Ich bin gerade dabei, ein Seminar „IT-Sicherheit in der Produktion“ zusammenzustellen. Das Thema scheint im Gegensatz zu den USA in Europa generell noch nicht richtig angekommen zu sein. Während drüben das US Department of Homeland Security richtig aktiv ist und Unternehmen dazu nötigt Sicherheitskonzepte für ihre Produktionsanlagen zu erstellen und zertifizieren zu lassen, basiert hier bei uns noch alles auf freiwilliger Basis. Das einzig brauchbare Konzept das ich bisher finden konnte, ist vom Bundesamt für Sicherheit in der Informationstechnik und hat den Titel „Schutz kritischer Infrastrukturen in Deutschland„.
Den meisten Administratoren und IT-Sicherheitsbeauftragten ist nicht mal klar, warum man die normalen Sicherheitskonzepte hier einfach nicht anwenden kann. Darum wird das Seminar mit folgender Übersicht eingeleitet:
Unternehmens-IT | Leittechnik | |
---|---|---|
Hauptrisiko | Verlust von Daten | Schaden an Leib und Leben, Umweltschäden, Zerstörung von Produktionsanlagen |
Risikomanagement | Wiederherstellung durch Reboot; Betriebssicherheit (safety) ist kein Schwerpunkt |
Fehlertoleranz überlebenswichtig; Explizite Gefährdungsanalysen (oft sogar gesetzlich vorgeschrieben) |
Ausfallsicherheit | Gelegentliche Ausfälle tolerierbar; Betatest im Betrieb akzeptabel (und bei Standard-Software oft üblich) |
Ausfälle nicht tolerierbar; Umfassende Qualitätssicherung notwendig |
Leistungsanforderungen | Hoher Durchsatz (Bandbreite) vom Benutzer verlangt; Verzögerungen und Schwankungen in der Qualität akzeptiert |
Bescheidene Durchsatzraten sind oft akzeptabel; Zeitverzug ist bei Produktionsanlagen ein Sicherheitsrisiko |
Sicherheit | Viele Standorte physikalisch kaum gesichert (Besuchsverkehr, etc.); Kaum Segmentierung interner Netzwerkbereiche; Fokus liegt in der Absicherung zentraler Dienste und Server |
Hohe physische Sicherheit; Unternehmensnetze von Produktionsnetzen oft streng getrennt (noch); Fokus liegt in der Zugangskontrolle sowie Betriebssicherheit und Verfügbarkeit |
Ich bin ja mal gespannt, ob diese Übersicht dem einen oder anderen Teilnehmer die Unterschiede in den notwendigen Sicherheitskonzepten klar macht.