6. Round Table „Industrial Security“ fand bei hanseWasser statt

Der nunmehr bereits sechste Roundtable zum Thema Industriesicherheit fand Ende November in der Überseestadt beim Regionalabwasserentsorger hanseWasser Bremen GmbH statt. Eingeladen hatte mal wieder das Freie Institut für IT-Sicherheit (IFIT), die diesen Roundtable ursprünglich ins Leben gerufen hatte. Diskutiert wurde einmal mehr wie die Welt der Office-IT und die vernetzte Automatisierungstechnik zusammenwachsen können, ohne die IT-Sicherheit dabei zu vernachlässigen. Dazu gab es einen interessanten Impulsvortrag von Prof. Dr. Niemann von der Hochschule Hannover.

Zum Start der Veranstaltung stellte sich allerdings die hanseWasser Bremen GmbH erst einmal selbst kurz vor. Als Bremer Abwasserentsorger und Umweltdienstleister ist das Unternehmen als Betreiber des Bremer Kanalnetzes, der „Stadt unter der Stadt“, untrennbar mit der Freien Hansestadt Bremen verbunden. 50 Millionen Kubikmeter Abwasser werden pro Jahr durch über 2.300 km Straßenkanäle gepumpt. Dazu sind 200 Pumpenwerke notwendig. 700 km Kanalreinigung pro Jahr müssen durchgeführt werden, um den Ablauf auch kontinuierlich reibungslos gestalten zu können. Zusätzlich agiert man aber auch nachhaltig, da 24 Mio. kWh durch regenerative Energieerzeugung selbst hergestellt werden. Die Thematik IT- und OT-Netze gemeinsam sicher zu betreiben besitzt hanseWasser ebenfalls, weil man ein sog. kritisches Netz (KRITIS) betreibt. Dieser Aufgabe hat man sich aber bereits seit längerem gestellt, weshalb man inzwischen sogar BSI-zertifiziert ist.

In seinem anschließenden Impulsvortrag ging Prof. Dr. K.-H. Niemann von der Hochschule Hannover auf die Grundproblematik gemeinsamer IT- und OT-Netze ein und wie eine Zusammenarbeit gelingen kann. Er ist Mitglied des Forschungsclusters Industrie 4.0, welches an der Hochschule Hannover gegründet worden ist. Während IT-Netze hauptsächlich in Büroumgebung laufen, werden OT-Netze in der Prozessleittechnik eingesetzt und beinhalten Embedded-Systeme. Dabei wachsen beide Netze immer mehr zusammen und eine Trennung gestaltet sich daher zunehmend schwieriger. Während die IT große Erfahrung im IT-Sicherheitsbereich bereits besitzt, werden OT-Systeme über einen langen Zeitraum betrieben, bei der hauptsächlich die Verfügbarkeit im Vordergrund steht. Neben den technischen Problemen gibt es aber auch organisatorische, da die Zuständigkeiten nicht mehr eindeutig geregelt werden können. Zudem haben viele Industrieunternehmen (ca. 39%) keinen Sicherheitsbeauftragten oder entsprechende Sicherheitsrichtlinien. Auch wird in OT-Umgebung häufig kein Budget für IT-Sicherheit eingeplant. Hinzu kommt die fehlende Abstimmung zwischen IT und OT.

Abbildung: Kostenloser Leitfaden der Hochschule Hannover zur sicheren Produktionsanlage
Abbildung: Kostenloser Leitfaden der Hochschule Hannover zur sicheren Produktionsanlage

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erweitert momentan den IT-Grundschutz auf den OT-Bereich, da klassische Gefährdungslagen auch in diesem Umfeld inzwischen vorhanden sind. Dabei spielt die Einbindung in die Sicherheitsorganisation eine wichtige Rolle. Optimal wäre daher laut des Referenten ein gemeinsamer Sicherheitsbeauftragter, der für IT/OT gleichermaßen zuständig ist. Viele Unternehmen fokussieren allerdings eher auf den Aspekt Technologie und vernachlässigen den organisatorischen Aspekt. Um die IT-Sicherheit im Produktionsumfeld einzuführen wurde daher von Prof. Dr. K.-H. Niemann ein Leitfaden geschrieben, der frei erhältlich ist (siehe Abbildung).

Jens Bußjäger von Achtwerk stellte abschließend die Frage nach den helfenden Händen. Sicherheitsvorfälle gibt es bereits genug im OT-Bereich, aber es ist den meisten Unternehmen noch nicht klar an wen sie sich wenden können, wenn ein Schadensfall vorliegt. Das BSI ist dafür auf jeden Fall die falsche Anlaufstelle, wie Prof. Dr. Kai-Oliver Detken von der DECOIT GmbH meinte. Hier sind IT-Spezialisten gefragt, die vom BSI letztendlich auch bei „Gefahr im Verzug“ angefordert werden. Besser wäre es daher die IT-Experten des IFIT zu kontaktieren, zu denen u.a. auch die DECOIT GmbH zählt. Mit deren Hilfe lassen sich Risikoanalysen zur Verminderung von Angriffsflächen durchführen oder Notfall-Recovery-Maßnahmen definieren. Denn aktuell handelt es sich bei den meisten Vorfällen nicht mehr nur um zufälliges Infizieren durch einen Virus, sondern um gezielte Angriffe. Mittels Verschlüsselungstrojaner wird bei Angriffserfolg dann die Freigabe der Daten erpresst, was für ein Unternehmen einen extrem hohen Schaden, neben dem Imageverlust, bedeuten kann. Dieser Fall kann sogar zum Kollaps des Unternehmens führen. Das IFIT hat daher sich zum Ziel gesetzt einen eigenen Leitfaden zu entwickeln, der eine Kurzempfehlung für Unternehmen abgeben soll. Dafür muss man allerdings noch die entsprechende Zielgruppe definieren, was beispielsweise eine Aufgabe des nächsten Roundtables sein könnte.

Zurück