Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Schwachstellen aufgedeckt: Der…

Es wird zu wenig von oben dagegen getan...

  1. Beitrag
  1. Thema

Es wird zu wenig von oben dagegen getan...

Autor: RaDoef 18.07.16 - 09:56

Ich kann (als IT Sicherheitsverantwortlicher in einem Wasserver- und Entsorgungsunternehmen mit 127.000 Kunden) sagen, dass von oben zu wenig getan wird. Auch vom BSI ! Warum? Ganz einfach: Das IT-Sicherheitsgesetz kam als Thema in die Politik und wurde groß ausgebreitet. Anstatt es dann verpflichtend für alle einzuführen und alle zu zwingen sich mit dem Thema auseinander zu setzen wurde die Rechtsverordnung des Gesetzes so niedrig angesetzt, dass es in ganz Norddeutschland EINEN einzigen Wasserversorger trifft (und das trotz der Tatsache, dass es teilweise in großen norddeutschen Städten pro Stadtteil einen oder sogar zwei zuständige Versorger gibt). Vom Ruhrgebiet oder anderen Teilen von Deutschland will ich an dieser Stelle lieber gar nicht sprechen... Man wird als IT-Sicherheitsverantwortlicher dadurch dann bald als "paranoid" belächelt. Immer nach dem Motto "Bei uns passiert schon nichts...". Gäbe es klare, gesetzliche Vorgaben und Meldepflichten würde auch der letzte Dipl. Ing. das Thema ernst nehmen und etwas tun.. Die Geschäftsführung von Versorgungsunternehmen hätte man dann auch (durchweg) auf seiner Seite - die meisten werden tätig, sobald ihnen Strafe droht...

Stadtwerke, welche auch Strom / Gasversorgungsaufträge haben, gehen damit (aufgrund ihrer vom Gesetzgeber vorhandenen Situation bei Strom / Gas) ganz anders um. Reine Wasserversorger (ich sehe es bei meinen Kollegen) sind Lichtjahre davon entfernt - und sehen (dank unserer Gesetzgebung) auch selten konkreten Handlungsbedarf oder schieben es ewig auf.
Es gibt Betreiber mit Infrastrukturen die den technischen Stand von 2002 / 2003 haben und heute trotzdem mit "Brücken" am Internet hängen.. Warum? Fehlendes technisches Know-How / kein vorgeschriebener Handlungsbedarf seitens der Chefs vorhanden. Mich wundert ehrlich gesagt, dass die Autoren des Artikels so wenig Anlagen gefunden haben - es gibt unmengen an Anlagen mit Steuerungstechnik einer großen deutschen Marke, welche z.B. über Shodan in Sekunden zu finden sind und sich dann mit "Standardlogindaten" aus dem Handbuch problemlos aufrufen und übernehmen lassen.

Genau genommen sind alte HMIs / nicht aktualisierte Softwarebestände auf diesen (meiner Meinung nach) auch kein großes Problem. Das Problem ist die Integration dieser in öffentliche Netzwerke - das sollte man (auch mit aktuellster Software) niemals tun. Wir haben alle unsere Anlagen nur über VPN oder (wo möglich) MPLS Netzwerke zentralisiert / erreichbar gemacht. Über separate VPN Zugänge + zusätzliche Authentifikation lassen sich dann wiederrum nur "Vermittlungssysteme" (gehärtete TerminalServer mit entsprechender Leitsoftware) erreichen - niemals direkt die Anlage. Zwischen dem "Steuerungs-MPLS" und dem Vermittlungsserver steckt wiederrum entsprechend eine aktuelle, stark restriktiv konfigurierte Firewall. Das gibt häufig Unmut bei Errichtern und den direkten Betreibern der Anlage (auch die wollen es möglichst einfach und schnell) weil die Konfiguration / Wartung stockt aber dafür kann ich mit ruhigem Gewissen ins Bett gehen.

Wie gesagt: Es würde sich viel drehen wenn unser Gesetzgeber klarere Vorgaben (auch für die Kleinen um die es in der Mehrzahl geht) gibt und sich nicht nur um die "großen 10" sorgt.

Edit: Zur Aktualisierung der HMIs - Ich sehe in fehlenden Updates (an dieser Stelle) auch die Seite der Betreiber / Programmierer der Anlagen. Durch die Updates ändern sich häufig plötzlich Rahmenbedingungen von den Anlagen selbst - ein Update hat häufig einen endlosen Rattenschwanz an notwendigen Neu- / Umprogrammierungen hinten dran. Das ist nicht wirtschaftlich. Außerdem: Selbst mit aktuellstem Softwarestand garantiert einem niemand den maximalen Grad an Sicherheit. Es ist daher (meiner Meinung nach) wesentlich sicherer die Anlagen gar nicht erst direkt erreichbar zu machen, sondern so abzukapseln, dass sie nur stark restriktiv und gesichert erreichbar sind.



4 mal bearbeitet, zuletzt am 18.07.16 10:06 durch RaDoef.


Neues Thema Ansicht wechseln


Thema
 

Es wird zu wenig von oben dagegen getan...

RaDoef | 18.07.16 - 09:56
 

Re: Es wird zu wenig von oben dagegen...

User_x | 18.07.16 - 10:56

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stadtverwaltung Kaiserslautern, Kaiserslautern
  2. mWGmy World Germany GmbH, Köln
  3. Etkon GmbH, Gräfelfing
  4. SCHILLER Medizintechnik GmbH, Feldkirchen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 69,90€ (Bestpreis!)
  2. 279,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

  1. H2.City Gold: Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor
    H2.City Gold
    Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor

    Damit die Luft in Städten besser wird, sollen Busse sauberer werden. Ein neuer Bus aus Portugal mit Brennstoffzellenantrieb emititiert als Abgas nur Wasserdampf.

  2. Ceconomy: Offene Führungskrise bei Media Markt und Saturn
    Ceconomy
    Offene Führungskrise bei Media Markt und Saturn

    Die Diskussion um die mögliche Absetzung von Ceconomy-Chef Jörn Werner sollte eigentlich noch nicht öffentlich werden. Jetzt wissen es alle, und es gibt keinen Nachfolger.

  3. Polizei: Hunde, die nach Datenspeichern schnüffeln
    Polizei
    Hunde, die nach Datenspeichern schnüffeln

    Spürhunde können neben Sprengstoff und Drogen auch Datenspeicher oder Smartphones erschnüffeln. Die Polizei in Nordrhein-Westfalen hat kürzlich ihre frisch ausgebildeten Speicherschnüffler vorgestellt.


  1. 18:18

  2. 18:00

  3. 17:26

  4. 17:07

  5. 16:42

  6. 16:17

  7. 15:56

  8. 15:29