Erstes Grundlagenwerk für IT-Sicherheit industrieller Anlagen
27.11.2013 von Simon Hülsbömer
Industrieanlagen wie Automatisierungs-, Prozesssteuerungs- und Prozessleitsysteme (Industrial Control Systems, kurz ICS) fliegen oft unter dem Radar von IT-Security-Fachleuten. Das BSI möchte das ändern.
Mit dem 124-seitigen "ICS Security Kompendium" bringt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun erstmals ein Grundlagenwerk heraus, das die Betreiber von Industrieanlagen bei der Absicherung ihrer Produktions- und Steuerungs-Systeme unterstützen soll. Es adressiert unter anderem Energie- und Wasserversorger, Anbieter für Verkehrsleittechnik oder auch Unternehmen der Gebäude-Management-Branche.
Nicht nur mehr die physische Sicherheit wie der Helm ist in der industriellen Produktion von Bedeutung. Foto: christian42, Fotolia.com
Zum einen beschreibt der neue Katalog die Grundlagen der Anlagensicherheit, die ICS-Abläufe und die relevanten Normen und Sicherheitsstandards. Ebenfalls wird anhand von Fallbeispielen dargelegt, wie Unternehmen ihre ICS vor Cyber-Angriffen schützen können. Laut BSI eigne sich das neue Kompendium auch für den Einsatz in Lehre und Ausbildung, als Einstiegslektüre für Berufsanfänger und als Sensibilisierungs-Werkzeug für Hersteller und Integratoren.
Wie wichtig die Absicherung von Industrieanlagen ist, hat inbesondere der im Jahr 2010 in iranischen Atomkraftwerken entdeckte Stuxnet-Wurm gezeigt, der gezielt die dort eingesetzten Scada-Steuerungssysteme unterwanderte, um Zentrifugen zu manipulieren. Die Gefahr besteht aber bereits deutlich länger: Die gerade gestern veröffentlichte abschließende Analyse dieses Vorfalls beweist, dass es schon im Jahr 2005 einen ähnlichen, aber noch deutlich schwieriger aufzufindenden Schädling in derartigen Steuerungssystemen von Siemens gegeben hat. (mje)
Industrie 4.0 - auch eine Frage des Rechts -
Industrie 4.0 - auch eine Frage des Rechts Wenn Maschinen die Fäden in die Hand nehmen und Entscheidungen für Menschen treffen, stellt sich automatisch die Frage nach dem juristischen Hintergrund. Hier ist noch vieles offen. Folgende Aspekte sollten Sie im Blick behalten.
1. Wer handelt im Internet der Dinge? In unserer Rechtsordnung, ob im Zivilrecht, öffentlichen Recht oder Strafrecht, sind Handelnde und Zuordnungsträger von Rechten und Pflichten immer Menschen oder juristische Personen. Daran ändern auch M2M und IoT grundsätzlich nichts.
2. Vertragsabschluss durch Softwareagenten? Was ist, wenn die Initiative zum Abschluss einer Online-Transaktion vollautomatisiert abläuft, also eine Maschine selbst den Bestellvorgang als Nutzer auslöst? Hier stellt sich die Frage, wie sich die Verantwortung für den konkreten Rechtsakt (die automatisierte Willenserklärung und der beidseitig rein elektronische, voll automatisierte Vertragsabschluss) zuordnen lässt. Er beruht ja ausschließlich auf einem zeitlich weit vorausgelagerten, abstrakten Programmiervorgang, einem Rechtssubjekt.
3. Unternehmensübergreifende M2M-Systeme brauchen Regeln Werden komplexe M2M-Systeme unternehmensübergreifend aufgesetzt, kommt es nicht nur auf die technische Standardisierung, sondern auch auf die vereinbarten Nutzungsregeln an. Wie dürfen die Teilnehmer mit den Nutzungsergebnissen umgehen, und wie verhält es sich mit regulatorischer Compliance und Rechten Dritter, die der M2M-Nutzung entgegenstehen könnten (etwa Datenschutz, branchenspezifische Regulierung, Verletzung von Softwarepatenten oder sonstiger Rechte Dritter)?
4. Offene Fragen zu Logistik, Mobilität und Smart Home Weitgehend ungeklärte Fragen lassen sich an M2M- und IoT-Beispielen zeigen:<br>Doch wem gehören die Daten?<br>Wie steht es um die Produkthaftung - wer ist Hersteller, und welche Regressketten bauen sich auf? <br>Wer haftet für Konnektivitätsausfälle?
5. Wer haftet in vernetzten Wertschöpfungsketten? Wenn M2M der Schlüssel für vernetzte Wertschöpfungsprozesse ist, rückt automatisch auch die Frage der Haftung für mögliche Fehler und Ausfälle in den Vordergrund. Man wird zwischen der Haftung für fehlerhafte Datenquellen und Datenerzeugung einerseits und Fehlern in der Datenübermittlung andererseits unterscheiden müssen.
6. Unternehmen müssen Datenschutz im Blick behalten Der Datenschutz ist über den weiten Begriff personenbezogener Daten, zu denen auch dynamische IP-Adressen gehören können, und die Möglichkeiten komplexer Datenauslese (Big Data) etwa in den Bereichen Mobilität, Energie und Smart Homes grundsätzlich immer im Blick zu halten. Es gilt sorgfältig zu prüfen und gegebenenfalls mit den Behörden abzustimmen, ob und wie er sich mit "informierter Einwilligung", Inter-essenabwägung und Auftragsdatenverarbeitung wahren lässt.