Das Bild zeigt, dass Anlagen durch digitale Services wie Cloud, API (Application Programming Interface – Programmierschnittstellen) und RAS (Remote Access Service – Fernwartung) vernetzt werden – Schlagwort: IoT – und damit auch die digitale Vernetzung der verschiedenen Stakeholder (Interessengruppen) eines Aufzugs einhergehen.

Das Bild zeigt, dass Anlagen durch digitale Services wie Cloud, API (Application Programming Interface – Programmierschnittstellen) und RAS (Remote Access Service – Fernwartung) vernetzt werden – Schlagwort: IoT – und damit auch die digitale Vernetzung der verschiedenen Stakeholder (Interessengruppen) eines Aufzugs einhergehen. (Foto: © Kollmorgen)

Cyber-Attacke auf einen Aufzug?

Aktuelles

Die Sensibilität für IT-Sicherheit ist in den vergangenen Jahren gestiegen – auch in der Aufzugbranche. Diese Entwicklung ist leicht nachvollziehbar. Aber wie können sich Unternehmen gegen Cyber-Attacken schützen?

Die zunehmende Vernetzung der Digitalisierung in Unternehmen, d.h. in deren Verwaltung, in deren Fertigung und in den Produkten, stellt ein zunehmendes Sicherheitsrisiko dar. Denn mehr Vernetzung heißt automatisch auch mehr Angriffsfläche. Es heißt aber auch, dass ein eigentlich unkritisches – und deshalb weniger geschütztes – Element innerhalb eines Netzwerks angegriffen werden kann, um in kritische Infrastrukturen vorzudringen.

Diese Vernetzung muss keine klassische physikalische Vernetzung sein. Diese Vernetzung kann auch durch eine Person auftreten. Die Ausspähung eines Kennworts in der Domäne A, z.B. dem privaten Handy, kann für den Angreifer ausreichend sein, um sich damit in einer anderen Domäne B, z.B. der Aufzugssteuerung, anzumelden.

Der Mensch ist das größte Risiko

Mit der Vermessung von Risiken kennen sich Versicherer besonders gut aus. Diese stellen in einer aktuellen weltweiten Umfrage fest, dass Risiken, die die IT-Sicherheit betreffen, erstmals die größte Gefährdung für den Geschäftsbetrieb darstellen. Foto: © AllianzMit der Vermessung von Risiken kennen sich Versicherer besonders gut aus. Diese stellen in einer aktuellen weltweiten Umfrage fest, dass Risiken, die die IT-Sicherheit betreffen, erstmals die größte Gefährdung für den Geschäftsbetrieb darstellen. Foto: © Allianz

Wie dieses vereinfachte Beispiel zeigt, gilt grundsätzlich: Der Mensch stellt in der IT-Sicherheit das größte Sicherheitsrisiko dar – gleichgültig, ob es die fahrlässige Verwendung des gleichen Passworts auf dem Handy oder auf der Aufzugssteuerung ist. Damit unterscheiden sich die Bedrohungslage und die sogenannten Angriffsvektoren (Wege/Strategie eines Angriffs) von Cyber-Attacken in der Aufzugsbranche nicht von anderen Branchen und übrigens auch nicht vom privaten Umfeld.

Jeder – auch Sie – war schon Opfer einer Cyber-Attacke. Vielleicht haben Sie es gar nicht bemerkt oder die Attacke war glücklicherweise nicht erfolgreich, aber Sie standen im Fokus eines Angriffs. Die allermeisten Angriffe erfolgen automatisiert durch den Versand von E-Mails – eine inzwischen alltägliche Bedrohung.

Nutzer darf nicht als Entschuldigung dienen

Diese E-Mails verleiten mit teils gut gemachten Methoden und psychologischen Tricks – mittlerweile werden tatsächlich vom Opfer verfasste E-Mailverläufe und Inhalte übernommen – das Opfer dazu, einen Anhang oder einen Link zu öffnen. Damit ist es dann in vielen Fällen bereits um die IT-Sicherheit auf diesem System geschehen.

Dennoch darf der Nutzer nicht als Entschuldigung dienen. Neben infrastruktureller IT-Sicherheit müssen die neuen digitalen Systeme die IT-Sicherheit so gestalten, dass sie die Anwender zu einem sichereren Verhalten führt.

IT-Sicherheit in der Aufzugsbranche

Unsere Branche hatte mit dem Aufzug als Endprodukt und als Gewerk vieler Komponenten schon immer eine besondere Sensibilität für das Thema Sicherheit. Aber auch die IT-Sicherheit muss in der Aufzugbranche eine große Bedeutung bekommen. Denn eine erfolgreiche Cyber-Attacke auf einen Aufzug hätte einen erheblichen Vertrauensverlust in unser gemeinsames Produkt – dem Aufzug – zur Folge.

Der Megatrend "Digitalisierung" spielt dabei eine große Rolle. Die Vorteile, die uns eine vernetzte, autonome und mit künstlicher Intelligenz ausgestattete Branche bereitet, sollten wir nicht wegen der Bedenken, bezogen auf IT-Sicherheit, opfern. Wir müssen Sie stattdessen mit modernen Sicherheitslösungen möglich machen.

Philipp Brüßler
Der Autor ist Wirtschaftsinformatiker und arbeitet als IT-Projektleiter bei Kollmorgen.

Checkliste IT-Sicherheit

Schulung Mitarbeiter aller Abteilungen über Personal, Buchhaltung, Service, Entwicklung, Fertigung etc. sollten in punkto IT-Sicherheit geschult sein.
Netzwerke IT-Netzwerke verschiedener Unternehmensbereiche wie Fertigung, Verwaltung, Service, Online-Aufzügen und anderer IoT-Geräten sollten mindestens logisch voneinander getrennt sein.
E-Mail Sie bekommen eine E-Mail von einer Bank oder einem anderem Unternehmen, wie z.B. Amazon: Sie sind tatsächlich Kunde und haben das Gefühl, dass das Anliegen der E-Mail Relevanz hat. Dann gehen Sie nicht über einen in der Email integrierten Link, sondern manuell über Ihren Browser und prüfen Sie Ihr (Benutzer)Konto.
Anhänge Vorsicht bei Anhängen, selbst bei scheinbar bekannten Absendern wie Zulieferern und Kunden. Vergewissern Sie sich, ob der Anhang sinnvoll ist – haben Sie diesen Anhang z.B. erwartet oder sollte ein Makro (programmierte Abläufe in einem Office-Dokument) Bestandteil eines „Lebenslauf.docx“ sein? Halten Sie im Zweifel lieber mit dem angeblichen Absender telefonisch Rücksprache.
Passwörter

Verwenden Sie nicht zu erratende Passwörter (keine echten Wörter und mit einer ausreichenden Länge – zehnstellig) und nicht doppelt verwenden: hilfreich sind sogenannte Passwort-Manager.

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Passwort_Manager/Passwort_Manager_node.html
2-Faktor-Authentisierung Nach Möglichkeit einen zweiten Faktor bei wichtigen Accounts und Diensten zur Authentifizierung hinzunehmen.
Updates Führen Sie regelmäßig und gewissenhaft Updates Ihrer verwendeten Software und Hardware aus.
Backups

Regelmäßig Backups des Systems durchführen und offline ablegen.
Haben Sie obere Punkte zu E-Mails und Anhängen nicht ausreichend befolgt oder wollen sich nicht auf Ihr Gefühl verlassen, können folgende Maßnahmen eine letzte Barriere sein – schränken aber die Benutzerfreundlichkeit Ihres Systems ein:  
Javascript Javascript im Browser deaktivieren und nur für bekannte Seiten und bei Bedarf aktivieren. „NoScript“ Browser Plugin hilft hier.
Office-Makros Office-Makros in Microsoft Office deaktivieren.

Das könnte Sie auch interessieren: