Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Schwachstellen aufgedeckt: Der…

Es wird zu wenig von oben dagegen getan...

  1. Thema

Neues Thema Ansicht wechseln


  1. Es wird zu wenig von oben dagegen getan...

    Autor: RaDoef 18.07.16 - 09:56

    Ich kann (als IT Sicherheitsverantwortlicher in einem Wasserver- und Entsorgungsunternehmen mit 127.000 Kunden) sagen, dass von oben zu wenig getan wird. Auch vom BSI ! Warum? Ganz einfach: Das IT-Sicherheitsgesetz kam als Thema in die Politik und wurde groß ausgebreitet. Anstatt es dann verpflichtend für alle einzuführen und alle zu zwingen sich mit dem Thema auseinander zu setzen wurde die Rechtsverordnung des Gesetzes so niedrig angesetzt, dass es in ganz Norddeutschland EINEN einzigen Wasserversorger trifft (und das trotz der Tatsache, dass es teilweise in großen norddeutschen Städten pro Stadtteil einen oder sogar zwei zuständige Versorger gibt). Vom Ruhrgebiet oder anderen Teilen von Deutschland will ich an dieser Stelle lieber gar nicht sprechen... Man wird als IT-Sicherheitsverantwortlicher dadurch dann bald als "paranoid" belächelt. Immer nach dem Motto "Bei uns passiert schon nichts...". Gäbe es klare, gesetzliche Vorgaben und Meldepflichten würde auch der letzte Dipl. Ing. das Thema ernst nehmen und etwas tun.. Die Geschäftsführung von Versorgungsunternehmen hätte man dann auch (durchweg) auf seiner Seite - die meisten werden tätig, sobald ihnen Strafe droht...

    Stadtwerke, welche auch Strom / Gasversorgungsaufträge haben, gehen damit (aufgrund ihrer vom Gesetzgeber vorhandenen Situation bei Strom / Gas) ganz anders um. Reine Wasserversorger (ich sehe es bei meinen Kollegen) sind Lichtjahre davon entfernt - und sehen (dank unserer Gesetzgebung) auch selten konkreten Handlungsbedarf oder schieben es ewig auf.
    Es gibt Betreiber mit Infrastrukturen die den technischen Stand von 2002 / 2003 haben und heute trotzdem mit "Brücken" am Internet hängen.. Warum? Fehlendes technisches Know-How / kein vorgeschriebener Handlungsbedarf seitens der Chefs vorhanden. Mich wundert ehrlich gesagt, dass die Autoren des Artikels so wenig Anlagen gefunden haben - es gibt unmengen an Anlagen mit Steuerungstechnik einer großen deutschen Marke, welche z.B. über Shodan in Sekunden zu finden sind und sich dann mit "Standardlogindaten" aus dem Handbuch problemlos aufrufen und übernehmen lassen.

    Genau genommen sind alte HMIs / nicht aktualisierte Softwarebestände auf diesen (meiner Meinung nach) auch kein großes Problem. Das Problem ist die Integration dieser in öffentliche Netzwerke - das sollte man (auch mit aktuellster Software) niemals tun. Wir haben alle unsere Anlagen nur über VPN oder (wo möglich) MPLS Netzwerke zentralisiert / erreichbar gemacht. Über separate VPN Zugänge + zusätzliche Authentifikation lassen sich dann wiederrum nur "Vermittlungssysteme" (gehärtete TerminalServer mit entsprechender Leitsoftware) erreichen - niemals direkt die Anlage. Zwischen dem "Steuerungs-MPLS" und dem Vermittlungsserver steckt wiederrum entsprechend eine aktuelle, stark restriktiv konfigurierte Firewall. Das gibt häufig Unmut bei Errichtern und den direkten Betreibern der Anlage (auch die wollen es möglichst einfach und schnell) weil die Konfiguration / Wartung stockt aber dafür kann ich mit ruhigem Gewissen ins Bett gehen.

    Wie gesagt: Es würde sich viel drehen wenn unser Gesetzgeber klarere Vorgaben (auch für die Kleinen um die es in der Mehrzahl geht) gibt und sich nicht nur um die "großen 10" sorgt.

    Edit: Zur Aktualisierung der HMIs - Ich sehe in fehlenden Updates (an dieser Stelle) auch die Seite der Betreiber / Programmierer der Anlagen. Durch die Updates ändern sich häufig plötzlich Rahmenbedingungen von den Anlagen selbst - ein Update hat häufig einen endlosen Rattenschwanz an notwendigen Neu- / Umprogrammierungen hinten dran. Das ist nicht wirtschaftlich. Außerdem: Selbst mit aktuellstem Softwarestand garantiert einem niemand den maximalen Grad an Sicherheit. Es ist daher (meiner Meinung nach) wesentlich sicherer die Anlagen gar nicht erst direkt erreichbar zu machen, sondern so abzukapseln, dass sie nur stark restriktiv und gesichert erreichbar sind.



    4 mal bearbeitet, zuletzt am 18.07.16 10:06 durch RaDoef.

  2. Re: Es wird zu wenig von oben dagegen getan...

    Autor: User_x 18.07.16 - 10:56

    Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Bonn, Meckenheim
  2. KION Group IT, Frankfurt am Main
  3. INIT Group, Karlsruhe
  4. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 279,90€
  2. 61,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

  1. Supply-Chain-Angriff: Spionagechips können einfach und günstig eingelötet werden
    Supply-Chain-Angriff
    Spionagechips können einfach und günstig eingelötet werden

    Ein Sicherheitsforscher zeigt, wie er mit Equipment für unter 200 US-Dollar mit einem Mikrochip eine Hardware-Firewall übernehmen konnte. Damit beweist er, wie günstig und realistisch solche Angriffe sein können. Vor einem Jahr berichtete Bloomberg von vergleichbaren chinesischen Spionagechips.

  2. IT an Schulen: Intelligenter Stift zeichnet Handschrift von Schülern auf
    IT an Schulen
    Intelligenter Stift zeichnet Handschrift von Schülern auf

    Stabilo und der Bund wollen einen Stift entwickeln, der Kinder bei Defiziten mit der Handschrift unterstützt. Mit Hilfe von Machine Learning und einer mobilen App analysiert das System das Geschriebene und passt Übungen an. Das Projekt ist mit 1,77 Millionen Euro beziffert.

  3. No Starch Press: IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor
    No Starch Press
    IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor

    Der Fachverlag No Starch Press wirft Amazon vor, Schwarzkopien von Büchern aus seinem Verlagsangebot zu verkaufen. Dabei handele es sich explizit nicht um Drittanbieter, sondern Amazon selbst als Verkäufer. Das geschieht nicht das erste Mal.


  1. 16:54

  2. 16:41

  3. 16:04

  4. 15:45

  5. 15:35

  6. 15:00

  7. 14:13

  8. 13:57