Cloud-Lösungen: Verantwortung für IT-Sicherheit bei Unternehmen

Die Digitalisierung stellt Unternehmen vor neue Herausforderungen in der IT-Sicherheit, dies besonders durch Cloud-Lösungen, wie die jüngste Veranstaltung der Reihe "Digitalisierung und Transformation" an der Hochschule Landshut zeigte.

Das Thema der Veranstaltung an der Hochschule Landshut (30. Januar 2019) lautete „IT-Sicherheit von Industrieanlagen“. Die große Resonanz von rund 90 Teilnehmern/innen, viele aus klein- und mittelständischen Unternehmen, zeigte die große Bedeutung des Themas für die Wirtschaft. Dabei betonten die Referenten bei den vielfältigen Möglichkeiten von Cloud-Lösungen und digitaler Produktionssteuerung auch die hohe Eigenverantwortung und damit das in den Unternehmen erforderliche Know-how, um einen hohen Standard an IT-Sicherheit erreichen zu können.

In seiner Begrüßung hob Hochschulpräsident Prof. Dr. Karl Stoffel die Bedeutung des Wissens- und Technologietransfers in Unternehmen hervor, die Hochschule Landshut engagiere sich in diesem Bereich seit vielen Jahren intensiv. Dies auch im hochschulübergreifende Verbundprojekt INIGO (Netzwerk Internet und Digitalisierung Ostbayern), das mit insgesamt rund 220 Wissenschaftlern/innen vielfältige Ansätze für den Transfer im Bereich der Digitalisierung biete. Er bedankte sich bei den Vertretern von INDIGO und des Zentrums Digitalisierung.Bayern (ZD.B) für die Unterstützung der Veranstaltung. Das Ziel des ZD.B, des größten Digitalisierungszentrums Deutschlands, wie Dr. Klaus Funk (ZD.B) erklärte, sei es, Synergieeffekte zu nutzen, Forschung, Industrie und auch die Start-up-Szene miteinander zu vernetzen.

Zusätzliche Sicherheitsanforderungen durch Cloud-Lösungen

Gerade im Bereich von Cloud-Lösungen für die Industrie sei eine enorme Dynamik zu beobachten, wie Prof. Dr. Christian Seel, wissenschaftlicher Leiter der Veranstaltungsreihe, in seiner Einführung erläuterte. Dabei sei das Thema IT-Sicherheit von besonderer Bedeutung. Dies zeigt er an zwei Negativbeispielen: per Drohne mit smarter Glühbirne hätten Hacker die Hoheit über die Beleuchtungsinfrastruktur eines Geschäftsgebäudes übernommen und auch Bankautomaten könnten u.a. per LAN-Kabel mit wenig Aufwand manipuliert werden. Die zunehmende Vernetzung, Cloud-Systeme und Internet of Things (IoT) würden zusätzliche Anforderungen an die IT-Sicherheit stellen.

„Cloud-Lösungen können sicher, aber auch unsicher sein“, betonte Prof. Dr. Johann Uhrmann (Hochschule Landshut) in seinem Vortrag „Informationssicherheit von der Fertigungsanlage zur Public Cloud“. Die Grundforderungen von Informationssicherheit seien Vertraulichkeit, Integrität der Daten und Verfügbarkeit. Bei den frühen lokalen SPS-Industriesteueranlagen sei der physische Schutz sowie Vertrauen in Hersteller und Programmierer im Mittelpunkt der IT-Sicherheit gestanden. Mit global vernetzten Steuerungen und ihrer hohen Komplexität sowie dem IoT habe sich die Lage deutlich verändert. Die Angriffsfläche sei global geworden, durch Dienstleister, z.B. für das Warten und Monitoren von Anlagen, oder auch zusätzliche Software, Netzwerke, Internetverfügbarkeit, Partnerfirmen und auch Cloud-Anbieter seien die Sicherheitsanforderungen und die Komplexität der Herausforderung IT-Security enorm gestiegen. 

Von den großen Anbietern von Cloud-Lösungen, vier bekannte US-Konzerne seien hier Marktführer, würden Rechnerleistung, Speicher und Datentransfer verkauft. Dabei böten sie verschiedene Modelle an, die unterschiedliche Verantwortung für den Kunden mit sich brächten. Während bei dem auf die Nutzung der Infrastruktur beschränkten Modell Kunden für Anwendungen, Services wie Datenbanken oder Betriebssysteme und auch die Konfiguration selbst verantwortlich sind, behalten sie beim „Softwar as a Service“ nur die Verantwortung für die Daten. Bezahlt werde nach in Anspruch genommener Leistung. Die Verantwortung könne aber nicht vollständig auf den Cloud-Anbieter abgegeben werden. Für einen Mythos hält Prof. Dr. Uhrmann, dass eine Cloud nicht administriert werden müsse. Entgegen dem Wunsch nach Personaleinsparung bei Unternehmen, sei sogar zusätzliches IT-Spezialwissen erforderlich. Sicherheitslücken durch laienhafte Cloud-Nutzung stellen ein großes Risiko dar. Und auch die Verfügbarkeit über das Internet sei zu bedenken, neben Netzproblemen könne auch bei den Rechenzentren der Cloud-Anbieter zu Störungen kommen. Hier müssten Notfallverfahren festgelegt werden.

Anwender selbst für IT-Security verantwortlich

Dass gerade die Vernetzung und die zunehmende Zahl an Protagonisten Auswirkungen auf die IT-Security haben, zeigte Dr. Thomas Pröll (Siemens AG – Research an Development for Digitalization and Automation) in seinem Vortrag „IoT Security – A Joint Approach”. Auch er betonte, dass jeder Anwender selbst für die IT-Sicherheit seiner Cloud-Lösung verantwortlich sei. Durch die engere Vernetzung werden auch die Abhängigkeiten größer, wie er erklärte. Er zeigt an Beispielen, vom Krankenhaus, das nicht mehr auf die Daten der Patienten zugreifen kann bis hin zu schlecht abgesicherten Klär- oder Photovoltaikanlagen, welche Auswirkungen Sicherheitslücken haben können. Das Handling von Schwachstellen und im schlimmeren Fall von bereits eingetretenen Schadensfällen und Computerforensik stellt für ihn den Arbeitsalltag dar.

Siemens habe für seine Anwender Security-Vorgaben bzw. Guidelines entwickelt, an die sich Kunden halten sollten, zusätzlich versuche man durch ständiges Threat-Monitoring aktuelle Angriffe auf Anlagen schnell zu entdecken und abzusichern. Dabei seien Industrieanlagen mit ihrer langen Lebensdauer ein zusätzliches Problem, aber durch die sich schnell wandelnden Anforderungen könnten auch der Sicherheitsstandard heutiger Anlagen schnell veraltet sein. Er empfiehlt, Passwörter gut zu wählen, da sonst ein Zugriff auf das ganze System oder auch von verschiedenen Kunden möglich sei. Nutzer könnten die Sicherheitsvorgaben auch leicht aushebeln, dies z.B. wenn bei Inbetriebnahme von Anlagen wegen der leichteren Wartbarkeit immer das gleiche oder gar kein Passwort vergeben werde.

Zusätzlich sollten Firewall, Firmware und Software-Updates immer auf dem aktuellsten Stand sein sowie die Sicherheitseinstellungen richtig vorgenommen werden. Als Hersteller könne man nur unterstützen, die notwendigen IT- und Security-Kenntnisse müssen bei den Mitarbeitern der Kunden vorhanden sein. Er spricht sich für eine IT-Sicherheit in der Tiefe aus, diese müsse abgestimmte Maßnahmen und Barrieren auf allen Ebenen, von der Cloud bis zur lokalen Produktion, berücksichtigen. Man müsse sich auch bewusst machen, dass die IT-Sicherheit ein Prozess sei, der sich ständig weiterentwickeln müsse.

Die vielen interessierten Fragen im Anschluss an die Veranstaltung zeigten, dass das Thema IT-Sicherheit für die Unternehmen eine große Herausforderung darstellt, mit der sie sich intensiv befassen. Die nächste Veranstaltung der Reihe "Digitalisierung und Transformation", organisiert vom Institut für technologiebasierte Zusammenarbeit der Hochschule, wird im Sommer 2019 stattfinden.