Security Awareness für ICS-Umgebungen

Bewusstsein für IT-Sicherheit schaffen

Fabrikanlagen sind oftmals schlechter geschützt, als es zu erwarten ist. Grund dafür sind beispielsweise veraltete Systeme und schlecht geschulte Mitarbeiter. Jelle Wieringa von KnowBe4 beschreibt, wie entsprechende Schulungen aussehen könnten.

(Bild: ©Ingo-Bartussek/stock.adobe.com)

Die Abkürzung ICS steht für Industrial Control System und beschreibt verschiedene Arten von Steuerungssystemen in industriellen Anlagen. Diese befinden sich in direkter Verbindung zu Maschinen und seit Industrie 4.0 auch mit dem Internet. Genau hier lauert die Gefahr. Was passiert, wenn Mitarbeiter unvorsichtig werden und dadurch die Fabrik stillsteht? Es kann zu hohen Stillstandskosten führen. Beispielsweise wollte ein Fabrikmitarbeiter Musik hören. Um diese besser wahrzunehmen, nutzte er den USB-Eingang des vorhandenen Computers und spielte den Sound über die Lautsprecher des PCs ab. Kritisch wurde die Situation, da der Mitarbeiter sein eigenes Handy nicht schützte und sich dieses mit Schadsoftware infizierte. Diese wurde in der Folge direkt auf das ICS übertragen. Schatten-IT ist eine Herausforderung für jedes Netzwerk. Besonders veraltete Systeme sind oftmals nicht ausreichend geschützt.

Digitaler und physischer Bereich

Security Awareness bezieht sich sowohl auf den digitalen als auch auf den physischen Bereich. Ob es um Phishing-E-Mails oder das Tragen eines Schutzhelms geht: Beide Arten von Sicherheit sollen das Unternehmen und dessen Mitarbeiter schützen. Der Grund für die Schulung könnte im Fall der Steuerungssysteme einen anderen Fokus haben. Dabei geht es um Produktivität. Ausfallzeiten sind der Feind Nr. 1 jedes Produktionsunternehmens. Indem also sichergestellt wird, dass Mitarbeiter aktuelle Bedrohungen und entsprechende Verhaltensweisen kennen, trägt dies dazu bei, Produktionsausfälle zu vermeiden.

In angenehmer Umgebung

In vielen Betrieben ist alles in einer ICS-Umgebung miteinander verbunden und viele Prozesse (Kommissionierung, Produktdesign, automatisierte Fertigungsprozesse und viele mehr) arbeiten auf der Basis von IoT-Technologie. Grundsätzlich gilt: Die Gefahren in der ICS-Umgebung sind dieselben wie in einer Büroumgebung, wobei sich das Ausmaß unterscheiden kann. Veraltete Software verstärkt diesen Effekt. Fällt eine kritische Maschine einen Tag lang aus, kann es zu einem großem finanziellen Schaden kommen. Die gesamte Produktionskette kann zum Erliegen kommen. Aus diesem Grund segmentieren viele Unternehmen ihr Netzwerk, doch schützt dies nur vor einer weiteren Ausbreitung von Malware, kann aber den Schaden nicht wirklich aufhalten.

Es bleiben immer Schlupflöcher, da beispielsweise Daten aus der Fabrik in den Bürobereich gelangen müssen. In Büroumgebungen ist jedoch oftmals eine gute IT-Sicherheits-Infrastruktur vorhanden, die in der OT-Umgebung seltener vorzufinden ist. Der Mensch selbst stellt eine große Schwachstelle dar, wenn es um IT-Sicherheit geht. Viele Prozesse erfordern menschliches Eingreifen. Schlecht geschult gefährdet er das Netzwerk, gut geschult ist er jedoch die größte Firewall und die ‘Last line of defense’. Eine Herausforderung in der OT-Umgebung ist es, dass sich die dort arbeitenden Mitarbeiter von denen im Büro unterscheiden.

Entsprechend muss sich auch das Security Awareness Training anpassen. Grundlegend beschäftigen sich die Fabrikarbeiter nach ihrer Schicht nicht weiter mit Sicherheitsschulungen und ähnlichem. Das Training muss so nah wie möglich bei ihnen und während der normalen Arbeitszeit stattfinden. Darüber hinaus besitzt nicht jeder OT-Arbeiter einen eigenen Firmen-PC. Die Chance für ein effizientes und erfolgreiches Training besteht beispielsweise darin, alle gleichzeitig, beispielsweise über eine Leinwand im Pausenraum zu schulen. Es sollte jedoch in einer angenehmen Atmosphäre stattfinden. Nicht in Form einer einzigen Schulung, sondern strukturiert und segmentiert an jedem Tag. Am besten lernen Mitarbeiter in unterhaltsamer Form, die ihm Spaß bereitet. Grundsätzlich sollte diese Fortbildung jedoch so gestaltet sein, dass es nicht schwerfällt, die Aufmerksamkeit in der Ruhezeit auf die Schulung zu richten.

Das könnte Sie auch interessieren

Deeptech-Startups haben es schwerer als Internet-Startups. Da sie ihre Innovationen an Industrieunternehmen liefern wollen, müssen von Anfang an umfangreiche Anforderungen an Prozesse, Dokumentation und Schnittstellen eingehalten werden, speziell in den Bereichen Aerotech oder Healthcare.‣ weiterlesen

Der Einsatz von Sekundärrohstoffen kann dazu beitragen, Ressourcen zu schonen und den CO2-Ausstoß zu senken. Das VDI Zentrum Ressourceneffizienz will Unternehmen mit einer Materialdatenbank über die Möglichkeiten aufklären.‣ weiterlesen

Wollen Unternehmen künstliche Intelligenz einsetzen, müssen sie sich mit grundlegenden Fragen beschäftigen – etwa wie KI-Entscheidungen transparent gestalten werden können.Der IT-Dienstleister Adesso hat im Rahmen einer repräsentativen Studie KI-Experten in Unternehmen zum Thema ‘Trustworthy AI’ befragt. Demnach glaubt die Mehrheit, dass KI bei Kunden einen Vertrauensvorschuss genießt. Gleichzeitig wünschen sich die Befragten mehr Kontrollmechanismen.‣ weiterlesen

Die Mehrheit der deutschen Unternehmen nimmt künstliche Intelligenz als Chance wahr. Zum Einsatz kommt die Technologie allerdings nur bei 9 Prozent, so das Ergebnis eine Befragung des Branchenverbands Bitkom.‣ weiterlesen

Der Einsatz von künstlicher Intelligenz (KI) verspricht für Industrieunternehmen einen Wettbewerbsvorteil. Doch dass auch KI-Systeme überwacht werden müssen, setzt sich nur langsam durch - Lösungen sind oft umständlich und aufwendig. Neue Ansätze sollen das ändern.‣ weiterlesen

Vom Internet of Things versprechen sich Unternehmen vielerlei Vorteile, wie etwa Prozessoptimierungen oder Qualitätsverbesserungen. Bei der Einführung von IoT-Technologien sind Unternehmen jedoch oft auf Hilfe von Außen angewiesen. ‣ weiterlesen