Das Wichtigste im Überblick
- Sicherheitslücken in industriellen Steuerungssystemen verursachen nicht nur wirtschaftliche Schäden, sondern können auch zur Gefahr für Mitarbeiterinnen und Mitarbeiter werden.
- Die richtigen Personen in den Unternehmen schnell zu informieren, ist wichtig, um das Problem zu lösen. Oft erhalten diese die Informationen viel zu spät.
- Mithilfe des Notfallkontakts können Externe schnell herausfinden, an wen sie sich wenden müssen.
- Interview mit Jonas Stein, Leiter des Prüflabors für Industrial Security am Institut für Arbeitsschutz der DGUV und des Arbeitskreises Security der DGUV. Stein referiert am 18. September über das Thema „Security Management im Betrieb“ auf der BGHW-Fachtagung „Sicherheit und Gesundheit in Handel und Warenlogistik“.
- Zur praktischen Vertiefung der Securityanforderungen aus den neuen EU-Verordnungen und worauf bereits beim Design geachtet werden sollte, wird die DGUV im Oktober 2024 ein Seminar anbieten.
Sicherheitslücken in industriellen Steuerungssystemen verursachen nicht nur wirtschaftliche Schäden, sondern können auch zur Gefahr für Mitarbeitende werden. Wie Sicherheitsinformationen schnell und effizient zu den richtigen Personen gelangen, erklärt Jonas Stein, Leiter des Prüflabors für Industrial Security am Institut für Arbeitsschutz der DGUV und des Arbeitskreises Security der DGUV.
Sicherheitslücken in Steuerungssystemen verbindet man nicht als Erstes mit einer Gefahr für Leib und Leben der Mitarbeitenden. Können Sie Beispiele nennen?
Jonas Stein: Ein bekanntes Beispiel ist der Angriff auf ein Stahlwerk im Ruhrgebiet im Jahr 2014. Unbekannte hatten sich durch eine präparierte E-Mail Zugang zum Büronetzwerk verschafft. Dadurch drangen sie in das Produktionsnetzwerk der Anlage ein und konnten aus der Ferne die Steuerung eines Hochofens so beschädigen, dass er außer Kontrolle geriet. Man konnte nur noch die Mitarbeiterinnen und Mitarbeiter in Sicherheit bringen und die Energiezufuhr manuell stoppen. Der Stahl musste anschließend mechanisch herausgearbeitet werden. 2017 gab es einen Angriff auf eine Sicherheitssteuerung einer petrochemischen Anlage. Am Ende hat nur ein Tippfehler der Angreifer verhindert, dass es zu einem Desaster gekommen ist.
Wie lassen sich solche Angriffe verhindern?
Jonas Stein: Entdecken Sicherheitsforscherinnen und Sicherheitsforscher oder Behörden ein Sicherheitsproblem in einem Produkt oder einem betrieblichen Netzwerk, ist das Wichtigste, die richtigen Personen in den Unternehmen möglichst schnell zu informieren, damit sie sich des Problems annehmen. Die Erfahrung hat aber gezeigt, dass bei großen Unternehmen mit vielen tausend Mitarbeiterinnen und Mitarbeitern nicht leicht herauszufinden ist, wer zuständig ist. Oft wird von einem zum nächsten telefoniert, und die entscheidenden Personen erhalten die Informationen viel zu spät. Kleinere Unternehmen hingegen haben häufig gar keine zuständige Person benannt. Eine sehr elegante Lösung für diese Kommunikation bietet die neue Spezifikation RFC 9116. Mithilfe dieses Notfallkontakts können Externe ganz schnell herausfinden, an wen sie sich wenden müssen.
Was ist das Bahnbrechende an diesem neu entwickelten Standard für Notfallkontakte bei Sicherheitsproblemen?
Jonas Stein: Der Notfallkontakt wird die Sicherheitskommunikation bei großen, aber auch bei kleinen Unternehmen in den nächsten Jahren revolutionieren. Denn die Spezifikation ist keine Insellösung für Deutschland, sondern ein weltweiter Standard, der die internationale Zusammenarbeit erleichtert. Hier findet man nicht nur den richtigen Kontakt für die Sicherheitsinformationen, sondern auch Regelungen darüber, welche Sprache gesprochen und wie miteinander kommuniziert wird. Viele Unternehmen haben diesen Standard bereits umgesetzt. Und die Anzahl der Unternehmen, die es umgesetzt haben, wächst jetzt schon exponentiell. Dadurch sparen sie sofort Ressourcen. Denn je effizienter die Kommunikation zu Sicherheitsproblemen läuft, desto mehr Ressourcen hat die IT-Abteilung für das Tagesgeschäft.
Kurz erklärt: Was müssen Unternehmen tun, um den neuen Kontaktstandard zu nutzen?
Jonas Stein: Sie legen eine einfache Textdatei mit Kontaktinformationen an, zum Beispiel eine E-Mail-Adresse oder ein Link auf eine Website, und ein Ablaufdatum. Das sind die Mindestinformationen – mit zwei Zeilen Text ist man also schon dabei. Diese Textdatei mit dem Namen security.txt wird auf dem Webserver des Unternehmens im Verzeichnis .well-known/ unterhalb des Wurzelverzeichnisses abgelegt. Diese Stelle ist weltweit allen Sicherheitsforscherinnen und Sicherheitsforschern bekannt. Das Ganze ist also sehr einfach und in fünf Minuten erledigt. Wir empfehlen unseren Mitgliedsunternehmen, die Spezifikation ebenfalls so schnell wie möglich umzusetzen, und haben entsprechendes Informationsmaterial auf cert.dguv.de vorbereitet.
Gibt es noch weitere Entwicklungen in diese Richtung?
Jonas Stein: Schon jetzt ist es möglich, den Notfallkontakt zu erweitern. Hersteller können dort hinterlegen, wo ihre Datenbank mit allen Handlungsempfehlungen für die Sicherheitslücken ihrer Produkte zu finden ist. So kann ein Betreiber eine Inventarliste erstellen und den Computer über Nacht abfragen lassen, für welche Geräte eine Warnmeldung existiert und was genau die Empfehlung ist, die Sicherheit dieses Geräts wieder herzustellen. Ansonsten muss der Betreiber für alle seine Geräte in den unterschiedlichsten Formaten abfragen, ob das jeweilige Produkt betroffen ist und was zu tun ist. Das wird die Sicherheitskommunikation enorm beschleunigen und das Security Management in den nächsten zehn Jahren prägen. Bisher haben wir die meisten Ressourcen mit ineffizienter Kommunikation verschwendet, die Unternehmen jetzt durch diesen einfachen Automatismus einsparen.
Der Diplom-Physiker Jonas Stein leitet das Prüflabor für Industrial Security im Institut für Arbeitsschutz der DGUV und den Arbeitskreis Security der DGUV. Er wird auf der Fachtagung „Sicherheit und Gesundheit in Handel und Warenlogistik“ in Dresden am 18. September über das Thema „Security Management für Ihren Betrieb“ einen Vortrag halten.