IT-Risiko-Management: Terra incognita als Chefsache

Als der "Zotob"-Wurm durch 13 Daimler Chrysler-Werke in den USA kroch, konnten 50.000 Arbeiter rund eine Stunde lang nicht arbeiten. Beispiele wie dieses sind es, die Entscheider in der industriellen Produktion aufhorchen lassen. Ralph Langner hat es sich nun auf die Fahnen geschrieben, Bewusstsein zu bilden. Ihm geht es nicht um spektakuläre Einzelfälle, sondern um konzeptionelle und operative Schutzmaßnahmen.

Beispiel speicherprogrammierbare Steuerung (SPS): SPSen - bedienerlose Kleinst-Computer, die autonom bestimmte Teilprozesse durch das Ausführen von Programmlogik steuern - können relativ einfach über das Netzwerk manipuliert werden, weil sie praktisch über keinen Zugangsschutz verfügen und Software zur SPS-Kommunikation frei aus dem Internet heruntergeladen werden kann. Außerdem sind die Netzwerkschnittstellen von SPSen für Denial-of-Service-Attacken anfällig. Es geht allerdings auch leichter: Wenn Unberechtigte freien Zugang zu den Schlüsselschaltern einer SPS haben, können sie einfach auf "Stop" drehen.

Schmutzige Finger kann man nicht scannen

Langners Folgerung: Soll die IT in der Produktion geschützt werden, sind technische wie physische Maßnahmen gefragt. Er empfiehlt grundsätzlich, wichtige Systemkomponenten mindestens zweimal anzulegen, damit bei Ausfällen - die nicht zwingend aus Sabotage resultieren, sondern auch aus Verschleiß oder Beschädigung - auf ein Ersatzsystem umgeschaltet werden kann. Leitsysteme sollten mit einer unterbrechungsfreien Stromversorgung abgesichert werden.

Stichwort Benutzerauthentifizierung: Passwörter bergen das grundsätzliche Problem, dass sie umso häufiger vergessen werden, je sicherer - und damit komplizierter - sie sind. Chipkarten und USB-Tokens können liegengelassen werden. Bleibt als zuverlässigstes Verfahren die Biometrie. Die ist aber auch am teuersten und in der Produktion am schlechtesten umzusetzen: Den Fingerabdruck zu scannen ist schwierig, wenn die Arbeiter Handschuhe tragen oder verschmutzte Hände haben.