Interview: IT-Sicherheit an Produktionsanlagen? Da kümmern wir uns später darum!

IT-Sicherheit wird gerne ‚auf später‘ verschoben. Warum hier Vorbereitung die halbe Miete ist und was das mit dem Fahren eines Autos ohne Airbag gemein hat, hat uns IT-Sicherheits-Fachmann Peter Lukesch, COO der ondeso GmbH, erzählt.

Herr Lukesch, warum ist das Thema IT-Sicherheit gerade jetzt in dieser Ausnahmesituation so wichtig?

Herr Lukesch: Wir sprechen momentan von einer asymmetrische Bedrohungslage. Hacker arbeiten wie gewohnt weiter, das IT-Personal in vielen Unternehmen ist aber momentan stark ausgelastet (Stichwort Infrastruktur für Homeoffice, etc.) und zum Teil reduziert. Die perfekte Chance, für alle, die sich unserer IT-Struktur bemächtigen wollen.

Wir merken einen Anstieg von ‚Spear-Phising‘ mit dem Verweis auf COVID-19. Spear-Phising, also Betrugsversuche, die meist per Email ins Unternehmen kommen, suggerieren ein notwendiges, dringendes Handeln. Auf Grund der aktuellen Unklarheiten wird momentan zum Teil aus Verzweiflung oder auch aus Unwissen „falsch“ gehandelt. Unternehmen lassen sich zu fehlerhaften Handlungen hinreißen.

Nicht zu unterschätzen ist auch das Thema Sicherheitsupdate. Microsoft verteilt aktuell keine Funktionsupdates, jedoch weiterhin Sicherheitspatche. Mangels Personal werden diese – trotz offener Bedrohung – jedoch nicht installiert bzw. nicht auf die Geräte in der Produktion ausgebraucht.

Sie haben in den letzten Jahren viel Erfahrung im Bereich Industrial IT gesammelt. Was übersehen Anlagenbetreiber aus Ihrer Sicht im Tagesgeschäft?

Herr Lukesch: Das ist eine Kombination aus mehreren Bereichen, die in Kombination oft eine starke Bedrohung der Produktionsunternehmen bedeutet:

1. Der fehlende Überblick – viele der Geräte sind den Betreibern schlichtweg nicht bekannt, da eine komplette Anlage mit einer Funktionalität und dem zugehörigen Support gekauft wird. Ob darin 2 oder 10 PCs verbaut sind ist für den Betreiber nicht relevant. Für einen Angreifer kann aber bereits der eine, übersehene, vernachlässigte PC ausreichen um sich Zugang zur Maschine oder zum Unternehmensnetzwerk zu verschaffen.

2. Die Anlagenverfügbarkeit sicherstellen – Verfügbarkeit ist kein statischer „jetzt“-Zustand. Die Produktionsanlagen müssen nicht nur gerade jetzt laufen, sondern auch in Zukunft. Das ein Gerät aktuell keine Störung hat, heißt nicht, dass ein Problem nicht gerade vorbereitet wird. Die Finanz- und Budgetplanung für IT-Sicherheit kann mit Airbags im Auto verglichen werden. Es gibt aktuell keinen Mehrwert und kostet nur Geld. Wenn der Schadensfall allerdings eintritt, wird nahezu jeder Betrag akzeptiert um die Sicherheit unmittelbar herzustellen. Das ist oft unnötig teuer.

3. Die Planung und Implementierung – es fehlt in vielen Unternehmen die strategische, langfristige Planung für den Umgang mit Bestandsgeräten und die Neuimplementierung von weiteren Maschinen. Für uns stellt sich die Situation oft so dar: In der Planungsphase soll der Rückschritt auf die Konkurrenz aufgeholt oder Vorsprung ausgebaut werden, also keine Zeit für nicht zum Kernproblem gehörende Themen wie IT-Sicherheit. In der Inbetriebnahmephase müssen Kinderkrankheiten ausgemerzt werden und die Anlage soll an’s Laufen/Produzieren kommen, zusätzliche ‚Störfaktoren‘ werden erst mal abgeschaltet bzw. ausgeblendet. Ganz unter dem Motto: „Da kümmern wir uns später drum.“. Und schließlich ist die Anlage in Betrieb. Änderungen können nur noch schwer umgesetzt werden und haben dadurch evtl. negative Auswirkungen auf die Verfügbarkeit. Es überwiegt das Motto: „Wird schon gut gehen.“

Zum Abschluss, was ist Ihr dringender Apell an die LeserInnen und Leser?

Herr Lukesch: Unternehmen (und hier gerade das produzierende Gewerbe) dürfen im Katz und Maus Spiel mit Hackern nicht in die reaktive Rolle kommen. Lieber ein Wiederanlauf-Konzept im Schrank, dass man noch nicht gebraucht hat, als Krisensitzungen und Notbetrieb. Planen kann man allerdings erst, wenn man weiß, was man hat und den aktuellen Zustand kennt. „Wenn die Anlage erst mal steht, sind Lizenz- und Beratungskosten nur noch Hintergrundrauschen“ – Das war die Aussage einer unserer Kunden.

Die Zeit und das Geld, das man im Regelbetrieb für die Planung der IT-Sicherheit (vermeintlich) nicht hat, fehlt im Ernstfall zusätzlich. Safety und Security sind kein AddOn, das man sich leisten kann/möchte, sondern müssen zur Basis für alle anderen Entscheidungen werden.

Lieber Herr Lukesch, herzlichen Dank für das Gespräch! Ich freue mich schon auf unser Webinar ‚Fit nach #COVID-19‘ am Donnerstag, 14.05.2020, um 14.00 Uhr.

Für alle, die sich Infos aus erster Hand zum heiklen Thema IT-Sicherheit für Produktionsanlagen holen möchten – Anmeldungen für das kostenfreie Webinar sind noch möglich.

INFORMATIONEN UND ANMELDUNG ZUM WEBINAR:

  • DO, 14.05.20 | 14.00 – 14:40 Uhr im Gespräch mit unserem Know-how-Partner Peter Lukesch, ondeso GmbH, Industrial IT

Nehmen Sie bequem von Ihrem PC, Mac, iPad, iPhone oder Android-Gerät aus teil!

Klicken Sie bitte auf diesen Link, um sich KOSTENFREI anzumelden »

Keine Zeit an dem Termin? Kein Problem! Melden Sie sich trotzdem zum Webinar an und wir senden Ihnen im Nachgang ganz bequem die Aufzeichnung zu.

Ihr Experte im Gespräch:

Peter Lukesch

COO bei ondeso GmbH

Peter Lukesch ist COO der ondeso GmbH und verantwortlich für die Strukturierung und Organisation der technisch ausgerichteten Servicebereiche. Von 2013 bis 2016 hat er dort den Bereich Professional Services aufgebaut und geleitet. Neben seiner Erfahrung als IT-Leiter in produzierendem Gewerbe und dem medizinischen Sektor war er lange für die Planung und Umsetzung der IT-Sicherheit in hochsensiblen Bereichen verantwortlich.

www.ondeso.com

Titelbild ©istock_richvintage

The post Interview: IT-Sicherheit an Produktionsanlagen? Da kümmern wir uns später darum! appeared first on dankl+partner consulting gmbh | MCP Deutschland GmbH.

Schreibe einen Kommentar