Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Schwachstellen aufgedeckt: Der…

Es wird zu wenig von oben dagegen getan...

  1. Thema

Neues Thema Ansicht wechseln


  1. Es wird zu wenig von oben dagegen getan...

    Autor: RaDoef 18.07.16 - 09:56

    Ich kann (als IT Sicherheitsverantwortlicher in einem Wasserver- und Entsorgungsunternehmen mit 127.000 Kunden) sagen, dass von oben zu wenig getan wird. Auch vom BSI ! Warum? Ganz einfach: Das IT-Sicherheitsgesetz kam als Thema in die Politik und wurde groß ausgebreitet. Anstatt es dann verpflichtend für alle einzuführen und alle zu zwingen sich mit dem Thema auseinander zu setzen wurde die Rechtsverordnung des Gesetzes so niedrig angesetzt, dass es in ganz Norddeutschland EINEN einzigen Wasserversorger trifft (und das trotz der Tatsache, dass es teilweise in großen norddeutschen Städten pro Stadtteil einen oder sogar zwei zuständige Versorger gibt). Vom Ruhrgebiet oder anderen Teilen von Deutschland will ich an dieser Stelle lieber gar nicht sprechen... Man wird als IT-Sicherheitsverantwortlicher dadurch dann bald als "paranoid" belächelt. Immer nach dem Motto "Bei uns passiert schon nichts...". Gäbe es klare, gesetzliche Vorgaben und Meldepflichten würde auch der letzte Dipl. Ing. das Thema ernst nehmen und etwas tun.. Die Geschäftsführung von Versorgungsunternehmen hätte man dann auch (durchweg) auf seiner Seite - die meisten werden tätig, sobald ihnen Strafe droht...

    Stadtwerke, welche auch Strom / Gasversorgungsaufträge haben, gehen damit (aufgrund ihrer vom Gesetzgeber vorhandenen Situation bei Strom / Gas) ganz anders um. Reine Wasserversorger (ich sehe es bei meinen Kollegen) sind Lichtjahre davon entfernt - und sehen (dank unserer Gesetzgebung) auch selten konkreten Handlungsbedarf oder schieben es ewig auf.
    Es gibt Betreiber mit Infrastrukturen die den technischen Stand von 2002 / 2003 haben und heute trotzdem mit "Brücken" am Internet hängen.. Warum? Fehlendes technisches Know-How / kein vorgeschriebener Handlungsbedarf seitens der Chefs vorhanden. Mich wundert ehrlich gesagt, dass die Autoren des Artikels so wenig Anlagen gefunden haben - es gibt unmengen an Anlagen mit Steuerungstechnik einer großen deutschen Marke, welche z.B. über Shodan in Sekunden zu finden sind und sich dann mit "Standardlogindaten" aus dem Handbuch problemlos aufrufen und übernehmen lassen.

    Genau genommen sind alte HMIs / nicht aktualisierte Softwarebestände auf diesen (meiner Meinung nach) auch kein großes Problem. Das Problem ist die Integration dieser in öffentliche Netzwerke - das sollte man (auch mit aktuellster Software) niemals tun. Wir haben alle unsere Anlagen nur über VPN oder (wo möglich) MPLS Netzwerke zentralisiert / erreichbar gemacht. Über separate VPN Zugänge + zusätzliche Authentifikation lassen sich dann wiederrum nur "Vermittlungssysteme" (gehärtete TerminalServer mit entsprechender Leitsoftware) erreichen - niemals direkt die Anlage. Zwischen dem "Steuerungs-MPLS" und dem Vermittlungsserver steckt wiederrum entsprechend eine aktuelle, stark restriktiv konfigurierte Firewall. Das gibt häufig Unmut bei Errichtern und den direkten Betreibern der Anlage (auch die wollen es möglichst einfach und schnell) weil die Konfiguration / Wartung stockt aber dafür kann ich mit ruhigem Gewissen ins Bett gehen.

    Wie gesagt: Es würde sich viel drehen wenn unser Gesetzgeber klarere Vorgaben (auch für die Kleinen um die es in der Mehrzahl geht) gibt und sich nicht nur um die "großen 10" sorgt.

    Edit: Zur Aktualisierung der HMIs - Ich sehe in fehlenden Updates (an dieser Stelle) auch die Seite der Betreiber / Programmierer der Anlagen. Durch die Updates ändern sich häufig plötzlich Rahmenbedingungen von den Anlagen selbst - ein Update hat häufig einen endlosen Rattenschwanz an notwendigen Neu- / Umprogrammierungen hinten dran. Das ist nicht wirtschaftlich. Außerdem: Selbst mit aktuellstem Softwarestand garantiert einem niemand den maximalen Grad an Sicherheit. Es ist daher (meiner Meinung nach) wesentlich sicherer die Anlagen gar nicht erst direkt erreichbar zu machen, sondern so abzukapseln, dass sie nur stark restriktiv und gesichert erreichbar sind.



    4 mal bearbeitet, zuletzt am 18.07.16 10:06 durch RaDoef.

  2. Re: Es wird zu wenig von oben dagegen getan...

    Autor: User_x 18.07.16 - 10:56

    Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. BHS Corrugated Maschinen- und Anlagenbau GmbH, Weiherhammer
  3. TeamViewer GmbH, Göppingen
  4. Dataport, Bremen, Magdeburg, Hamburg, Rostock, Altenholz bei Kiel, Halle (Saale)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 54,00€
  2. 19,99€ (Release am 1. August)
  3. 69,00€ (Bestpreis!)
  4. (aktuell u. a. AMD Ryzen 7 2700X für 284,00€, Lego Overwatch verschiedene Versionen ab 29,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
  2. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden
  3. Zellproduktion EU macht Druck auf Altmaier wegen Batteriezellenfabrik

  1. Werbenetzwerke: Erste DSGVO-Untersuchung gegen Google gestartet
    Werbenetzwerke
    Erste DSGVO-Untersuchung gegen Google gestartet

    Ein Jahr nach Inkrafttreten der DSGVO wird die irische Datenschutzbehörde gegen Google tätig. Dabei geht es um die Kategorisierung von Nutzern in Werbenetzwerken.

  2. Google Cloud: Media Markt/Saturn will Preise von Amazon voraussehen
    Google Cloud
    Media Markt/Saturn will Preise von Amazon voraussehen

    Das Predictive Pricing von Media Markt basiert auf einer eigenentwickelten Software, die Rechenleistung der Google Cloud nutzt. Preisanpassungen, auch online, erfolgen außerhalb der Ladenöffnungszeiten der Märkte.

  3. US-Boykott: Deutsche Netzbetreiber bieten weiter Huawei-Smartphones an
    US-Boykott
    Deutsche Netzbetreiber bieten weiter Huawei-Smartphones an

    Während im Ausland Vorbestellungen schon ausgesetzt sind, bieten alle drei Mobilfunkbetreiber weiterhin Huawei-Smartphones an. Dabei stehen alle mit Google und Huawei in Kontakt.


  1. 16:27

  2. 15:30

  3. 13:21

  4. 13:02

  5. 12:45

  6. 12:26

  7. 12:00

  8. 11:39