Foto: © TÜV SÜD
Aktuelles | Dezember 2024
Erste "Benannte Stelle" für Maschinenverordnung
TÜV Süd ist als weltweit erste Benannte Stelle auf der europäischen NANDO-Website für die neue Maschinenverordnung anerkannt und gelistet.
Das Bild zeigt, dass Anlagen durch digitale Services wie Cloud, API (Application Programming Interface – Programmierschnittstellen) und RAS (Remote Access Service – Fernwartung) vernetzt werden – Schlagwort: IoT – und damit auch die digitale Vernetzung der verschiedenen Stakeholder (Interessengruppen) eines Aufzugs einhergehen. (Foto: © Kollmorgen)
Mai 2020
Die Sensibilität für IT-Sicherheit ist in den vergangenen Jahren gestiegen – auch in der Aufzugbranche. Diese Entwicklung ist leicht nachvollziehbar. Aber wie können sich Unternehmen gegen Cyber-Attacken schützen?
Die zunehmende Vernetzung der Digitalisierung in Unternehmen, d.h. in deren Verwaltung, in deren Fertigung und in den Produkten, stellt ein zunehmendes Sicherheitsrisiko dar. Denn mehr Vernetzung heißt automatisch auch mehr Angriffsfläche. Es heißt aber auch, dass ein eigentlich unkritisches – und deshalb weniger geschütztes – Element innerhalb eines Netzwerks angegriffen werden kann, um in kritische Infrastrukturen vorzudringen.
Diese Vernetzung muss keine klassische physikalische Vernetzung sein. Diese Vernetzung kann auch durch eine Person auftreten. Die Ausspähung eines Kennworts in der Domäne A, z.B. dem privaten Handy, kann für den Angreifer ausreichend sein, um sich damit in einer anderen Domäne B, z.B. der Aufzugssteuerung, anzumelden.
Wie dieses vereinfachte Beispiel zeigt, gilt grundsätzlich: Der Mensch stellt in der IT-Sicherheit das größte Sicherheitsrisiko dar – gleichgültig, ob es die fahrlässige Verwendung des gleichen Passworts auf dem Handy oder auf der Aufzugssteuerung ist. Damit unterscheiden sich die Bedrohungslage und die sogenannten Angriffsvektoren (Wege/Strategie eines Angriffs) von Cyber-Attacken in der Aufzugsbranche nicht von anderen Branchen und übrigens auch nicht vom privaten Umfeld.
Jeder – auch Sie – war schon Opfer einer Cyber-Attacke. Vielleicht haben Sie es gar nicht bemerkt oder die Attacke war glücklicherweise nicht erfolgreich, aber Sie standen im Fokus eines Angriffs. Die allermeisten Angriffe erfolgen automatisiert durch den Versand von E-Mails – eine inzwischen alltägliche Bedrohung.
Diese E-Mails verleiten mit teils gut gemachten Methoden und psychologischen Tricks – mittlerweile werden tatsächlich vom Opfer verfasste E-Mailverläufe und Inhalte übernommen – das Opfer dazu, einen Anhang oder einen Link zu öffnen. Damit ist es dann in vielen Fällen bereits um die IT-Sicherheit auf diesem System geschehen.
Dennoch darf der Nutzer nicht als Entschuldigung dienen. Neben infrastruktureller IT-Sicherheit müssen die neuen digitalen Systeme die IT-Sicherheit so gestalten, dass sie die Anwender zu einem sichereren Verhalten führt.
Unsere Branche hatte mit dem Aufzug als Endprodukt und als Gewerk vieler Komponenten schon immer eine besondere Sensibilität für das Thema Sicherheit. Aber auch die IT-Sicherheit muss in der Aufzugbranche eine große Bedeutung bekommen. Denn eine erfolgreiche Cyber-Attacke auf einen Aufzug hätte einen erheblichen Vertrauensverlust in unser gemeinsames Produkt – dem Aufzug – zur Folge.
Der Megatrend "Digitalisierung" spielt dabei eine große Rolle. Die Vorteile, die uns eine vernetzte, autonome und mit künstlicher Intelligenz ausgestattete Branche bereitet, sollten wir nicht wegen der Bedenken, bezogen auf IT-Sicherheit, opfern. Wir müssen Sie stattdessen mit modernen Sicherheitslösungen möglich machen.
Philipp Brüßler
Der Autor ist Wirtschaftsinformatiker und arbeitet als IT-Projektleiter bei Kollmorgen.
Checkliste IT-Sicherheit
Schulung | Mitarbeiter aller Abteilungen über Personal, Buchhaltung, Service, Entwicklung, Fertigung etc. sollten in punkto IT-Sicherheit geschult sein. |
Netzwerke | IT-Netzwerke verschiedener Unternehmensbereiche wie Fertigung, Verwaltung, Service, Online-Aufzügen und anderer IoT-Geräten sollten mindestens logisch voneinander getrennt sein. |
Sie bekommen eine E-Mail von einer Bank oder einem anderem Unternehmen, wie z.B. Amazon: Sie sind tatsächlich Kunde und haben das Gefühl, dass das Anliegen der E-Mail Relevanz hat. Dann gehen Sie nicht über einen in der Email integrierten Link, sondern manuell über Ihren Browser und prüfen Sie Ihr (Benutzer)Konto. | |
Anhänge | Vorsicht bei Anhängen, selbst bei scheinbar bekannten Absendern wie Zulieferern und Kunden. Vergewissern Sie sich, ob der Anhang sinnvoll ist – haben Sie diesen Anhang z.B. erwartet oder sollte ein Makro (programmierte Abläufe in einem Office-Dokument) Bestandteil eines „Lebenslauf.docx“ sein? Halten Sie im Zweifel lieber mit dem angeblichen Absender telefonisch Rücksprache. |
Passwörter | Verwenden Sie nicht zu erratende Passwörter (keine echten Wörter und mit einer ausreichenden Länge – zehnstellig) und nicht doppelt verwenden: hilfreich sind sogenannte Passwort-Manager. https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Passwort_Manager/Passwort_Manager_node.html |
2-Faktor-Authentisierung | Nach Möglichkeit einen zweiten Faktor bei wichtigen Accounts und Diensten zur Authentifizierung hinzunehmen. |
Updates | Führen Sie regelmäßig und gewissenhaft Updates Ihrer verwendeten Software und Hardware aus. |
Backups | Regelmäßig Backups des Systems durchführen und offline ablegen. |
Haben Sie obere Punkte zu E-Mails und Anhängen nicht ausreichend befolgt oder wollen sich nicht auf Ihr Gefühl verlassen, können folgende Maßnahmen eine letzte Barriere sein – schränken aber die Benutzerfreundlichkeit Ihres Systems ein: | |
Javascript | Javascript im Browser deaktivieren und nur für bekannte Seiten und bei Bedarf aktivieren. „NoScript“ Browser Plugin hilft hier. |
Office-Makros | Office-Makros in Microsoft Office deaktivieren. |
Kommentar schreiben