Security Awareness für ICS-Umgebungen
Bewusstsein für IT-Sicherheit schaffen
Fabrikanlagen sind oftmals schlechter geschützt, als es zu erwarten ist. Grund dafür sind beispielsweise veraltete Systeme und schlecht geschulte Mitarbeiter. Jelle Wieringa von KnowBe4 beschreibt, wie entsprechende Schulungen aussehen könnten.
(Bild: ©Ingo-Bartussek/stock.adobe.com)
Die Abkürzung ICS steht für Industrial Control System und beschreibt verschiedene Arten von Steuerungssystemen in industriellen Anlagen. Diese befinden sich in direkter Verbindung zu Maschinen und seit Industrie 4.0 auch mit dem Internet. Genau hier lauert die Gefahr. Was passiert, wenn Mitarbeiter unvorsichtig werden und dadurch die Fabrik stillsteht? Es kann zu hohen Stillstandskosten führen. Beispielsweise wollte ein Fabrikmitarbeiter Musik hören. Um diese besser wahrzunehmen, nutzte er den USB-Eingang des vorhandenen Computers und spielte den Sound über die Lautsprecher des PCs ab. Kritisch wurde die Situation, da der Mitarbeiter sein eigenes Handy nicht schützte und sich dieses mit Schadsoftware infizierte. Diese wurde in der Folge direkt auf das ICS übertragen. Schatten-IT ist eine Herausforderung für jedes Netzwerk. Besonders veraltete Systeme sind oftmals nicht ausreichend geschützt.
Digitaler und physischer Bereich
Security Awareness bezieht sich sowohl auf den digitalen als auch auf den physischen Bereich. Ob es um Phishing-E-Mails oder das Tragen eines Schutzhelms geht: Beide Arten von Sicherheit sollen das Unternehmen und dessen Mitarbeiter schützen. Der Grund für die Schulung könnte im Fall der Steuerungssysteme einen anderen Fokus haben. Dabei geht es um Produktivität. Ausfallzeiten sind der Feind Nr. 1 jedes Produktionsunternehmens. Indem also sichergestellt wird, dass Mitarbeiter aktuelle Bedrohungen und entsprechende Verhaltensweisen kennen, trägt dies dazu bei, Produktionsausfälle zu vermeiden.
In angenehmer Umgebung
In vielen Betrieben ist alles in einer ICS-Umgebung miteinander verbunden und viele Prozesse (Kommissionierung, Produktdesign, automatisierte Fertigungsprozesse und viele mehr) arbeiten auf der Basis von IoT-Technologie. Grundsätzlich gilt: Die Gefahren in der ICS-Umgebung sind dieselben wie in einer Büroumgebung, wobei sich das Ausmaß unterscheiden kann. Veraltete Software verstärkt diesen Effekt. Fällt eine kritische Maschine einen Tag lang aus, kann es zu einem großem finanziellen Schaden kommen. Die gesamte Produktionskette kann zum Erliegen kommen. Aus diesem Grund segmentieren viele Unternehmen ihr Netzwerk, doch schützt dies nur vor einer weiteren Ausbreitung von Malware, kann aber den Schaden nicht wirklich aufhalten.
Es bleiben immer Schlupflöcher, da beispielsweise Daten aus der Fabrik in den Bürobereich gelangen müssen. In Büroumgebungen ist jedoch oftmals eine gute IT-Sicherheits-Infrastruktur vorhanden, die in der OT-Umgebung seltener vorzufinden ist. Der Mensch selbst stellt eine große Schwachstelle dar, wenn es um IT-Sicherheit geht. Viele Prozesse erfordern menschliches Eingreifen. Schlecht geschult gefährdet er das Netzwerk, gut geschult ist er jedoch die größte Firewall und die ‘Last line of defense’. Eine Herausforderung in der OT-Umgebung ist es, dass sich die dort arbeitenden Mitarbeiter von denen im Büro unterscheiden.
Entsprechend muss sich auch das Security Awareness Training anpassen. Grundlegend beschäftigen sich die Fabrikarbeiter nach ihrer Schicht nicht weiter mit Sicherheitsschulungen und ähnlichem. Das Training muss so nah wie möglich bei ihnen und während der normalen Arbeitszeit stattfinden. Darüber hinaus besitzt nicht jeder OT-Arbeiter einen eigenen Firmen-PC. Die Chance für ein effizientes und erfolgreiches Training besteht beispielsweise darin, alle gleichzeitig, beispielsweise über eine Leinwand im Pausenraum zu schulen. Es sollte jedoch in einer angenehmen Atmosphäre stattfinden. Nicht in Form einer einzigen Schulung, sondern strukturiert und segmentiert an jedem Tag. Am besten lernen Mitarbeiter in unterhaltsamer Form, die ihm Spaß bereitet. Grundsätzlich sollte diese Fortbildung jedoch so gestaltet sein, dass es nicht schwerfällt, die Aufmerksamkeit in der Ruhezeit auf die Schulung zu richten.
Das könnte Sie auch interessieren
Künstliche Intelligenz unterstützt die Prozesse von DACH-Unternehmen inzwischen auf vielfältige Weise. Welche Anwendungsfälle für die Unternehmen dabei besonders wichtig sind und welche Rolle hierbei die Branchenzugehörigkeit spielt, hat Valantic in Zusammenarbeit mit dem Handelsblatt Research Institute (HRI) untersucht.‣ weiterlesen
Die EU fordert für eine Vielzahl von Produkten künftig einen digitalen Produktpass (DPP), der beschreibt, welche Komponenten, Materialien und Inhaltsstoffe enthalten sind und wie sie repariert, wiederverwendet und entsorgt werden. Bei der Erstellung helfen KI und ein Chatbot.‣ weiterlesen
Mehr als 75 Prozent der 50 weltweit führenden Maschinenbauunternehmen versprechen potenziellen Kunden – in der Regel Unternehmen des produzierenden Gewerbes – Produktvorteile in Bezug auf Nachhaltigkeit. Eine Studie von Siemens Financial Services (SFS) zeigt, wie Unternehmen aus dem Maschinenbau Nachhaltigkeit definieren und als Verkaufsargument nutzen.‣ weiterlesen
Im zweiten Teil des Artikels beschäftigt sich Autor Christopher Stradomsky damit, welche Auswirkungen das NIS2msuCG in der Praxis hat - am Beispiel eines Chipherstellers. Den ersten Teil dieses Artikels finden Sie auf dem Online-Portal der IT&Production.‣ weiterlesen
Datacenter-Spezialisten arbeiten hinter den Kulissen, sind aber entscheidend für die reibungslose Funktionsweise einer zunehmend vernetzten Welt. Juniper Networks, ein Anbieter von KI-nativen Netzwerkplattformen, beleuchtet den Arbeitstag eines Datacenter-Spezialisten.‣ weiterlesen
Am 14. und 15. Mai heißt es in Baden-Württemberg in Heilbronn willkommen zur All About Automation. Zwei Wochen später, am 3. und 4. Juni, öffnet die regionale Fachmesse für Industrieautomation, Robotik und Digitalisierung ihre Tore in Hamburg.‣ weiterlesen
INDUSTRIE 4.0 & IIoT-MAGAZIN Leseprobe
Zeitschrift für Industrie 4.0, Internet of Things & Digitale Transformation
Additive-Manufacturing-Branche zeigt sich optimistisch
Im Vergleich zum vergangenen Herbst rechnen mehr Unternehmen der Additive-Manufacturing-Branche mit positive Umsätzen. Auch für die nächsten 24 Monate prognostizieren die Unternehmen in der Frühjahrsumfrage ein Wachstum.‣ weiterlesen
AAS Dataspace for Everybody geht nächsten Schritt
Ein Ziel des AAS Dataspace for Everybody ist es, Unternehmen die Digitalisierung ihrer Fertigung niedrigschwellig zu ermöglichen. Zur Hannover Messe haben die Beteiligten die nächste Entwicklungsstufe des Projekts vorgestellt.‣ weiterlesen
