Frühzeitige Kommunikation zwischen Maschinenbauer und Anwender
Zum Abschluss gab Thomas Störtkuhl noch einen Einblick in seine Beratungspraxis. \“Wir stellen immer wieder fest, dass mit der Installation einer Anlage auch Applikationen bereit gestellt werden, bei deren Entwicklungsprozess ein Security Testing gar nicht oder nicht in ausreichender Form stattgefunden hat.\“ Natürlich wüssten Maschinenbauer um die neuesten technologischen Entwicklungen auf dem Gebiet der IT-Sicherheit und könnten diese beim Design einer neuen Anlage mit berücksichtigen. Allerdings seien dafür dezidierte Kenntnisse der jeweiligen Applikation nötig, damit solche Sicherheitsvorkehrungen gezielt ausgelegt und damit auch greifen könnten. Daher müsse der Betreiber einer Anlage seine Anforderungen gegenüber dem Maschinenbauer klar definieren, damit Schwachstellen in der Entwicklung möglichst ausgeschlossen würden und ein Security Testing erfolgreich verlaufen könne. In die Realisierung von größeren Anlagen seien zudem meist mehrere Maschinenbauer involviert, was die Herausforderung zusätzlich vergrößere. Fände hier eine frühzeitige Kommunikation zwischen Maschinenbauer und Anlagenbetreiber statt, so der Mann von TÜV Süd, würden viele Sicherheitslücken in der IT erst gar nicht entstehen.
Fazit
Die Installation einer wirksamen IT-Sicherheitsinfrastruktur in einem Produktionsbetrieb mag in den meisten Fällen einer Herkulesaufgabe gleich kommen, sie ist aber ebenso oft ohne Alternative. Wichtig ist vor allem eine strategische Herangehensweise. Dabei sollten Firmen einen ganzheitlichen Ansatz auf Basis bereits etablierter Normen wie der IEC62443 wählen. Grundvoraussetzung ist die Schaffung eines Bewusstseins für die Notwendigkeit einer IT-Sicherheitsinfrastruktur bei allen Mitarbeitern und darüber hinaus bei den möglichen Zulieferern. Denn nur so kann diese wirksam umgesetzt werden. Ferner sollte darüber nachgedacht werden, auf die Expertise von externen Dienstleistern wie TÜV Süd zurückzugreifen, die Spezialisten auf diesem Gebiet sind und zudem einen unvoreingenommenen Blick auf ein Unternehmen haben. Die jüngsten Ereignisse haben jedenfalls eindrücklich demonstriert, dass eine Vernachlässigung des Themas IT-Security die Grundfesten einer Existenz erschüttern kann – auch die eines produzierenden Unternehmens. (jwz)
