CyberCompare

Cybersecurity-Schwachstellen direkt beim Einkauf vermindern

Ein paar Realbeispiele zur potenziellen Gefahr durch Schwachstellen bei neuen Maschinen

Maschinen und Geräte werden oft mit Schwachstellen bzw. limitierten Schutzmaßnahmen herstellerseitig an Unternehmen geliefert. In diesem Artikel erfahren Sie von typischen Szenarien ausgelieferter Maschinen und Geräte mit Schwachstellen und nachgehend von konkreten Komponenten zur Integration, um diese direkt in Ihrem Einkauf zu vermindern.

 

Reelle Beispiele basierend auf unserer Erfahrung:

 

  • Eingebaute Kamera in neuer Maschine pingt Nicht-EU IP-Adressen aus dem OT-Netzwerk an
  • Neue, aber infizierte Maschinen werden durch den Hersteller unbeabsichtigt an Endkunden ausgeliefert
  • Nicht benötigte IT-Dienste aus dem OS heraus werden nicht ausgeschaltet (bspw. Druckerdienst) – dadurch entsteht im Netzwerk des Betreibers ungewollter Kommunikationsverkehr
  • Applikationen laufen mit Administrationsrechte – dadurch können Zugriffe auf die Maschine nicht reglementiert werden
Wie Sie sich absichern können

Kernkomponenten für die Integration von Sicherheitsanforderungen für IoT und OT in den Einkauf von Geräten, Software und Dienstleistungen

 

Festlegung eines Anwendungsbereichs für die Richtlinie (verbindliche IT-Sicherheits-Anforderungen für Maschinen, Anlagen und Fertigungseinrichtungen (MAE))

 

Verwendung von Good Practice Normen zur Gestaltung der Anforderungen (bspw. ISO/IEC 62443, VDI/VDE 2182)

 

Festgelegte Systemsicherheitsanforderungen und -level:

 

  • Authentisierungsmaßnahmen bei Neuanlagen
  • WLAN (bspw. Festlegung von Frequenz und Kanal für Punkt-zu-Punktverbindung, WPA2-PSK)
  • Exportkontrolle (bspw. Einhaltung der Exportkontrolle für Außenwirtschaftsverkehr von IT-Softwaren und Technologien)

Verwendung und Dokumentation eines IT-Sicherheitsfragebogens für Maschinen Anlagen und Einrichtungen zur Bewertung:

 

  • Betriebssysteminformationen und dessen Absicherung (bspw. Version, Garantie für Sicherheitspatches, Firewall auf der Steuerung, Deaktivierung von USB/Smartcard/FireWire-Anschlüssen)
  • Netzwerkinformationen (bspw. Verwendung kritischer Ports, von WLAN-Komponenten, Autorisierungs- und Verschlüsselungsverfahren)
  • Applikationsinformationen (bspw. Liste der Softwarekomponenten, Notfallzugang, Speicherplatzüberwachung, Deaktivierung nicht notwendiger Dienste)
  • Berechtigungsinformationen
  • Servicekomponenten (bspw. benötigte Infrastruktur für Vor-Ort und Fernwartung)

Prüfung der Vorabnahme und Abnahme (bspw. technische Sicherheitsprüfung, Abgleich mit Fragebogen)

 

Wie wir zusammen mit unseren Partnern unterstützen können:

 

➢  Bedarfsanalyse (telefonisch oder vor Ort) zur effizienten und effektiven risikobasierten Absicherung und um Transparenz über den Sicherheitsstatus herzustellen

 

➢  Einkaufsrichtlinien und Checklisten (speziell auch für Mittelständler und das produzierende Gewerbe)

 

➢  Aufbau eines Supply Chain Risk Programms (bspw. bei Anforderungen aus VDA TISAX, UNECE WP.29)

 

➢  Schulung von Mitarbeitern zur Umsetzung eines Prozesses in ihrer Organisation

Disclaimer

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns)

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.