Seit 2019 arbeitet die weyer gruppe – eine lieferantenunabhängige Gruppe von Ingenieurbüros für verfahrenstechnische Anlagenplanung und Anlagensicherheit – mit Thomas Käfer zusammen und erweitert so ihre Betrachtungen der funktionalen Sicherheit von Anlagen und Maschinen um die Cyber-Security-Komponente. Neben Schulungen und Beratung bietet die weyer gruppe ein Kolloquium zum Thema an, das am 18. Juni 2020 in Düren stattfindet.
Standardverfahren zur Erhöhung der IT-Sicherheit sollten konsequent eingesetzt werden
Die Digitalisierung durchdringt alles: Früher isolierte Systeme werden vernetzt und gleichzeitig werden Angriffe auf IT-Systeme zu einer immer realeren und schwerwiegenderen Bedrohung.
Also sollte man davon am besten die Finger lassen, lieber weiterhin auf isolierte und vollständig abgeschottete Systeme setzen und sie durch geheime, eigenentwickelte Sicherheitsmaßnahmen so schützen, dass niemand sie (unbefugt) nutzen kann? „Digitalisierung“ ist auch nur so eine Modeerscheinung! Dann wäre man Unterlasser und nicht Unternehmer. Aber IT-Security wird von vielen Entwicklern und Betreibern als lästigen Stolperstein gesehen und steht einer schnellen Lösung oft im Weg. Es ist jedoch schwierig bis unmöglich, IT-Sicherheit nachträglich in ein fertiges Produkt zu integrieren.
Dabei sollte IT-Sicherheit – als früher Bestandteil der Entwicklung – als Enabler gesehen werden und ein neues digitales Geschäftsmodell sogar erst ermöglichen. Denn ohne eine wirksame Absicherung gegen eine Vielzahl von Angriffen wird eine möglicherweise clevere Geschäftsidee sabotiert, kompromittiert, kopiert und abgeschöpft. Hierfür gibt es erprobte und etablierte Verfahren, die man einfach nur anwenden muss.
Während verschiedener Projekte ist immer wieder aufgefallen, dass dies vielfach immer noch nicht umgesetzt wird. So fanden sich in bisher allen von Autor untersuchten IT-Systemen vom Smartphone über vernetzte KFZ bis hin zur Industriesteuerungsanlage eklatante Sicherheitslücken, die auf Unkenntnis und Ignoranz der Entwickler und/oder falschen unternehmerischen Entscheidungen zurückzuführen sind.
Ein Beispiel aus der Welt der Industriesteuerungsanlage (OT)
Zur Durchführung eines Penetration-Tests an einem (zugekauften) Steuerungscomputers wurde von einem Hersteller von Gas-Misch-Anlagen ein fertig konfiguriertes Embedded System zur Verfügung gestellt. Alle Versuche, das System wirksam zu attackieren und Informationen offen zulegen, scheiterten zunächst, u. a. auch, weil der Pen-Tester einfach Pech hatte. Er war beim Erraten der Benutzerkennung um einen Buchstaben haarscharf am Ziel vorbeigeschossen und so förderte die statische Analyse zunächst keine Benutzerkennungen zu Tage.
Sollten die Passwörter tatsächlich sauber gehashed (also verschlüsselt) abgelegt worden sein?
Hier können Sie den gesamten Artikel online lesen.
Weitere Informationen zum Leistungsportfolio der weyer gruppe und Herrn Thomas Käfer finden Sie hier.