11-2013

Editorial
Was ist noch sicher?
Seit dem Bekanntwerden des Skandals um Internet-Überwachung und gezielte
Cyberattacken mit vorherigem Ausspähen durch Geheimdienste ist ein Beben durch
die weltweite IT-Landschaft gegangen. So hat die Enthüllung des NSA-Überwachungsprojektes
„PRISM“, das Geheimdiensten in großem Stil Zugang zu gespeicherten
Daten- und Sprachdiensten, ausgetauschten Dateien, aber auch Aktivitäten in sozialen
Netzwerken – sowohl von Privatpersonen als auch Unternehmen – ermöglicht,
einen bislang ungekannten Aufschrei ausgelöst.
Jörg Neumann,
Sales & Marketing
bei SSV Software Systems GmbH
Stellt man sich im Umfeld der Automatisierung die Frage, ob die Systeme, für die
man verantwortlich ist und für die tägliche Arbeit nutzt, nun noch als genauso sicher
wie vor den Snowden-Enthüllungen anzusehen sind, muss die Antwort eigentlich in
jedem Fall „Nein“ lauten. Ein wichtiger Aspekt dabei ist, dass führende US-Softwareund
Internetunternehmen gewollt oder ungewollt direkt mit den US-Geheimdiensten
zusammenarbeiten. Die NSA hat in einigen Fällen sogar direkten Zugriff auf die Server
dieser Unternehmen und kann auch verschlüsselte Daten lesen. Durch Microsoft
und Google, die als Cloud Service Provider den ein oder anderen größeren Automatisierungsanbieter
zu ihren Kunden zählen, sind durch diese Abhör- und Überwachungsaktivitäten
hauptsächlich Privatpersonen betroffen. Allerdings nutzen auch
Geschäftskunden in aller Welt die Dienste dieser Anbieter, z.B. für die weltweite Kommunikation
mit Kunden und Partnern per Skype.
Auch die nach Ausbruch des Überwachungsskandals oft empfohlene Datenverschlüsselung
bietet nicht immer eine ausreichende Sicherheit, denn eine typische Ende-zu-
Ende-Verschlüsselung nützt hinsichtlich der zuvor beschriebenen Möglichkeiten nichts,
wenn ein Nachrichtendienst die Server des Cloud-Providers anzapfen oder durch
die Hintertür direkt per Fernzugriffsschnittstelle auf Automatisierungskomponenten
zugreifen kann. Denn dort sind die Daten in der Regel unverschlüsselt gespeichert.
Jeder Verantwortliche in der M2M- und Automatisierungswelt muss sich daher
heute die Frage stellen, ob die eigene Systemlösung eigentlich noch als ausreichend
sicher anzusehen ist. Wenn man parallel zur NSA-Problematik die aktuelle Berichterstattung
über Sicherheitslücken in ca. 200.000 installierten Steuerungen verfolgt
und davon ausgeht, dass dies bislang nur „die Spitze des Eisbergs“ ist, sind Zweifel
an einer ausreichenden und zeitgemäßen Sicherheit der ein oder anderen Anlage
wohl mehr als berechtigt. Aber nicht nur für Unternehmen sondern auch im privaten
Bereich birgt die zunehmende Internetanbindung von Anlagen nicht nur einen Komfortgewinn
sondern ernsthafte Risiken. Spätestens dann – wenn wie jüngst bekannt
geworden – durch eine Sicherheitslücke im Fernwartungszugang die Heizung im heimischen
Keller durch Dritte manipuliert werden kann, bekommt das Thema Sicherheit
eine ganz konkrete Bedeutung.
Ein erster Weg aus dem Dilemma könnte die Wahl eines Cloudservice- oder Lösungs-
Anbieters sein, der sowohl den Firmensitz als auch sein Rechenzentrum in Deutschland
beheimatet. In jedem Fall sollte nicht blind darauf vertraut werden, dass die
Anbindung einer Anlage schon dadurch automatisch sicher ist, weil diese über einen
Webbrowser aus der Ferne erreichbar und der Anbieter seriös ist. Gerade die Art und
Qualität der Anbindung einer Anlage an das Internet bedarf einer ständigen Pflege
und regelmäßiger Neubewertung der möglichen Schwachstellen. Hier sind spezialisierte
Anbieter gefragt, die sich diesem Thema verschrieben haben und Anlagenbauern
sowie Automatisierungskomponenten- und Steuerungsherstellern mit dem entsprechenden
Know-How zur Seite stehen.
Jörg Neumann,
Sales & Marketing bei SSV Software Systems GmbH
PC & Industrie 11/2013 3