Security Awareness für ICS-Umgebungen

Bewusstsein für IT-Sicherheit schaffen

Fabrikanlagen sind oftmals schlechter geschützt, als es zu erwarten ist. Grund dafür sind beispielsweise veraltete Systeme und schlecht geschulte Mitarbeiter. Jelle Wieringa von KnowBe4 beschreibt, wie entsprechende Schulungen aussehen könnten.

(Bild: ©Ingo-Bartussek/stock.adobe.com)

Die Abkürzung ICS steht für Industrial Control System und beschreibt verschiedene Arten von Steuerungssystemen in industriellen Anlagen. Diese befinden sich in direkter Verbindung zu Maschinen und seit Industrie 4.0 auch mit dem Internet. Genau hier lauert die Gefahr. Was passiert, wenn Mitarbeiter unvorsichtig werden und dadurch die Fabrik stillsteht? Es kann zu hohen Stillstandskosten führen. Beispielsweise wollte ein Fabrikmitarbeiter Musik hören. Um diese besser wahrzunehmen, nutzte er den USB-Eingang des vorhandenen Computers und spielte den Sound über die Lautsprecher des PCs ab. Kritisch wurde die Situation, da der Mitarbeiter sein eigenes Handy nicht schützte und sich dieses mit Schadsoftware infizierte. Diese wurde in der Folge direkt auf das ICS übertragen. Schatten-IT ist eine Herausforderung für jedes Netzwerk. Besonders veraltete Systeme sind oftmals nicht ausreichend geschützt.

Digitaler und physischer Bereich

Security Awareness bezieht sich sowohl auf den digitalen als auch auf den physischen Bereich. Ob es um Phishing-E-Mails oder das Tragen eines Schutzhelms geht: Beide Arten von Sicherheit sollen das Unternehmen und dessen Mitarbeiter schützen. Der Grund für die Schulung könnte im Fall der Steuerungssysteme einen anderen Fokus haben. Dabei geht es um Produktivität. Ausfallzeiten sind der Feind Nr. 1 jedes Produktionsunternehmens. Indem also sichergestellt wird, dass Mitarbeiter aktuelle Bedrohungen und entsprechende Verhaltensweisen kennen, trägt dies dazu bei, Produktionsausfälle zu vermeiden.

In angenehmer Umgebung

In vielen Betrieben ist alles in einer ICS-Umgebung miteinander verbunden und viele Prozesse (Kommissionierung, Produktdesign, automatisierte Fertigungsprozesse und viele mehr) arbeiten auf der Basis von IoT-Technologie. Grundsätzlich gilt: Die Gefahren in der ICS-Umgebung sind dieselben wie in einer Büroumgebung, wobei sich das Ausmaß unterscheiden kann. Veraltete Software verstärkt diesen Effekt. Fällt eine kritische Maschine einen Tag lang aus, kann es zu einem großem finanziellen Schaden kommen. Die gesamte Produktionskette kann zum Erliegen kommen. Aus diesem Grund segmentieren viele Unternehmen ihr Netzwerk, doch schützt dies nur vor einer weiteren Ausbreitung von Malware, kann aber den Schaden nicht wirklich aufhalten.

Es bleiben immer Schlupflöcher, da beispielsweise Daten aus der Fabrik in den Bürobereich gelangen müssen. In Büroumgebungen ist jedoch oftmals eine gute IT-Sicherheits-Infrastruktur vorhanden, die in der OT-Umgebung seltener vorzufinden ist. Der Mensch selbst stellt eine große Schwachstelle dar, wenn es um IT-Sicherheit geht. Viele Prozesse erfordern menschliches Eingreifen. Schlecht geschult gefährdet er das Netzwerk, gut geschult ist er jedoch die größte Firewall und die ‘Last line of defense’. Eine Herausforderung in der OT-Umgebung ist es, dass sich die dort arbeitenden Mitarbeiter von denen im Büro unterscheiden.

Entsprechend muss sich auch das Security Awareness Training anpassen. Grundlegend beschäftigen sich die Fabrikarbeiter nach ihrer Schicht nicht weiter mit Sicherheitsschulungen und ähnlichem. Das Training muss so nah wie möglich bei ihnen und während der normalen Arbeitszeit stattfinden. Darüber hinaus besitzt nicht jeder OT-Arbeiter einen eigenen Firmen-PC. Die Chance für ein effizientes und erfolgreiches Training besteht beispielsweise darin, alle gleichzeitig, beispielsweise über eine Leinwand im Pausenraum zu schulen. Es sollte jedoch in einer angenehmen Atmosphäre stattfinden. Nicht in Form einer einzigen Schulung, sondern strukturiert und segmentiert an jedem Tag. Am besten lernen Mitarbeiter in unterhaltsamer Form, die ihm Spaß bereitet. Grundsätzlich sollte diese Fortbildung jedoch so gestaltet sein, dass es nicht schwerfällt, die Aufmerksamkeit in der Ruhezeit auf die Schulung zu richten.

Das könnte Sie auch interessieren

Delinea, ein Anbieter für Privileged Access Management (PAM), beobachtet einen Strategiewechsel bei Cyberkriminellen. Anstatt ein Unternehmen mit Ransomware lahmzulegen und als Geisel zu nehmen, werden sensible Daten heimlich exfiltriert. Cyberkriminelle drohen dann häufig damit, die Daten an den Meistbietenden zu verkaufen oder sie zu nutzen, um eine Cyberversicherungszahlung zu erhalten.‣ weiterlesen

Welche Voraussetzungen müssen erfüllt sein, damit Anwender KI-Anbietern vertrauen können und deren KI-Lösung nutzen? Diese Frage steht im Mittelpunkt des Forschungsprojektes ‘TrustKI’, das Anfang 2023 am Institut für Internet-Sicherheit – if(is) der Westfälischen Hochschule gestartet ist. Erste Antworten liefert eine kürzlich ­abgeschlossene Anwender-Studie.‣ weiterlesen

Gemeinsam mit dem Institute of Technology Management der University of St.Gallen hat das WZL den?Status quo von Datenanalysen in der produzierenden Industrie untersucht. Die Autoren betonen die wachsende Bedeutung für die Industrie, aber auch den weiteren Forschungsbedarf.‣ weiterlesen

Ein neues Fabriklayout sollte im finnischen Industrieunternehmen Hydroline für optimierte Arbeitsabläufe sorgen. Doch eine zweidimensionale Planung am Bildschirm wurde diesem Vorhaben nicht gerecht. Per VR-Simulation gelang es dem Fertiger, die Planung immersiv zu gestalten und auch Designfehler zu entdecken, die am Bildschirm vielleicht unbemerkt geblieben wären.‣ weiterlesen

Von der Kostensenkung bis hin zu neuen Geschäftsmodellen: In der Analyse von Daten steckt viel Potenzial. Dennoch zögern Unternehmen oft. Zu groß erscheinen beispielsweise technische Einstiegshürden. Wie Unternehmen eine Basis-Datenstrategie schaffen, beschreibt dieser Beitrag.‣ weiterlesen

Automatisierte Lagersysteme sind eines der Steckenpferde des Automatisierungsspezialisten Lenze. Zusammen mit dem Fraunhofer IEM entwickelte die Firma jetzt einen KI-basierten Wartungsassistenten für ihre Hochregallager. So vermeidet das Unternehmen ungeplante Stillstände und spart Zeit und Kosten. Künftig sollen auch Kunden dieses System für ihre Intralogistik erwerben können. Gefördert wurde die Zusammenarbeit der Lenze-Tochter Encoway mit dem Fraunhofer IEM im It's OWL-Projekt Easy.‣ weiterlesen

KI, Smart Factories und 4D-Druck: Björn Klaas, Vice President and Managing Director von Protolabs Europe, gibt seine Einschätzungen zu den Fertigungstrends für 2024 ab.‣ weiterlesen

Genauso wie Menschen haben auch große KI-Sprachmodelle Merkmale wie Moral- und Wertevorstellungen. Diese sind jedoch nicht immer transparent. Forschende der Universität Mannheim und des Gesis – Leibniz-Instituts für Sozialwissenschaften haben untersucht, wie die Eigenschaften der Sprachmodelle sichtbar werden können und welche Folgen diese Voreingenommenheit für die Gesellschaft haben könnte.‣ weiterlesen

Die Kunststoffproduktion kann komplexe Formen und umfangreiche Workflows annehmen. Sind die Ansprüche an Reporting und Schichtplanung eher einfach, kann eine Verwaltung auf Papier und per Excel noch gut funktionieren. Soll aber beispielsweise eine Automotive-Produktionslinie digitalisiert werden, spielen der Digitalisierungsgrad und die Kommunikationsmöglichkeiten jeder einzelnen Maschine eine große Rolle - Papier ist da eher hinderlich. Der folgende Beitrag gibt Tipps, wie dieser Umstieg gelingen kann.‣ weiterlesen

Viele Produzenten werden in den nächsten Jahren Energie-Labels und digitale Produktpässe einrichten müssen. Auch die Energiepreise treiben nachhaltigere Prozesse voran. Der digitale Zwilling rückt als Datenmodell in den Fokus.‣ weiterlesen

Laut den einschlägigen Statistiken liegt die Zahl der kleinen und mittleren Unternehmen (KMU), die Roboter zur Automation ihrer Prozesse einsetzen, prozentual weit im einstelligen Bereich (3 Prozent laut statistischem Bundesamt in 2022). Gründe dafür können die Unübersichtlichkeit des Marktes, fehlendes Knowhow und Angst vor der Komplexität von Roboteranwendungen sein. Doch es gibt einige Möglichkeiten, den Einstieg in die Automation mit Robotern zu vereinfachen.‣ weiterlesen