen von Industrie 4.0 und der zunehmenden Digitalisierung des Arbeitsalltags sollten auch kleinere Unternehmen in die IT-Sicherheit investieren und ihre IT-Sicherheits-Strategie überarbeiten. Obwohl jedes Unternehmen andere Anforderungen hat, lassen sich einige passive, aktive und präventive Maßnahmen zusammenfassen, die Teil Ihrer IT-Sicherheits-Strategie sein sollten:
Passive Maßnahmen: Regelmäßige Updates
Passive Maßnahmen sind der kleinste Teil einer IT-Security-Strategie. Sie bestehen darin, Sicherheitsupdates und Bugfixes der Hersteller regelmäßig zu installieren. Geschieht dies nicht automatisch, sollten IT-Mitarbeiter die Updates schnellstmöglich einspielen. So werden Sicherheitslücken geschlossen, bevor Cyberkriminelle sie ausnutzen können.
Aktive Maßnahmen: Sicherheit bei Datenaustausch und Kommunikation
Der aktive Teil der IT-Sicherheits-Strategie dient unter anderem dazu, das Unternehmensnetzwerk aktiv vor Bedrohungen zu schützen, beispielsweise durch Virenscanner und Firewalls.
Allerdings greifen die Firewalls der meisten Unternehmen heute nicht mehr weit genug, da sie nur lokalen Schutz bieten. Ortsungebundene IT-Sicherheit sollte ein wichtiger Faktor für die aktualisierte IT-Sicherheits-Strategie sein, da Mitarbeiter immer häufiger von unterwegs oder im Home Office arbeiten. Eine Möglichkeit dazu ist ein cloudbasierter URL-Filter, der in Echtzeit aktualisiert wird und das Unternehmensnetzwerk vor mit Malware verseuchten Seiten schützt.
Vielfach beginnt Industrie 4.0 bereits im kleinen Rahmen, beispielsweise, wenn mehrere Unternehmensstandorte miteinander vernetzt sind. Wichtig ist dann, dass die Schnittstellen zwischen Unternehmensnetzwerk und Internet besonders geschützt werden, beispielsweise durch sogenannte Virtual Private Networks (VPN). Die meisten Mitarbeiter kennen und nutzen den Netzwerkzugriff via VPN bereits, wenn sie sich von zu Hause aus in das Unternehmensnetzwerk einloggen.
Mindestens der gleiche Schutz sollte für netzwerkrelevante Steuergeräte umgesetzt werden, beispielsweise durch Tunnelung über VPN oder die sichere Authentifizierung an der Web-Konfiguration. Die Netzwerk-Schnittstelle kann durch Passwörter oder ein digitales Zertifikat geschützt werden und verhindert so den Zugriff Unbefugter.
Neben dem Schutz der unternehmensübergreifenden IT-Infrastruktur, sollten auch einzelne Systeme bedacht werden, beispielsweise die Software für Videokonferenzen. Sonst sorgen Fehler in der Konfiguration oder Sicherheitslücken dafür, dass Unbefugte Ihren Konferenzen beiwohnen. Um Sicherheitsprobleme frühzeitig zu bemerken und darauf zu reagieren, sollten die Security-Bulletins von Herstellern aufmerksam überwacht werden.
Präventive Maßnahmen: Verschlüsselung und Schnittstellenkontrolle
Eine gute IT-Sicherheits-Strategie beginnt bei den eigenen Mitarbeitern. Denn gerade sie sind - meist unbeabsichtigt - eines der größten Risiken in Bezug auf Datenschutz in Unternehmen. Verlässt ein Mitarbeiter ein Unternehmen, sollte sein Zugriff auf sensible Daten unmittelbar gesperrt werden. Der Fall Edward Snowden ist ein gutes Beispiel dafür, welche Folgen es haben kann, wenn die IT-Sicherheits-Strategie die eigenen (Ex-) Mitarbeiter nicht berücksichtigt.
In modernen Unternehmen haben meist auch externe Mitarbeiter Zugriff auf das Unternehmensnetzwerk, beispielsweise wenn Leistungen wie Buchhaltung oder Personalwesen ausgelagert werden. Ihr Zugriff auf den Datenpool des Unternehmens sollte entsprechend eingeschränkt werden. Dafür bieten sich sogenannte Rechtemodelle an, mit denen Berechtigungen zentral vergeben und granular eingestellt werden können. So erhält beispielsweise der Praktikant nur Zugriff auf die Daten, die er für seine Arbeit benötigt. Ist das Praktikum beendet, kann ihm auch dieser Zugriff wieder entzogen werden.
Mit Datenschutz und Datensicherheit kennen sich die Befragten laut eigenen Angaben aus. Doch es fehlt an spezifischen Kenntnissen zu mobilen Apps.
Funktionalität ist das entscheidende Auswahlkriterium bei der App-Auswahl.
Mehr als die Hälfte der befragten Unternehmen weist kein explizites Budget für IT-Security aus.
In den Sicherheitskonzepten der Unternehmen spielen mobile Aspekte häufig keine Rolle.
In den seltensten Fällen greifen Mitarbeiter die Datensicherheit ihres Unternehmens bewusst an. Meist sind es lediglich Momente der Nachlässigkeit oder das fehlende Bewusstsein. Kein Problem, wenn zwei Maßnahmen Bestandteil Ihrer IT-Sicherheits-Strategie sind: Verschlüsselung sowie Daten- und Schnittstellenkontrolle. Sind sensible Daten auf internen Festplatten, externen Datenträgern oder in der Cloud verschlüsselt, haben Unbefugte auch bei Verlust keinen Zugriff. Eine sinnvolle Ergänzung zur Verschlüsselung ist Schnittstellenkontrolle, mit der sich festlegen lässt, welche Dateien oder Anwendungen auf welchem Gerät genutzt werden dürfen. Beide Komponenten bilden die Grundlage für die IT-Grundschutz-Zertifizierung ISO-27001.
Fazit
Der Aufbau einer umfassenden IT-Sicherheits-Strategie, die den aktuellen Anforderungen entspricht, ist Aufgabe von Unternehmensleitung und IT-Mitarbeitern. Ziel ist, dass Rechner, Daten, Anlagen und Steuerungen - kurz: alle vernetzten Geräte - geschützt sind. Um dies zu erreichen, sollte die IT-Sicherheits-Strategie regelmäßig aktualisiert und verbessert werden. Darüber hinaus ist es im Zusammenhang mit Vernetzung und Industrie 4.0 extrem wichtig, die IT-Sicherheits-Strategie so auszurichten, dass sie zeit- und ortsungebunden Schutz bietet. (bw)