Wenn wir uns mit Informations-Sicherheit beschäftigen, kennen wir grob drei Bereiche. IT. OT. Cloud. Diese abzusichern, erfordert verschiedene Herangehensweisen, ganzheitliche Konzepte und ein hohes Maß an Verständnis für die eingesetzte Technik sowie die Geschäftsprozesse, welche bei der Verarbeitung der Daten im Vordergrund stehen.
Informations-Technologie
Informations-Sicherheit hat zum Ziel, die Sicherheit der Informationen, welche auf den jeweiligen Systemen betrieben werden, zu schützen. Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit werden an die Daten gestellt und so auf Systeme, Prozesse und Gebäude übertragen.
Die Systeme müssen abgesichert sein, dass der Zugriff beispielsweise nur durch berechtigte Personen erfolgt. Damit das auch für die physikalische Dimension gilt, werden IT-Systeme unter anderem in Server-Räumen und abgeschotteten Bereichen betrieben, in den nur berechtigte Personen Zugriff erhalten.
Die Systeme selbst werden abgesichert. Zum einen, in dem man das IT-System härtet. Zum anderen, weil man die IT-Systeme innerhalb abgesicherter Netzwerke betreibt. Eine Firewall und die Segmentierung in Netzen zählt dabei ebenso zum Standard, wie durch ein ausreichendes Patch-Management dafür zu sorgen, dass die IT-Systeme regelmäßig aktualisiert und neu bekannt gewordene Software-Schwachstellen geschlossen werden.
Betriebstechnik
Der Gegenentwurf zur IT ist die OT, also die Operational Technology. Frei übersetzt also die Betriebstechnik. Darunter fallen beispielsweise Automatisierungs-Anlagen für Industrie und Produktion. Aber auch eingebettete Systeme (embedded systems), wie man sie im medizintechnischen Bereich nutzt. Die Betriebstechnik ist ein großes Feld, sehr unterschiedlicher Systeme, Standards und Protokolle.
Aus der Blickrichtung der Informations-Sicherheit ist die Betriebstechnik eine besondere Herausforderung, da die Systeme oftmals nicht über die Schutzmechanismen herkömmlicher IT-Systeme verfügen. Auch Wartungs- und Software-Updates sind im Vergleich zur IT deutlich herausfordernder. Das liegt nicht nur an den Systemen, die zum Einsatz kommen und vieler, unterschiedlicher Standards. Es liegt auch am Bereich, in dem sie im Einsatz sind. Produktionen werden in hohem Maß automatisiert und sind für den Dauerbetrieb konzipiert. Ein Wartungsfenster kostet in diesen Fällen bares Geld.
Der Bereich der Betriebstechnik hat sich in den letzten Jahren jedoch stark verändert. Die Systeme werden immer vernetzter. Anfänglich genügte es, eine Produktionsanlage mit einem ERP-System zu verbinden, um eintreffende Aufträge zu planen. Mittlerweile werden verschiedenste Betriebsstätten, teilweise im Ausland betrieben, zentral gesteuert. Diese Vernetzung bedeutet aus der Sicht der Informations-Sicherheit eine Herausforderung. Systeme, die sich schlecht selbst verteidigen können, werden mit dem Internet verbunden. Es bedarf deshalb umfassender Sicherheits-Konzepte, um den Schutz der Systeme und damit die Einhaltung der Schutzziele sicherzustellen.
Im Bereich der Medizintechnik gilt eine ganz andere Herausforderung. Die Koordination von Medizin und der technischen Grundlage dieser. Viele Medizingeräte, wie beispielsweise Insulinpumpen, verfügen über Netzwerk-Schnittstellen wie LAN oder WLAN. Diese sind zur Überwachung und Steuerung der Systeme gedacht. Gleichzeitig ist das Krankenhaus ein Raum, in dem Betriebstechnik Hand in Hand mit herkömmlicher IT verwendet wird. Die Schnittstellen zwischen diesen beiden Welten verschwimmen. Dazu kommt der Patient als Mensch, der sich über einen Internet-Zugang im Krankenbett freut. Es entstehen Netze, mit verschiedenen Systemen und sehr unterschiedlichen Sicherheits-Niveaus. Der Schutz solcher Infrastrukturen kann beliebig komplex werden.
Cloud
Die Art, wie wir IT-Services für Benutzer zur Verfügung stellen, hat sich verändert. Früher war das Ziel, möglichst viel IT-Systeme on premise in der eigenen Netzwerk-Umgebung zu betreiben. Wenn wir heute IT-Dienste bereitstellen, stellt man sich deutlich häufiger die Frage, ob der Betrieb über einen Betreiber kostengünstiger ist. Dabei gibt es unzählige Spielarten von dedizierten Servern, die beim Betreiber bereitgestellt werden, bis hin zur Docker Container Umgebung, die als Cloud Service betrieben wird und nur noch mit Daten und der passenden Konfiguration befüllt werden muss.
Aus Sicht der Informations-Sicherheit bedeutet das auch, dass die physikalischen Gebäudegrenzen des Unternehmens längst nichts mehr mit den Standorten der verarbeiteten Daten zu tun haben. Möchte man einen ganzheitlichen Ansatz für die Informations-Sicherheit umsetzen, werden umfassende Konzepte und neue Produkte benötigt, um diese Sicherheit zu gewährleisten.
Informations-Sicherheit
Um die Informations-Sicherheit in den verschiedenen Bereichen sicherzustellen, genügt es nicht, das jeweilige System zu betrachten. Der Geschäftsprozess, welcher die Datenverarbeitung auch aus Sicht von BDSG (Bundesdatenschutzgesetz) und EU-DSGVO (europäische Datenschutz-Grundverordnung) legitimiert, sollte der Einstieg einer umfassenden Sicherheits-Betrachtung sein. Welche Daten werden erhoben, verarbeitet, gespeichert und dann archiviert oder ggfs. gelöscht. Welche Datenflüsse entstehen dadurch und welche Systeme werden benötigt, um diese Informationen zu verarbeiten.
Aus dieser Überlegung heraus entsteht eine logische Blaupause des Soll-Zustands. In Realität sehen die eingesetzten Systeme oft anderes aus. Hersteller erweitern Produkte permanent, um marktfähig zu bleiben. Das Ergebnis sind, aus Sicht der Informations-Sicherheit IT-Komponenten, die über immer mehr Fähigkeiten verfügen. Ggfs. werden diese für den Geschäftsprozess nicht benötigt, müssen aber Teil des Sicherheits-Konzeptes sein. Nicht benötigte Schnittstellen abzuschalten, sollte eine Komponente des Sicherheits-Konzeptes sein.
Um die Sicherheit zu gewährleisten, muss demnach nicht nur ein hohes Verständnis für den Prozess und die Datenverarbeitung bestehen. Sondern auch ein Verständnis über die Systeme, deren technische Möglichkeiten und daraus resultierende Angriffs-Risiken.