Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Schwachstellen aufgedeckt: Der…

Es wird zu wenig von oben dagegen getan...

  1. Thema

Neues Thema Ansicht wechseln


  1. Es wird zu wenig von oben dagegen getan...

    Autor: RaDoef 18.07.16 - 09:56

    Ich kann (als IT Sicherheitsverantwortlicher in einem Wasserver- und Entsorgungsunternehmen mit 127.000 Kunden) sagen, dass von oben zu wenig getan wird. Auch vom BSI ! Warum? Ganz einfach: Das IT-Sicherheitsgesetz kam als Thema in die Politik und wurde groß ausgebreitet. Anstatt es dann verpflichtend für alle einzuführen und alle zu zwingen sich mit dem Thema auseinander zu setzen wurde die Rechtsverordnung des Gesetzes so niedrig angesetzt, dass es in ganz Norddeutschland EINEN einzigen Wasserversorger trifft (und das trotz der Tatsache, dass es teilweise in großen norddeutschen Städten pro Stadtteil einen oder sogar zwei zuständige Versorger gibt). Vom Ruhrgebiet oder anderen Teilen von Deutschland will ich an dieser Stelle lieber gar nicht sprechen... Man wird als IT-Sicherheitsverantwortlicher dadurch dann bald als "paranoid" belächelt. Immer nach dem Motto "Bei uns passiert schon nichts...". Gäbe es klare, gesetzliche Vorgaben und Meldepflichten würde auch der letzte Dipl. Ing. das Thema ernst nehmen und etwas tun.. Die Geschäftsführung von Versorgungsunternehmen hätte man dann auch (durchweg) auf seiner Seite - die meisten werden tätig, sobald ihnen Strafe droht...

    Stadtwerke, welche auch Strom / Gasversorgungsaufträge haben, gehen damit (aufgrund ihrer vom Gesetzgeber vorhandenen Situation bei Strom / Gas) ganz anders um. Reine Wasserversorger (ich sehe es bei meinen Kollegen) sind Lichtjahre davon entfernt - und sehen (dank unserer Gesetzgebung) auch selten konkreten Handlungsbedarf oder schieben es ewig auf.
    Es gibt Betreiber mit Infrastrukturen die den technischen Stand von 2002 / 2003 haben und heute trotzdem mit "Brücken" am Internet hängen.. Warum? Fehlendes technisches Know-How / kein vorgeschriebener Handlungsbedarf seitens der Chefs vorhanden. Mich wundert ehrlich gesagt, dass die Autoren des Artikels so wenig Anlagen gefunden haben - es gibt unmengen an Anlagen mit Steuerungstechnik einer großen deutschen Marke, welche z.B. über Shodan in Sekunden zu finden sind und sich dann mit "Standardlogindaten" aus dem Handbuch problemlos aufrufen und übernehmen lassen.

    Genau genommen sind alte HMIs / nicht aktualisierte Softwarebestände auf diesen (meiner Meinung nach) auch kein großes Problem. Das Problem ist die Integration dieser in öffentliche Netzwerke - das sollte man (auch mit aktuellster Software) niemals tun. Wir haben alle unsere Anlagen nur über VPN oder (wo möglich) MPLS Netzwerke zentralisiert / erreichbar gemacht. Über separate VPN Zugänge + zusätzliche Authentifikation lassen sich dann wiederrum nur "Vermittlungssysteme" (gehärtete TerminalServer mit entsprechender Leitsoftware) erreichen - niemals direkt die Anlage. Zwischen dem "Steuerungs-MPLS" und dem Vermittlungsserver steckt wiederrum entsprechend eine aktuelle, stark restriktiv konfigurierte Firewall. Das gibt häufig Unmut bei Errichtern und den direkten Betreibern der Anlage (auch die wollen es möglichst einfach und schnell) weil die Konfiguration / Wartung stockt aber dafür kann ich mit ruhigem Gewissen ins Bett gehen.

    Wie gesagt: Es würde sich viel drehen wenn unser Gesetzgeber klarere Vorgaben (auch für die Kleinen um die es in der Mehrzahl geht) gibt und sich nicht nur um die "großen 10" sorgt.

    Edit: Zur Aktualisierung der HMIs - Ich sehe in fehlenden Updates (an dieser Stelle) auch die Seite der Betreiber / Programmierer der Anlagen. Durch die Updates ändern sich häufig plötzlich Rahmenbedingungen von den Anlagen selbst - ein Update hat häufig einen endlosen Rattenschwanz an notwendigen Neu- / Umprogrammierungen hinten dran. Das ist nicht wirtschaftlich. Außerdem: Selbst mit aktuellstem Softwarestand garantiert einem niemand den maximalen Grad an Sicherheit. Es ist daher (meiner Meinung nach) wesentlich sicherer die Anlagen gar nicht erst direkt erreichbar zu machen, sondern so abzukapseln, dass sie nur stark restriktiv und gesichert erreichbar sind.



    4 mal bearbeitet, zuletzt am 18.07.16 10:06 durch RaDoef.

  2. Re: Es wird zu wenig von oben dagegen getan...

    Autor: User_x 18.07.16 - 10:56

    Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bundesanstalt für Post und Telekommunikation Deutsche Bundespost, Bonn, Stuttgart
  2. Landkreis Hameln-Pyrmont, Hameln-Pyrmont
  3. Landratsamt Reutlingen, Reutlingen
  4. EnBW Energie Baden-Württemberg AG, Karlsruhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (z. B. Core i5 9600K + Gigabyte Z390 Aorus Master für 468,00€, Core i7 900K + MSI MPG Z390...
  2. 215€
  3. (Restposten und Einzelstücke reduziert)
  4. (u. a. 50 Zoll für 449,00€, 43 Zoll für 399,00€, 58 Zoll für 529,00€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


IAA 2019: PS-Wahn statt Visionen
IAA 2019
PS-Wahn statt Visionen

IAA 2019 Alle Autobosse bekennen sich auf der IAA zur Nachhaltigkeit, doch auf den Ständen findet man weiterhin viele große, spritfressende Modelle. Dabei stellt sich die grundsätzliche Frage: Ist das Konzept der Automesse noch zeitgemäß?
Eine Analyse von Dirk Kunde


    Ryzen 7 3800X im Test: Der schluckt zu viel
    Ryzen 7 3800X im Test
    "Der schluckt zu viel"

    Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
    Ein Test von Marc Sauter

    1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
    2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
    3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

    Astrobiologie: Woher kommen das Leben, das Universum und der ganze Rest?
    Astrobiologie
    Woher kommen das Leben, das Universum und der ganze Rest?

    Erst kam der Urknall, dann entstand zufällig Leben - oder es war alles vollkommen anders. Statt Materie und Energie könnten Informationen das Wichtigste im Universum sein, und vielleicht leben wir in einer Simulation.
    Von Miroslav Stimac

    1. Astronomie Amateur entdeckt ersten echten interstellaren Kometen
    2. Astronomie Forscher entdeckten uralte Galaxien
    3. 2019 LF6 Großer Asteroid im Innern des Sonnensystems entdeckt

    1. 16-Kern-CPU: Ryzen 9 3950X erscheint mit Threadripper v3 im November
      16-Kern-CPU
      Ryzen 9 3950X erscheint mit Threadripper v3 im November

      AMD verschiebt den Start des Ryzen 9 3950X von September 2019 auf November, dann sollen auch die Threadripper v3 erhältlich sein. Man wolle erst die Verfügbarkeit der kleineren Ryzen-Modelle sicherstellen.

    2. IT-Konsolidierung des Bundes: Beschaffter Hardware droht vollständige Abschreibung
      IT-Konsolidierung des Bundes
      Beschaffter Hardware droht vollständige Abschreibung

      Im Projekt IT-Konsolidierung der Bundesregierung droht jetzt eine teure Klage und die Abschreibung von bereits beschaffter Hardware. Der Streit läuft zwischen dem staatlichen Systemhaus BWI und dem Bundesinnenministerium.

    3. 1 bis 4 MBit/s: Bürgerinitiative bringt Deutsche Glasfaser zum Ausbau
      1 bis 4 MBit/s
      Bürgerinitiative bringt Deutsche Glasfaser zum Ausbau

      Einige Dörfer in Niedersachsen machen es ähnlich wie früher Google Fiberhoods. Sie schließen sich zusammen, um eine bessere Versorgung durchzusetzen: Von 1 MBit/s auf 1 GBit/s, nur mit der Deutschen Glasfaser.


    1. 19:00

    2. 18:30

    3. 17:55

    4. 16:56

    5. 16:50

    6. 16:00

    7. 15:46

    8. 14:58