Informations-
sicherheit
Sie investieren volle 100% in Informationssicherheit.
Was bekommen Sie zurück?
- Zertifizierungsfähige ISMS oder Teile daraus, z.B. Information Asset Register und Risikoanalysen
- ISMS-Betriebsunterstützung, z.B. Auditvorbereitung
- IoT/IIoT Penetrationstests
vimatec bietet ein vollständiges Beratungsangebot rund um ISMS im industriellen Umfeld.
Das umfasst neben vollständiger ISMS Einführung auch Teilbereiche wie Betriebsunterstützung einschließlich Maßnahmenumsetzung und, als besonderer Schwerpunkt, IoT/IIoT Penetrationstests.
Studienergebnis:1)
Trotz wachsender Besorgnis räumten 2018 von 9500 befragten Führungskräften aus 122 Ländern ein:
44% : keine Informationssicherheits-Strategie
48% : kein Trainingsprogramm für Mitarbeiter
54% : kein Prozess für Informationssicherheits-Vorfälle
Ähnlich alarmierend waren die Angaben zur Nutzung grundlegender Informationssicherheits-Techniken2)
Konkrete Arbeitspakete, die getrennt beauftragt werden können:
|
Vorbereitung |
Vorarbeiten |
Risikobeurteilung |
Maßnahmen |
Bewertung |
|
Externer ISB, (Teil-)Projektleitung |
||||
|
IT-Schulung „ISMS Projekt“ |
IS-Leitlinie, |
Definition von Kriterien für Risiko-Akzeptanz und Durchführung der Beurteilung |
Überwachung, Messung, Analyse und Bewertung von Maßnahmen |
Mgmt-Bewertung |
|
Mgmt Workshop |
Umfeldanalyse, interessierte Parteien |
Risiko-Identifikation |
MA-Schulungen |
Auditvorbereitung |
|
Information Asset Register |
Risikoanalyse |
Durchführung technischer / organis. Maßnahmen |
Interne Audits |
|
|
Risiko-Bewertung |
Penetrationstest speziell für IoT/IIoT (siehe Infobox) |
|||
|
Anwendbarkeits-Erklärung |
||||
Was ist das Besondere an einem Penetrationstest im IIoT-Umfeld?
IIoT Security ist ein Thema für die, die weiter denken als bis zur reinen Funktionalität.
IIoT Penetrationstests aber sind für die, die über die reine Implementierung von IIoT Security hinaus denken.
Penetrationstests geben Auskunft über die Wirksamkeit der getroffenenen Schutzmaßnahmen und sind daher ein fester Bestandteil eines wirksamen Informationssicherheitsmanagements, auch im Bereich Industrie 4.0 / IIoT.
Es ist das komplexe Zusammenspiel von technisch sehr unterschiedlichen Komponenten auf diversen Ebenen, die IIoT-Landschaften so angreifbar macht - oder schwer zu schützen, von der Verteidigerperspektive aus gesehen.
Von den verwendeten Technologien hat jede ihre Eigenarten: während es auf den untersten Ebenen (bei den Microcontrollern) eine riesige Vielfalt an Hardware-Lösungen gibt, mangelt es dort an Dingen, die man anderswo im Überfluss hat (z.B. Rechenleistung). Im Netzwerk wiederum finden sich spezielle IIoT-Übertragungstechniken, -Protokolle oder -Schnittstellen. Auf den höheren Ebenen gibt es fast immer eine heterogene Architektur aus Bestands-Systemen und neueren Analyseplattformen. Der Cloud-Bereich wiederum ist ebenfalls von einer großen technischen Diversität geprägt - hier liegt die besondere Herausforderung für den Pen-Tester: er (oder sie) muss ein besonders breites Know-How-Spektrum besitzen, um die richtigen Ansatzpunkte zu verstehen und auszuloten.
Bei vimatec legen wir besonderes Augenmerk auf die klare Definition des Rahmens ("Scope") von Penetrationstests - und im Anschluß liefern wir eine Dokumentation, die folgende Fragen beantwortet:
- Was ist das Gesamtbild, das sich aus dem Test ergibt?
- Welche Bedingungen liegen dem Test zugrunde, welche Annahmen wurden getroffen?
- Welche Designmerkmale, technischen Umsetzungsmerkmale, Organisationsmerkmale, Betriebsmerkmale der IT/IIoT Landschaft sind Schwachpunkte und erhöhen das Risiko?
- Welche Maßnahmen würden in den obigen Punkten Abhilfe schaffen?
- Wie kann man auch im Falle eines erfolgreichen Angriffs auf eine der Ebenen einen Notbetrieb bzw. Wiederanlauf sicherstellen?
- Welche Untersuchungsmethoden wurden angewendet?
Auf der Basis sorgfältiger Abstimmung liefern wir somit Ergebnisse, die unseren Kunden den gewünschten Nutzen liefern: Tests für praxisorientierte Angriffsszenarien und klare Aussagen zu Schwachstellen und ihrer Vermeidung.
IIoT-Sicherheit längst ein alter Hut?
Auch wenn der Begriff des IoT im Consumer-Markt schon seit ein paar Jahren "ge-hyped" wird - die Sicherheitsaspekte sind längst nicht allumfassend abgedeckt - schon gar nicht in seinem industriellen Gegenstück, dem IIoT.
Einen wirklich lesenswerten Beitrag dazu liefert Herr Ries im Mittelstands-Wiki (www.mittelstandswiki.de, genaue URL siehe uten).
Dort werden sehr spezifische Angriffsmethoden skizziert, die aber heute reeller sind als man es sich noch vor wenigen Jahren vorstellen konnte - es "besteht kein Zweifel daran, dass subtilere Manipulationen von Produktionsprozessen zu Qualitätsproblemen führen könnten, die jenseits aller Kontrollmöglichkeiten" liegen, so der Autor.
Hören Sie also lieber nicht auf selbsternannte Fachleute, die IT-basierte Angriffe auf Industrie-Anlagen als Verschwörungstheorien abtun und lassen Sie sich beraten - von Profis, die beides haben: IT- und Industrie-Kompetenz.
Quelle: https://www.mittelstandswiki.de/wissen/IIoT-Sicherheit
IIoT eröffnet spannende Möglichkeiten
Dank IIoT ergeben sich neue Optionen für die Optimierung von industriellen Prozessen. Aber die Komplexität dieses Konzeptes stellt viele Firmen vor Herausforderungen. Das führt oft zu Schwachstellen im Sinne der Informationssicherheit.
vimatec hilft dabei, sie zu vermeiden oder zumindest sie zu erkennen und zu beseitigen.
BigData Insider schrieb:
Negative Aspekte des IIoT
"Fehlende Standards und herstellerspezifische Protokolle haben zur Folge, dass IIoT-Geräte verschiedener Hersteller nicht miteinander kompatibel sind. Es können Abhängigkeiten zu bestimmten Anbietern entstehen. Für die anfallenden Datenmengen sind Anwendungen und Datenbanken aus dem Big-Data-Umfeld bereitzuhalten. Der Aufwand für die Verarbeitung, Absicherung und Speicherung der Daten steigt und gleichzeitig entsteht neues Potenzial für Sicherheitslücken und Datenlecks."
(c) BigData Insider 2017
Quelle: https://www.bigdata-insider.de/was-ist-das-industrial-internet-of-things-iiot-a-654986/
