Risiken in produktionsnahen IT-Systemen transparent machen

Strategie: bescheidenheit

10.10.2006 Über Hackerangriffe auf Produktions-IT-Systeme ist wenig zu hören. Trotzdem – und das auch mit gutem Recht – rückt die Produktion in den Fokus von IT-Risikobetrachtungen. Woran liegt das? Was sind die Bedrohungen? Worin unterscheiden sich die Gefährdungen im Produktionsbereich von den Gefährdungen in der „klassischen“ Büroumgebung? Wie geht man bei der Beurteilung der Risiken vor? Und schließlich: Was kann man von der Strategie der Extrembergsteiger lernen?

Anzeige

Basel II, SOX (Sarbanes Oxley Act), US Patriot Act und weitere Regelungen fordern eine seriöse Antwort auf diese Frage. Die Chefetage hat ihre Verantwortung wahrgenommen und die „datenintensiven“ administrativen Unternehmensbereiche auf Risiken untersucht. Als Nächstes gerät jetzt der Bereich der Produktion in den Fokus. Dort herrschen jedoch gänzlich unterschiedliche Anforderungen – das bedeutet, dass Vorgehensweisen, Maßnahmen, Verantwortlichkeiten, Consultants und Prüfer auf die Produktion – den Plant Floor – abgestimmt werden müssen. Die meisten Menschen verstehen unter „IT-Security“ Komponenten und Software, wie etwa Verschlüsselungssoftware, die dazu dient, vertrauliche Daten vor unerlaubten Zugriffen zu schützen. Häufig wird das Bild des Hackers strapaziert, welcher aus dem Auto mit dem Laptop über Wireless Technologien unliebsame Eingriffe an sensiblen Stellen im Unternehmen vornimmt. Nur allzu gerne werden vorschnelle Maßnahmen gegen solche Angriffe empfohlen.

Die Risiken in den produktionsnahen IT-Systemen, wie den Prozessleitsystemen (PLS), den Laborsystemen (CDS, LIMS), Advanced Control oder Manufacturing Execution Systemen (MES), unterscheiden sich deutlich von denen der Bürowelt. Entsprechend sind auch die Schutzmaßnahmen anzupassen. So manche Maßnahme, die in der Bürowelt opportun erscheint, kann in der Produktionsumgebung sogar kontraproduktiv sein. Um dies zu verdeutlichen, sollen die zwei wesentlichen Aspekte der „IT-Security“ näher beleuchtet werden:
Der erste Aspekt ist die Verfügbarkeit (Availability). Ob die Steuerung des Prozesses bzw. der Maschine mit PLS/SPS-Systemen, die Bedien-Beobachtung, die Produktionsplanung oder das Qualitätswesen: Viele Vorgänge im Produktionsbereich werden durch IT-Systeme unterstützt. Der Produktionsablauf wird direkt und maßgeblich davon beeinflusst, ob die Systeme unterbrechungsfrei arbeiten. Während Ausfälle von fünf Minuten im Office-Bereich problemlos toleriert werden können, wäre der Ausfall eines Raffinerie-PLS im gleichen Zeitraum fatal.
Der zweite wesentliche Punkt ist die Vertraulichkeit (Confidentiality). Laut BS ISO/IEC 17799:2000 ist Vertraulichkeit wie folgt definiert: „Gewährleistung des Zugangs zu Informationen nur für die Zugangsberechtigten.“ Vertraulichkeit ist das klassische Sicherheitsziel des administrativen Unternehmensbereichs. Doch auch in der Produktionsumgebung sind häufig schützenswerte Informationen zu finden, wie Rezepturen, Produktionsergebnisse oder Informationen zur Anlagensicherheit.
Weitere Aspekte, die beispielsweise in der Pharma-Industrie von Bedeutung sein könnten, sind die Nichtbestreitbarkeit (Non Repudiation) und die Auditierbarkeit (Auditability).

Funktionssicherheit versus Informationssicherheit

Um den Aufgabenstellungen im Produktionsbetrieb gerecht zu werden, muss zunächst der Begriff „IT-Security“ durch den Begriff der „Funktions- und Informationssicherheit“ ersetzt werden. Landläufig versteht man unter „IT-Security“ die Maßnahmen zur Erzielung höherer Vertraulichkeit. Das Augenmerk des Produktionsbetriebs liegt auf der Aufrechterhaltung der Systemfunktion (Funktionssicherheit).

Wichtig ist dabei die Erkenntnis, dass Maßnahmen zur Verbesserung der Verfügbarkeit zunächst die Bereiche Logistik und Organisation betreffen. Die Klärung von Fragen, wie beispielsweise das Vorhandensein von Ersatzteilen, die regelmäßige Überwachung des Systemstatus, Verfügbarkeit von Backups etc., sind von Bedeutung. Die technologischen Maßnahmen, welche im „klassischen“ IT-Bereich (Office) zur Erhöhung der Sicherheit führen, zum Beispiel Firewall oder Virenscan, erscheinen auch im Bereich der produktionsnahen IT-Systeme als sinnvoll. Jedoch: Der Einbau einer Firewall birgt gleichzeitig weitere Risiken in der Systemlandschaft. Egal wie hoch die Verfügbarkeit der zusätzlichen Systemkomponente ist: Die Gesamtverfügbarkeit des Systems wird zunächst allein durch das Vorhandensein einer neuen Komponente herabgesetzt. Eine sorgfältige Abwägung der Maßnahme ist demnach notwendig.

Messung von Sicherheit

Kann die Frage nach der IT-Sicherheit überhaupt klar beantwortet werden? Kann Sicherheit gemessen werden? Sicherheit wird definiert durch „die Abwesenheit von nicht tolerierbarem Risiko“. Will man die Frage nach der Sicherheit beantworten, dann müssen die möglichen Risiken bewertet werden. Die Risikohöhe bestimmt sich zum einen aus der Wahrscheinlichkeit des Auftretens einer Bedrohung und zum anderen aus dem damit in Zusammenhang stehenden Schadensausmaß. Liegen die „möglichen Risiken“ im tolerierbaren Bereich, dann kann die Frage nach der Sicherheit positiv beantwortet werden. Wenn nicht, dann sind gezielt Maßnahmen vorzusehen, die das Risiko in den tolerierbaren Bereich (Restrisiko) zurückdrängen.

In der Praxis sind für ein Sicherheits-Assessment zwei Faktoren entscheidend: Die Erfahrung der Assessoren und die Mitwirkung der Systemnutzer, kombiniert mit der Verfügbarkeit von unterstützenden Werkzeugen. Unter Werkzeugen sind in diesem Fall eine systematische Vorgehensweise und vorkonfektionierte Listen für Bedrohungen, Objekte und Funktionen zu verstehen. Auf Basis dieser „Tools“ werden dann mit einem interdisziplinären Team Risiken bewertet, Schutzziele definiert, Prüflisten erzeugt und Ergebnisse ausgewertet und ggf. mit Benchmarks verglichen. Ein gutes Assessment zeichnet sich dadurch aus, dass die generelle Frage nach der Sicherheit auch für Nichtspezialisten beantwortet wird.

Was also tun? Für Maßnahmen zur Erhöhung der Sicherheit gilt generell: Weniger ist oft mehr. Jede zusätzliche Hard- oder Softwarekomponente ist kritisch zu betrachten, auch wenn diese höhere Sicherheit verspricht. Genau auf diese Strategie setzen Extrembergsteiger, wenn es darum geht, schwierige Routen und hohe Berge zu bezwingen: Das Minimum an Last im Rucksack, an Kameraden und an Aufenthaltsdauer in der Gefahrenzone bringt ein Maximum an Sicherheit. Unterstützt wird diese Strategie durch zwei Maßnahmen: Training und Risikoanalyse.

Heftausgabe: Oktober 2006

Über den Autor

Erwin Kruschitz , Vorstand, Anapur
Loader-Icon