Einbrecher und Wegelagerer – Netzwerke als Trittbrett
Warum? Was bewegt Menschen dazu, zum wiederholten Male ins Fitness Studio um die Ecke einzubrechen, um ausgerechnet das Trinkgeldsparschwein zu klauen, das angesichts schlechter Erfahrungen schon lange recht regelmäßig geleert wird. Warum macht das einer? Es begann während der Öffnungszeiten in einem unbeobachteten Moment, dann folgten Alarmanlage und Kameras zum Trotze der Einstieg über eine dann doch nicht gesicherte Dachluke, Seiteneingang, Fenster und so weiter. Dass der Inhalt besagten Schweines schon ab dem ersten Vorfall recht regelmäßig in sicheres Gewahrsam transferiert wird, spielt bei der Einbruchslust offenbar keine Rolle.
Mal ehrlich, und vor allem mal wirtschaftlich gedacht: was ist das denn für ein kläglicher Stundenlohn? Der Aufwand, der fehlende Nachtschlaf und die Risiken eines Einbruchs für läppische fünfzig oder sechzig Euro und ein mehr oder minder ansehnliches Sparschwein? Im beschriebenen Fall stehen beispielsweise hochwertige Ergometer und so fort griffbereit im Raum, und selbst die offen präsentierten Nahrungsergänzungsmittel haben einen realen Wert und sind im Vergleich zu den zugegebenermaßen klobigen Geräten leicht und schnell einzupacken. Warum zum Geier also machen Menschen sowas?
Einfach nur weil es geht? Weil die Sucht nach Methamphetamin bzw. Crystal Meth oder Online-Wetten die Realitätswahrnehmung leicht beeinträchtigt hat? Oder ging es nur darum, das Einbrechen an und für sich zu üben? Mutprobe?
Eine der möglichen Antworten ist recht simpel und sollte die Gedanken aber in eine konstruktive Richtung lenken. Sie lautet: egal. Letztendlich ist es egal, warum jemand einsteigt, Haus und Einrichtung beschädigt, etwas mitnimmt und für das eigentümliche Gefühl sorgt, das nur die kennen, die schon mal Opfer einer Straftat wurden. Es ist egal, denn unabhängig von den Motiven findet es zunächst einmal überhaupt statt! Es führt zu Schäden und es belegt, dass auch Angriffsziele, die das normale Gehirn im ersten Moment als bedeutungslos und unattraktiv abtun würde, durchaus eine Anziehung ausüben und im Fall einer erfolgreichen Straftat wiederholt Opfer eines Angriffs werden können.
Wer einsteigt braucht Wege
Wo ein Wille, da ein Weg, seien es Tore, Türen, dünne Wände oder Netzwerke. Eine alte angelsächsische Redensart besagt: To err is human, to really foul things up requires a computer. Wer immer diese Aussage im Ursprung getätigt haben mag, er oder sie hatte Weitblick. Denn bezogen auf das unbefugte Eindringen in Unternehmen würde das sinngemäß bedeuten: wer richtig Schaden anrichten will, der bediene sich simpler aber moderner Technik.
Dass Kriminelle dies beherzigen, zeigt die Nachrichtenlage regelmäßig. So berichtete zum Beispiel das Handelsblatt Anfang Februar über einen Cyber-Angriff auf ein österreichisches Telekommunikationsunternehmen, von dem einige Millionen Kunden in Form von Funkstille betroffen waren. Die Motive solcher Angriffe liegen mutmaßlich häufig in der Erpressung von Schutzgeldern. Wer nicht zahlt, muss darauf gefasst sein, Ziel einer DDos-Attacke oder ähnlich gestalteter Angriffe mit mehr als unangenehmen Konsequenzen zu werden
Gut, nicht viele von uns stehen wirklich in der Pflicht, die Verantwortung für ein Großunternehmen tragen zu dürfen. Deutschland und die Region DACH sind klassisches KMU-Terrain. Warum und wer sollte mein Unternehmen angreifen wollen, das möglicherweise überhaupt nicht in irgendeinem Fokus und schon gar nicht im Fokus der breiten Öffentlichkeit steht?
Hier gewinnt wiederum das Sparschwein und die Kollateralschäden aus der Einstiegsgeschichte an Gewicht und somit das Thema an Relevanz. Abgesehen davon werden auch und gerade kleine und mittelständische Unternehmen systematisch geleitet, und dabei geht es unabhängig davon, ob eines der zahllosen einschlägigen Frameworks ein explizites „Manage Security“ vorgibt, immer auch um das Thema Sicherheit. Es dürfte zumindest kein Fehler sein, sich ein systematisches Bild davon zu machen, an welchen Stellen und in welcher Weise das eigene Unternehmen konkret gefährdet ist. Erst dann wird es möglich, eine bewusste Entscheidung zu treffen, ob und welche Maßnahmen zu ergreifen sind. Letztendlich ist es wie bei vielen anderen Themen der Unternehmensführung eine Variation zum Thema „Plan – Do – Check – Act“.
Risikoanalyse – wissen was man tut
Was im Fahrwasser der Neuen Deutschen Welle mit „der Wäschetrockner flirtet mit dem Video und sendet Strahlen aus, ein elektronischer Zoo…“ besungen wurde, beschrieb SmartHome und Industrie 4.0 in visionärer Weise weit vor der Zeit und mündete in die schlichte Einsicht, „Computer sind doof“. Richtig. Netzwerke übrigens auch. In der breiten Masse sind es Standardkomponenten, die in privaten, geschäftlichen, institutionellen und industriellen Netzwerken und IT-Systemen in großer Zahl genutzt werden und deshalb auch so günstig sind. Und weil Computer doof sind, müssen Menschen dafür sorgen, dass sie keinen Schaden nehmen und keinen Schaden anrichten.
Bei der Einführung aber auch beim Überdenken und bei der Pflege von Sicherheitskonzepten bildet die Risikoanalyse eine wichtige Phase. Schließlich will niemand über den wirklichen Bedarf hinaus in Sicherheit investieren. Überspitzt formuliert würde niemand die pauschale Erweiterung der Deckung einer Hausratversicherung um Schäden durch Außerirdische erwägen, bevor sich die Existenz solcher wesen manifestiert hat und ein entsprechendes Schadensrisiko festgestellt wurde. Im Rahmen der Analyse muss das tatsächliche Unternehmen und seine Aktivitäten zu einem gegebenen Zeitpunkt betrachtet werden. Der Zeitfaktor spielt angesichts jüngerer Entwicklungen im Bereich Web2.0, Industrie 4.0 und so fort eine maßgebliche Rolle, denn Unternehmen entwickeln sich. Vereinfacht dargestellt muss im Rahmen der Analyse die Frage beantwortet werden, wie schwerwiegend die Konsequenzen eines Sicherheitsvorfalls in einem bestimmten Bereich wären und wie wahrscheinlich das Eintreten eines solchen Vorfalls ist. Es geht also wie immer um das Verhältnis zwischen erwarteter Schadenshöhe und der Eintrittswahrscheinlichkeit eines Ereignisses.
Im Vergleich zu reinen Dienstleistern bieten Unternehmen im Bereich der produzierenden Industrie und der Infrastruktur komplexere Szenarien, die bei der Risikoanalyse berücksichtigt werden müssen. Während reine Dienstleister zwar häufig sehr IT-lastig agieren und die entsprechenden Sicherheitsherausforderungen seit je her meistern müssen, existiert in anderen Branchen über Netzwerke und IT-Systeme ein Hebel, mit dem an der wirklichen Welt angesetzt werden kann. Die zunehmende Vernetzung von Baugruppen und Anlagen sowie die zunehmende Verbreitung von Fernzugriffen für Wartung und Monitoring in Industrie und Infrastruktur hat diesen Hebel in den vergangenen zwei Jahrzehnten extrem verlängert: kleine Incidents bzw. Angriffe können über diesen Hebel gewaltige Konsequenzen auslösen. Im Vergleich zu reinen Dienstleistern bieten Unternehmen im Bereich der produzierenden Industrie und der Infrastruktur komplexere Szenarien, die bei der Risikoanalyse berücksichtigt werden müssen. Während reine Dienstleister zwar häufig sehr IT-lastig agieren und die entsprechenden Sicherheitsherausforderungen seit je her meistern müssen, existiert in anderen Branchen über Netzwerke und IT-Systeme ein Hebel, mit dem an der wirklichen Welt angesetzt werden kann. Die zunehmende Vernetzung von Baugruppen und Anlagen sowie die zunehmende Verbreitung von Fernzugriffen für Wartung und Monitoring in Industrie und Infrastruktur hat diesen Hebel in den vergangenen zwei Jahrzehnten extrem verlängert: kleine Incidents bzw. Angriffe können über diesen Hebel gewaltige Konsequenzen auslösen.
Diese Kopplung von IT, Vernetzung und physischen Anlagen macht eine Schichtenanalyse erforderlich, bei der Netzwerksicherheit, Anlagensicherheit, Systemintegrität gleichermaßen berücksichtigt werden. Erst dann wird es möglich wirksame Prozesse einzuführen, die sich der Sicherheit widmen. Da die Netzwerke eben diese Verbindung zwischen reiner IT-Welt und physischen Anlagen bilden, muss ein Hauptaugenmerk auf der Netzwerksicherheit liegen. Denn wer gar nicht erst eine Verbindung zu einem IT-System oder der Leittechnik einer Anlage aufnehmen kann, ist frühzeitig abgewehrt. Wirksamer Schutz auf der Netzwerkebene wirkt global für das Gesamtszenario, wobei der Schutz vor unbefugtem Zugriff für direkt Eingriffe in Steuerungen genauso gelten muss wie für das Abhören und Manipulieren der Datenkommunikation.
Effizientes Security Management für die Industrie 4.0
Damit der mögliche Segen des Internet der Dinge nicht zum Fluch wird, braucht es technische und organisatorische Maßnahmen, die gewährleisten, dass sich in einer Risikoanalyse festgestellten Sicherheitsrisiken in einem akzeptablen Bereich bewegen. Offensichtlich ist: wo Automatisierung ist, ist auch Risiko. Es kann trotzdem nicht das Ziel sein, das Security Management als Selbstzweck oder neuer Unternehmensinhalt zu betreiben bzw. nur um Datenschützern und Zertifizierern zu gefallen. Es kann immer nur darum gehen, einen Regelbetrieb in sicherer Weise mit vertretbarem Aufwand aufrechtzuerhalten.
Berechtigungskonzepte, Verschlüsselung, Firewalls, Virenscanner usw. sind dabei Sicherheitsstandards, die weiterhin ihre Bedeutung haben werden. Darüber hinaus werden allerdings Big Data Analysen unter anderem wirksame Intrusion Detection und Prevention gewährleisten. So kann zum Beispiel festgestellt werden, inwieweit die die Beurteilung des Angriffspotenzials im Rahmen der Risikoanalyse richtig war, wie sich die Angriffslage verändert, und es zeigt sich auch, ob nicht irgendwo wenn nicht ein Sparschwein dann vielleicht ein anderer, zunächst nicht relevant erscheinender Angriffspunkt übersehen wurde….
Die notwendige Erfassung, Verarbeitung und Analyse der gewaltigen Datenmengen, die über industrielle Netzwerke übertragen werden, erfordert speziell darauf ausgelegte Software, die Angriffe erkennt und die Analyse von Angriffsversuchen maßgeblich unterstützt. DATATRONiQ Lösungen lassen sich in bestehende Anlagen integrieren. Sie werden entweder direkt auf den einzelnen vernetzten Geräten, wie Routern, Feldgeräten und SPS implementiert oder indirekt als Teil der IT-Infrastruktur im Rahmen eines kontinuierlichen Monitoring der Datenflüsse über das Netzwerk verwendet. Entsprechende Systeme und Erfahrungswerte helfen dabei, eine Arbeitsumgebung zu schaffen, in der sich die Betreiber voll auf die eigentlichen Aufgaben im Security Management konzentrieren können: straffe Prozesse und das akribische Berücksichtigen auch der allerletzten vernetzten Baugruppe, die zum Ziel einer Cyber-Attacke werden könnte.