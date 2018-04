Auf der dies­jährigen Hanno­ver Mes­se gibt es erst­mals das In­dustrial Secu­rity Forum (Halle 6, Stand D02), das VDMA und heise Events ge­mein­sam or­ga­ni­sie­ren. Mo­de­ra­tor der 60 Praxis­vorträge ist Tho­mas Jannot, der gleich die pas­sen­de Son­der­pub­li­ka­tion zu Safety und Se­curity mit­bringt: „Worauf die In­dustrie ge­fasst sein muss“.

Der Titelbeitrag von Uli Ries kommt direkt zur Sache. Der Cyber-Security-Fachautor behandelt unter anderem die für die Industrie zentrale Verschränkung von funktionaler Sicherheit (Safety) und IT-Sicherheit (Security) und rät zu handfesten Penetrationstests. Darauf, dass die klassischen Hacker zu wenig Ahnung von Fertigungsprozessen und Industrieprotokollen hätten, sollte man sich jedenfalls nicht verlassen – schon gar nicht, solange niemand weiß, was Angreifer mit Remote-Access-Trojanern wie Havex genau vorhaben. Die Malware nistet sich unauffällig im Netzwerk ein, erkundet ICS-Umgebungen und „tut quasi nichts anderes, als Komponenten in (vernetzten) Industrieanlagen zu kartografieren“.

Zu einer praktischen Sicherheitsstrategie gehört außerdem eine saubere Risikobeurteilung – mit entsprechenden Maßnahmen. Axel Oppermann argumentiert, dass es angesichts schier unendlicher Angriffsvektoren und einer sich laufend ausdehnenden Menge an Motiven (Spionage, Terrorismus, Kriminalität, Hacktivism etc.) letztlich keine umfassende oder gar stabile Sicherheit geben könne. Seine Folgerung heißt

„Risktransfer: das Risiko verlagern. Ein Risiko, das nicht beherrschbar ist, wird an einen Dienstleister ausgelagert, der es kann oder der es sozialisiert. Solche Dienstleister sind Versicherungen.“

An den Versicherungskonzepten und Formulierungen muss allerdings noch gearbeitet werden, denn den Anbietern fehlt in vielen Fällen schlicht das Risikowissen.

Torsten Jensen (Nexinto) schildert, was uns bevorsteht, wenn Angreifer massenhaft IoT-Geräte kapern und zum Botnet formieren. Sein Beitrag zu DDoS der Dinge fokussiert auf den Netzwerkverkehr und die nötigen Security-Maßnahmen, vom Basisschutz bis zum externen Scrubbing Center. Schlaglichter erhellen außerdem kompakte Kommunikationslösungen für Predictive-Maintenance-Daten wie das GS.Gate von Schubert System Elektronik und genua sowie den systematisch kontrollierten Einstieg ins Industrial Internet of Things mithilfe des IoT Monitors von techconsult. Des Weiteren hat sich Roland Freist angesehen, was die Blockchain alles kann (außer Stromfressen beim Bitcoin-Mining). Er erinnert daran, dass die Technologie zunächst ein verteiltes kryptografisches Speicherverfahren ist. Damit wird in Industrieszenarien bereits eifrig experimentiert, u.a. ließen sich auf diese Weise komplexe Lieferketten zuverlässig nachvollziehbar machen oder Smart Grids im Energiemarkt mit Smart Contracts regeln.

Es ist gut zu beobachten, wie das Thema Blockchain derzeit hochkocht; so ganz einig sind sich die Experten und Marktbeobachter nicht. Einerseits gibt es bereits fähige Anwendungen (Beispiel: Xage) und eifrige Kompetenzeinkäufe (Beispiel: Shell), andererseits warnt zum Beispiel das Hasso-Plattner-Institut vor überstürzten Anwendungen im derzeitigen Hype. Die Hannover Messe dürfte in dieser Angelegenheit ein entscheidender Brennpunkt der Meinungsbildung werden.

Die Sonderpublikation Industrial Security gibt es vor Ort in Hannover auf dem Industrial Security Forum schwarz auf weiß. Wer dort lieber die Hände frei behält und die Ausgabe kostenfrei als PDF möchte, bekommt sie bereits jetzt im Pressezentrum des MittelstandsWiki zum Herunterladen.

