Als der "Zotob"-Wurm durch 13 Daimler Chrysler-Werke in den USA kroch, konnten 50.000 Arbeiter rund eine Stunde lang nicht arbeiten. Beispiele wie dieses sind es, die Entscheider in der industriellen Produktion aufhorchen lassen. Ralph Langner hat es sich nun auf die Fahnen geschrieben, Bewusstsein zu bilden. Ihm geht es nicht um spektakuläre Einzelfälle, sondern um konzeptionelle und operative Schutzmaßnahmen.
Beispiel speicherprogrammierbare Steuerung (SPS): SPSen - bedienerlose Kleinst-Computer, die autonom bestimmte Teilprozesse durch das Ausführen von Programmlogik steuern - können relativ einfach über das Netzwerk manipuliert werden, weil sie praktisch über keinen Zugangsschutz verfügen und Software zur SPS-Kommunikation frei aus dem Internet heruntergeladen werden kann. Außerdem sind die Netzwerkschnittstellen von SPSen für Denial-of-Service-Attacken anfällig. Es geht allerdings auch leichter: Wenn Unberechtigte freien Zugang zu den Schlüsselschaltern einer SPS haben, können sie einfach auf "Stop" drehen.
Schmutzige Finger kann man nicht scannen
Langners Folgerung: Soll die IT in der Produktion geschützt werden, sind technische wie physische Maßnahmen gefragt. Er empfiehlt grundsätzlich, wichtige Systemkomponenten mindestens zweimal anzulegen, damit bei Ausfällen - die nicht zwingend aus Sabotage resultieren, sondern auch aus Verschleiß oder Beschädigung - auf ein Ersatzsystem umgeschaltet werden kann. Leitsysteme sollten mit einer unterbrechungsfreien Stromversorgung abgesichert werden.
Stichwort Benutzerauthentifizierung: Passwörter bergen das grundsätzliche Problem, dass sie umso häufiger vergessen werden, je sicherer - und damit komplizierter - sie sind. Chipkarten und USB-Tokens können liegengelassen werden. Bleibt als zuverlässigstes Verfahren die Biometrie. Die ist aber auch am teuersten und in der Produktion am schlechtesten umzusetzen: Den Fingerabdruck zu scannen ist schwierig, wenn die Arbeiter Handschuhe tragen oder verschmutzte Hände haben.
Der Autor des Leitfadens will Sicherheit in der produktionsnahen IT nicht nur als Abwehr von Schäden verstanden wissen - sie ist schließlich auch gesetzlich vorgeschrieben. Seit 2003 gelten unterlassene Maßnahmen in der deutschen Rechtsprechung als grobe Fahrlässigkeit, das Versicherungsrecht verpflichtet ohnehin zur Risikominimierung. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) macht die Unternehmensführung in Fällen der Versäumnis vom Risiko-Management persönlich haftbar. Und im Streitfall gilt eine Umkehr der Beweislast.
Entscheider haben also für eine Security Policy zu sorgen, in der festgelegt wird, welche Systemzugriffe erlaubt und welche Sicherheitsmaßnahmen einzuhalten sind. Die sieht für IT in der Produktion anders aus als für reine Büroarbeiter: Maschinen, Anlagen und Werke müssen schon vor Inbetriebnahme gesichert sein.
Wichtigster Punkt ist allerdings immer noch der Mensch: "Was Mitarbeiter nicht verstehen, werden sie auch nicht tun", so Ralph Langner. Das gilt auch für Mitarbeiter aus Fremdfirmen, die in Werkshallen eingesetzt werden.
Ein falscher Klick und der Staudamm bricht
Über die genannten Punkte hinaus will der Berater eine Lanze für das Risiko-Management brechen, für systematische Überlegungen also, die im Vorfeld ansetzen. Dabei müssen die Eintrittswahrscheinlichkeit und die zu erwartende Höhe eines Schadens abgewogen werden. Auch dabei sind in Produktionsbetrieben spezifische Fälle zu berücksichtigen. Dazu ein Beispiel: Wenn Büronetz und Produktionsnetz nicht getrennt voneinander laufen, muss unter allen Umständen ausgeschlossen werden, dass durch einen zufälligen oder absichtlichen Fehlzugriff aus dem Büronetz die Schleusentore eines Staudamms geöffnet oder giftige Prozesse ausgelöst werden.
Grundlage der Budgetverhandlungen für IT-Sicherheit ist ein Return on Security Investment (ROSI). Dieser bezeichnet den Betrag, der jährlich durch vermiedene Störfälle eingespart wird, abzüglich der Kosten für die Schutzmaßnahmen. Die Krux dabei liegt darin, dass die Kosten für Störfälle fiktiv, die für Schutzmaßnahmen aber sehr real sind. Hinzu kommt, dass mögliche Personen- oder Umweltschäden nicht nur eine regulatorisch-juristische, sondern auch eine ethische Komponente haben.
Terra incognita
Letztlich liegt die Verantwortung für Risikobewertung und -management bei der Führungsriege jedes Unternehmens. Als Terra incognita muss diese zumindest teilweise delegiert werden, das heißt, dass Netzwerkadministratoren, Telekommunikationsfachleute und IT-Sicherheitsbeauftragte die produktionsnahe IT genau kennen, die technischen Schwachstellen identifizieren und Vorschläge für Schutzmaßnahmen machen. Für Regelwerke wie Basel II, das KonTraG und andere Gesetze ist die Rechtsabteilung zuständig, für Auskünfte über mögliche Schäden durch Produktionsausfälle das Controlling.
Dennoch: Die grundlegenden Entscheidungen darüber, dass und in welchem Umfang eine systematische Risikobewertung erfolgt, die Freigabe der Budgets und die Entscheidung über den Einsatz von zustimmungspflichtigen Methoden für die Risikobewertung bleiben Aufgaben des Managements.