Industrie Sicherheitsstandard

Mit der zunehmenden Digitalisierung und Einbindung von "Internet of Things" (IoT), auch Industrie 4.0 genannt, wird es in Zukunft essentiell wichtig sein die Sicherheit und den "noch" nicht vorhandenen Sicherheitsstandard in der Industrie voranzutreiben.
Von einem klar definierten Industrie Sicherheitsstandard können wir noch nicht sprechen.

Aufgrund des hohen Risikos durch häufende Cyberattacken im Bereich der Informationstechnologie ( IT ) sollten Industrieunternehmen ein großes Augenmerk auf die Sicherheit Ihre IT-Netzwerke von außen nach innen legen.

Das Kaspersky Security Network identifizierte bis Ende des Jahres 2014 etwa 13.000 Vorfälle im Monat, bei denen Computer mit automatischen Prozesskontrollsystemen beispielsweise von Siemens, Rockwell, Wonderware, General Electric, Emerson und anderen Firmen mit gefährlichem Code infiziert werden sollten. Quelle: Kaspersky Lab - Newsroom

Aus Risikosicht lohnt sich ein Blick auf die gegenwärtig vorhandenen IT-Sicherheitskonzepte, die es bereits für die Industrie gibt.

Unsichere Webschnittstelle

• Schwache Passwörter, wie z.B. 123456 dürfen nicht verwendet werden.
  
• Es sollte unbedingt ein Sperrmechanismus für Konten eingerichtet werden
  
• Die Aktivierung der Zwei-Faktor-Authentifizierung stellt eine zusätzliche Absicherung Ihres Systems dar.
• Eine "gesicherte" HTTPS-Verbindung ist mittlerweile Standard und gewährleistet eine sichere Übermittlung der Daten / Informationen
  
• Moderne Firewalls (Hard- und Software) wehren die meisten Angriffe von außen ab und sichern zusätzlich Ihre IoT Anwendung

Unzureichende Authentifizierung / Autorisierung

• Verwenden Sie keine Standard-Benutzernamen wie z.B. admin - Administrator
• Wenn Ihr System die Möglichkeit hat, Benutzerberechtigungen festzulegen, sollten Sie die Benutzerberechtigungen auf das für den Betrieb erforderliche Minimum einstellen
• Verlangen Sie "sichere" Passwörter
• Wenn das System die Möglichkeit hat, neue Passwörter nach 90 Tagen zu erfordern, stellen Sie sicher, dass das aktiviert ist

Unzureichende Netzwerkdienste

• Aktivieren Sie Firewall Optionen oder installieren Sie eine Hardware-Firewall und unterbinden Sie Zugriffe außerhalb Ihres Client-Netzwerkes.
• Um Ihre IoT-Systeme von kritischen IT-Systemen zu isolieren, ist eine Technologien Einbindung von Netzwerksegmentierungen anzuraten.

Wie bewältigt "Siemens" die gestiegenen Anforderungen?

Privatsphäre

• Geben Sie keine sensiblen Informationen in das System ein, die nicht unbedingt erforderlich ist, z.B. Adresse, DOB, CC, etc.
• Verweigern Sie die Sammlung von Daten, wenn diese nicht notwendig für den ordnungsgemäßen Betrieb des Gerätes benötigt werden

Unsichere mobile Schnittstelle

• Wenn die mobile Anwendung die Möglichkeit hat, eine PIN oder ein Passwort zu erfordern, sollten Sie diese für zusätzliche Sicherheit (auf Client und Server) verwenden.

Unzureichende Sicherheitskonfigurierbarkeit

• Eine Aufzeichnung / Protokollierung hilft Ihnen bei Bedarf die Sicherheitslücken zu finden und basierend darauf diese zu beheben.
  
• Push-Benachrichtigungen dienen zur sofortigen Verständigung bei abweichenden Vorgängen
• Der Verschlüsselungsstandard sollte auf zumindest AES-256 festgelegt sein

Unsichere Software / Firmware

• Prüfen Sie regelmäßig auf verfügbare Updates und installieren diese im Bedarfsfall !
  

Quelle: https://www.owasp.org/index.php/IoT_Security_Guidance