Fachartikel aus PROTECTOR 7-8/2017, S. 57

IT-Sicherheit Vernetzte Unsicherheit

Das „Internet of Things“ (IoT), Industrie 4.0, BYOD, Mobile Devices, Ransomware: Diese und viele andere Begriffe schwirren seit geraumer Zeit durch die Medien und stehen gemeinsam für eine immer unübersichtlich werdende Sicherheitslage.

Bild: Markus Wegner/Pixelio
Die Vernetzung bietet Chancen, birgt aber auch Risiken. (Bild: Markus Wegner/Pixelio)

Bis auf den Begriff Ransomware haben alle diese Begriffe eine Gemeinsamkeit: Sie wurden nicht erfunden, um uns unsicherer zu machen, sondern weil darin Chancen gesehen wurden, die Effizienz von Arbeit und Produktion zu steigern und neue Produkte und Dienstleistungen zu entwerfen. Es werden in ihnen große wirtschaftliche Chancen identifiziert, die nur darauf warten, genutzt zu werden. Mit neuen Technologien gehen auch immer neue Risiken einher. Zu oft haben Angriffe auf die IT von Unternehmen zum Abfluss von Informationen, Produktionsausfällen oder Image-Schäden geführt. In den neuen Technologien besteht jedoch immer auch eine Chance, aus alten Fehlern zu lernen und diesmal alles richtig zu machen. Damit das möglich ist, muss in Unternehmen eine solide Grundlage geschaffen werden, die in der Lage ist, neue Technologien auch sicher zu integrieren. Sicherheit muss dafür ganzheitlich gedacht werden.

Das fängt dabei an, Sicherheit von den Herstellern zu fordern. Die Ausgaben der Hersteller für die Verbesserung der Sicherheit der Produkte durch unabhängige Sicherheitsüberprüfungen und Anstrengungen in der Qualitätssicherung und bei der Konzeption müssen sich lohnen, sonst fehlt die Motivation, Sicherheit bei der Entwicklung ernst zu nehmen. Sicherheit und Security-by-Design müssen ein Verkaufsargument werden, indem der damit verbundene Aufpreis in Relation zum dadurch abgewendeten Risiko betrachtet und honoriert wird.

Zur Person

Rainer Giedat ist Technischer Geschäftsführer, Forschung & Entwicklung bei Nside Attack Logic GmbH



  • Seit 2000 in der IT-Security beschäftigt, davon mehrere Jahre als Software-Entwickler von Sicherheitssystemen, als Systemadministrator und ITSicherheitsverantwortlicher.
  • Durchführungen von Hacker-Angriffen und Sicherheitsüberprüfungen auf die IT der Kunden in enger Zusammenarbeit mit diesen, um die Sicherheit zu testen und zu verbessern.
  • Entwicklung und DurchführunDurchführung von individuellen Schulungen und Workshops.

Ein fundamentaler Grundsatz war schon immer die Trennung nach Gefährdungspotential und Schutzbedarf. Schon in den Anfangszeiten des Internet war klar, dass die Trennung des sensiblen internen Netzwerks vom gefährlichen Internet da draußen eine gute Idee ist. Es hat sich jedoch herausgestellt, dass diese Trennung auch zwischen den internen Netzen selbst viele Gefahren eindämmen kann. Durch den ständigen Austausch von Dokumenten mit externen Personen sind vor allem Marketing-Abteilungen, Vertriebsmitarbeiter und Assistenten stärker gefährdet, auf eine E-Mail mit Phishing oder Trojaner hereinzufallen, als vielleicht andere Mitarbeitergruppen.

Wir haben bei unseren Tests regelmäßig um die 40 Prozent „Erfolgsquote“ bei den ersten Phishings, unabhängig von Größe und Branche des Unternehmens. Damit diese Sicherheitsvorkommnisse möglichst geringe Auswirkungen auf die Produktion und die Forschungs- und Entwicklungsabteilungen haben, müssen die verschiedenen Netze gut getrennt sein. Vollständig verhindern kann man solche Vorfälle nie, sie lassen sich aber durch eine strikte Trennung der Netze und eine Rechtevergabe auf Daten und Systeme nach dem Needto-Know-Prinzip eindämmen.

Die vollständige Vernetzung aller Geräte des „Internet of Things“ und aller Systeme einer vollvernetzten Produktion mit Industrie 4.0 auf der einen Seite und eine Segmentierung der Netze auf der anderen scheinen sich dabei auszuschließen. Damit dort Industrie 4.0 wahr wird, müssen Entwicklung und Produktion eng gekoppelt sein, um Zeit zu sparen und gezielt auf Kundenwünsche reagieren zu können. Damit wachsen auch Bereiche zusammen, die früher getrennt waren, etwa Office- und Produktions-IT. Auf den zweiten Blick wird jedoch klar, dass die Trennung bei geeignet gesetzten und gesicherten Übergängen zum Informationsaustausch zwischen den Netzen größtenteils aufrecht erhalten bleiben kann.

Mehr auf Sicherheit.info

Grundlegend ändert sich für die IT-Security also auch durch die neuen Technologien nicht viel. Verantwortliche müssen immer wissen, welche Systeme und Daten ihres Unternehmens im Internet auffindbar sind, ihre Netze und Daten trennen, ihre IT auch intern so absichern, wie man das bei externen Netzen tun würden, und die Mitarbeiter sensibilisieren. Zum Schluss sollte man natürlich testen, ob die Sicherheitsvorkehrungen ausreichend sind. Am besten im Auftrag von einem vertrauenswürdigen Partner – bevor es jemand anderes tut.