Sicherheit ist die Kernkompetenz des TÜV Rheinland. Im industriellen Umfeld längst bekannt in Sachen \’Safety\‘, ist der TÜV Rheinlandauch ein Ansprechpartner für die IT-Sicherheit, gerade im industriellen Umfeld. Im Folgenden werden die aktuellen Security-Trends aus Sicht des TÜV Rheinland aufgezeigt.
Komplexe gezielte Angriffe
2014 liegt der Fokus auf Lösungen, die den herkömmlichen Virenschutz, der seit 25 Jahren im Einsatz ist, ergänzen können. Es wird ein Umdenken stattfinden müssen: Ja, Prävention hilft bei 80 bis 85% der Bedrohungen, beim \’Rest\‘ funktioniert die bisherige Prävention einfach nicht in ausreichender Form. Eine wirksame Bekämpfung komplexer gezielter Angriffe (APT) muss nicht nur die Sicherheitsarchitektur, sondern die komplette Infrastruktur des Unternehmens und die Prozesse miteinbeziehen. Es wird wesentlich sein zu akzeptieren, dass Unternehmen und Behörden früher oder später kompromittiert werden oder bereits kompromittiert sind. Die richtige Reaktion auf diese veränderte Risikoakzeptanz kann aber nicht sein, noch mehr Prävention zu betreiben, sondern Lösungen einzusetzen, die vor allem darauf abzielen, den Zeitraum zwischen dem Erkennen einer Infektion und der Behebung des Problems auf ein Minimum zu reduzieren. In anderen Ländern, wie z.B. Israel, ist das längst verstanden, aber auch hierzulande wird sich das herumsprechen müssen.
Ganzheitliche Informationssicherheit
Viele Dinge werden aus unserer Sicht noch viel zu punktuell betrachtet: meine Firewall, mein Antivirus, mein DLP. SIEM-Systeme (Security information and event management) haben die Aufgabe, die Informationen aus diesen Systemen zu korrelieren. In Zukunft werden wir uns verstärkt damit auseinandersetzen müssen, eine Vielzahl von Informationen zu sammeln und auszuwerten. Noch sind die Algorithmen für die Auswertung aber viel zu ungenau, was dazu führt, dass Schadensereignisse viel zu spät oder gar nicht erkannt werden. In Zukunft muss es darum gehen, die Flut an Informationen zuverlässig auszuwerten und die Ergebnisse weiter zu verfeinern und zwar durch intelligente Big-Data-Analysen. Wir von TÜV Rheinland setzen seit 2014 Security Incident Response Teams ein, die dem Kunden die Arbeit abnehmen und den Feind im Netz schnell erkennen und stoppen.
Kritische Infrastrukturen
Wenn wir uns die Sicherheit kritischer Infrastrukturen in Europa anschauen, dann müssen wir feststellen, dass die einzelnen Komponenten wie etwa die Wasserwerke oder die Stromversorgung nur rudimentär geschützt sind und dass die technische Umgebung leider noch viel zu oft getrennt von der IT betrachtet wird. Man wird ein Verständnis dafür entwickeln müssen, dass es von entscheidender Bedeutung ist, das komplette Bild zu sehen. Nur wer sowohl die technische als auch die digitale Welt und ihr Zusammenspiel begreift, wird auch automatische Alarmierungs-, Analyse- und Auswertungsmöglichkeiten schaffen, so die Bedrohungen identifizieren, die Risiken bewerten können und wirksame Schutzmaßnahmen ergreifen können.
Internationalisierung/Mobilität
Der Trend zur Mobilität von Kommunikation und Business und der Internationalisierung von Unternehmen wird weiter zunehmen. Unternehmen müssen sich im Klaren darüber sein, dass ihre Mitarbeiter immer häufiger vor und nicht hinter der Firewall sitzen. Die traditionelle Trennung zwischen Innen = Unternehmensnetzwerk und Außen = Internet wird immer mehr aufweichen. Umso wichtiger wird es sein, den Zugang zu Unternehmensservices und Web-Applikationen von außen so sicher wie möglich zu gestalten.
Application Security
Bislang wird Software häufig nur funktional auf Performance und Usability getestet. Im Sinne einer nachhaltigen Entwicklung wird Security immer öfter bereits während ihres Entwicklungsprozesses als wesentliches Leistungsmerkmal berücksichtigt werden. In den USA setzt sich der Ansatz, schon während des Developments Löcher zu stopfen, die Hacker später ausnützen könnten, gerade immer stärker durch. Ob Standard-Anwendung oder Inhouse-Applikation: Wer sich hier frühzeitig externe Hilfe holt, spart später nicht nur viel Geld, sondern gewinnt aufgrund der Qualität der Anwendung auch an Image.
Cloud
User von Cloud-Services werden verstärkt Transparenz und Qualität einfordern. Provider werden sich um Qualitätssicherung und den Nachweis darum bemühen müssen, wenn sie dauerhaft Erfolg am Markt haben wollen. Grundsätzlich wird der Cloud-Markt im Laufe von 2014 eine erhebliche Dynamik erfahren. US-amerikanische Provider drängen stärker auf den europäischen Markt. Auch der Start der Handelsplattform der Deutschen Börse Cloud Exchange (DBCE), bei der Käufer von IaaS-Ressourcen ein hohes Maß an Standardisierung voraussetzen können, gibt einen zusätzlichen Impuls in den Cloud-Markt. Dem Vertrauen der DBCE förderlich wird sein, dass das Zulassungsverfahren für die Anbieter von Cloud-Services vom TÜV Rheinland gemeinsam mit der Deutschen Börse Cloud Exchange AG konzipiert wird, das heißt: Die Teilnehmer erwartet auf der Handelsplattform auch ein hohes Maß an Sicherheit. Wie die in Europa weiterhin sehr wichtige Frage der Vertrauenswürdigkeit von den US-amerikanischen Anbietern beantwortet wird, ist offen und wird sich zeigen. Zugleich stellen wir fest, dass die Cloud immer häufiger auch in kritischeren Unternehmensbereichen zum Einsatz kommen wird. Insbesondere im Produktionsbereich gibt es dazu spannende Initiativen, über die sicher bald zu sprechen sein wird.
Informationssicherheit in der Produktion / Industrie 4.0
Bei dem Phänomen der Industrie 4.0, also der Fusion von Produktion und IT-Welt, handelt es sich um einen der wichtigsten Meilensteine in der IT-Entwicklung. Allerdings weniger um eine Revolution, sondern sicher eher um eine Entwicklung, die interessante Antworten auf Fragen der Effizienzsteigerung sowie neue Business- und Servicemodelle geben kann, aber doch noch erhebliche Fragen in Bezug auf Security und Safety aufwirft. Solange diese Fragen nicht gelöst sind, dürfte es die vielbeschworene vierte industrielle Revolution schwer haben, sich durchzusetzen. Aus seiner Beratungserfahrung weiß TÜV Rheinland: Der hohe Schutzbedarf von produzierenden Unternehmen erfordert innovative und integrierte Sicherheitskonzepte. Das Bewusstsein für die Herausforderungen an die Informationssicherheit in der Industrie nimmt erfreulicherweise zu. Allerdings muss man auch einräumen: Während die Notwendigkeit von Safety-Maßnahmen (Unversehrtheit des Menschen) unbestritten ist, herrscht im Bereich der Security (Schutz der digitalen Systeme) noch Unsicherheit über den benötigten Schutzbedarf. Fakt ist, dass sich die Bedrohungslage für Industrieanlagen durch die stetige digitale Vernetzung verschärft hat. Zuführungs-, Steuer- und Prozessdatensysteme wachsen immer mehr zusammen, der Einsatz mobiler Endgeräte steigt, z.B. zur Fertigungssteuerung. Darüber hinaus erfolgen Datenzugriffe inzwischen unternehmensweit und nicht mehr über in sich geschlossene Netze. Störfälle in einem Netz können andere Netzwerke und dadurch Produktionsanlagen beeinflussen. Insbesondere in der Energiebranche gibt es glücklicherweise eine ausgeprägte Awareness für die Komplexität, Kritikalität und Sensibilität dieses Zusammenspiels – und auch hier ist TÜV Rheinland wie in vielen anderen Branchen mit integrierten Sicherheitskonzepten bereits unterwegs. Dennoch: Die Ergebnisse, die bei Bestandsaufnahmen in Produktionsumgebungen ermittelt werden, sind bisweilen abenteuerlich. Oft ist statt des verantwortlichen Produktionsleiters die IT-Abteilung eines Unternehmens mit der Anlagensoftware beauftragt – ohne die Erfordernisse der Industrieanlagen wirklich zu kennen. Manche Unternehmen berücksichtigen die Produktionsnetze bei der IT-Sicherheitsplanung gar nicht erst. Oder sie glauben, die Security-Lösungen aus der Bürowelt einfach auf die Steuerungs- und Leittechnik in der Produktion übertragen zu können. Hinzu kommt ein strukturelles Problem: Häufig ist von der Office- bis zur Produktions-IT alles miteinander verknüpft. Dies mag auf den ersten Blick zwar große Chancen fürs Controlling bieten, ist aber meist mit erhöhtem Sicherheitsrisiko verbunden. Denn viele Kommunikationsschnittstellen sind oft nicht ausreichend gesichert. Wenn es darum geht, die IT-Sicherheit in der Organisation zu erhöhen, leistet TÜV Rheinland auch konzeptionelle Unterstützung, entweder im Bereich von Sicherheits-Policies und Infrastrukturthemen oder bei Ausschreibungen, um die Sicherheitsaspekte in Bezug auf Security, die die Anbieter zu berücksichtigen haben, zu definieren. Denn Informationssicherheit ist heute eng mit dem Aspekt Safety verbunden. TÜV Rheinland definiert dabei die Security-Anforderungen, achtet aber darauf, dass diese die Safety-Anforderungen nicht beeinträchtigen. Man kann nicht einfach mitten in der Produktion einen neuen Virenscanner installieren. Um eine hohe Verfügbarkeit der Anlagen sicherzustellen und wirtschaftlich schwerwiegende Ausfälle zu vermeiden – und damit sind nicht nur Fertigungsanlagen, sondern auch Kraftwerke gemeint -, befasst sich TÜV Rheinland intensiv mit konkreten IT-Sicherheitslösungen für Produktionsumgebungen.
