 |
| | | | | Beschreibung | |
IT-Sicherheitsprobleme (Security), verursacht beispielsweise durch
werden innerhalb der industriellen Automatisierung zum großen Teil durch den Einsatz neuer Techniken begünstigt. Beispiel für neue Techniken ist die Ethernet-Technologie (IP-basierte Kommunikation) und die Integration dieser Technologie bis in die Feldebene (Sensor, Aktor) hinein. Die bisherigen harten Systemgrenzen der Automatisierungsinseln schmelzen zunehmend oder verschwinden gänzlich. Dies zeigt sich besonders beim immer stärker werdenden Einsatz drahtloser Kommunikationstechnologien (z. B. WLAN, Bluetooth, GSM, UMTS). Ferner werden Fernzugriffe nicht nur bis zum Leitsystem sondern bis auf den Sensor gewünscht (Diagnose, Wartung), wobei hierzu öffentliche oder private Kommunikationsnetze zur Verfügung stehen. Diese Entwicklung wird oft als vertikale Integration bezeichnet. In der Folge werden Automatisierungsnetze größer, komplexer und kommunizieren oft über öffentliche, inhomogene Netze.
Zugriffe auf Automatisierungsgeräte mit Standard IT-Werkzeugen vergrößern den Expertenkreis, da nahezu jeder ist in der Lage, mit http, email und ftp umzugehen. Die Security Aspekte in ihrer Gesamtheit werden jedoch häufig bei neuen Anlagenkonzepten vergessen oder ihm wird nur teilweise Rechnung getragen, d.h. man berücksichtigt einige Security Aspekte auf Grund „schlechter Erfahrungen“. Hier spielt das Bewusstsein in der Führungsebene eine ganz entscheidende Rolle. Hier werden die grundlegenden Security Ziele des Unternehmens definiert und finanzielle Mittel zum Erreichen der Ziele bereitgestellt bzw. eingeplant.
Mangelndes Bewusstsein, keine klare Definition der Security Ziele und entsprechend fehlende Maßnahmen sind verbreitet. Vor allem organisatorische Maßnahmen, z. B. Schulung von Personal, Absicherung des administrativen Aufwandes bezüglich Security, sind schwer umzusetzen und zu kontrollieren. Aus diesen und anderen Gründen besteht vielfach der Wunsch nach Umsetzung rein technischer Maßnahmen. Diese Vorgehensweise ist verständlich, endet aber häufig in (kosten-) aufwendigen, technischen Maßnahmen, die zudem schwierig zu administrieren sind. Schwachstellen durch mangelnde Administrierung werden häufig durch mangelnde oder mangelhafte Dokumentationen für IT-Geräte (z. B. für Infrastrukturgeräte) begünstigt.
Am Beispiel der Einrichtung einer Paketfilter Firewall oder eines IPSec basierten VPN Kanals zeigen sich in der Praxis große Schwierigkeiten. Ohne teilweise Kenntnisse von Netzwerkdiensten und Grundlagen kryptografischer Verfahren gestaltet sich der Umgang mit komplexen Geräten als schwierig. Unwissentlich werden ungewollte Netzwerkdienste oder Benutzer zugelassen, so dass beim zu schützenden Automatisierungssystem Tür und Tor offen stehen. Für eine einfache Inbetriebnahme werden oftmals die Werkseinstellungen im laufenden Betrieb unverändert genutzt. Hier zeigen sich klare Defizite im Umgang mit Sicherheitstechnik. Ein Hersteller kann hierzu unterstützend beitragen, in dem er z. B. unterschiedliche Werkseinstellungen (Passwort, Schlüssel) je Produkt verwendet und klare Angaben über die Leistungsparameter des Produktes macht.
Security Probleme rühren einerseits von den genannten Schwachstellen (administrative Probleme, Implementierungsfehler) her. Anderseits basieren Probleme auf konkrete Gefährdungen. Die Bundesanstalt für Sicherheit in der Informationstechnik (BSI) führt hierzu einen umfassenden Gefährdungskatalog. Hieran ist zu erkennen, dass Security Probleme sich nicht in Probleme von außen oder innen unterscheiden lassen. Das Gefährdungspotential ist davon unabhängig. Es ist auch erkennbar, dass passive Angriffe (Abhören) im Wesentlichen kaum zu detektieren sind. Sie ist als immerwährende Gefährdung zu betrachten.
| |
| | | | | | | | | | | | | Zu dieser Seite wurden noch keine Kommentare oder Bewertungen abgegeben. |
|
| | | | |  | Übergeordnet | | | | | | | | | | | Ursachen für Security-Probleme... | | | | |  | Untergeordnet | | | | | | | | | | | | | | | | | | | | | Weitere Themen | | | | | | | | | | |
|
Glossar 
Forschungsprojekte 
Anbieterverzeichnis 
Datenbanksuche 
Highlights 
Eintrag kommentieren
