© WEKA Business Solutions GmbH
A-1200 Wien, Dresdner Straße 45
E-Mail: kundenservice@weka.at

12.02.2024 | Arbeitssicherheit & Brandschutz | ID: 1162313

Cyberattacken: Was Sie über Safety und Security wissen müssen

Stefan Krähan

Im Hinblick auf Cyberangriffe muss der Arbeitnehmerschutz die Kombination der Konzepte zum klassischen Arbeitnehmerschutz (Safety) und der (IT) Sicherheit im Sinne des Begriffs „Security“ auffassen.

Die Entwicklung moderner Maschinen hat in den letzten Jahrzehnten eine zunehmende Digitalisierung gebracht, Maschinen und Anlagen werden mit leistungsstarken Computern ausgestattet und in eine vernetzte Welt integriert. Das heißt konsequenterweise, dass es vermehrt erforderlich ist, Systeme der IT-Security mit den „klassischen“ Systemen der Sicherheit von Personen (Arbeitnehmern) zu kombinieren. Es darf jedoch nicht außer Acht gelassen werden, dass diese beiden Zugänge (Safety und Security) von der grundsätzlichen Ausrichtung unterschiedliche Strategien verfolgen, aus diesem Grund ist eine Abstimmung der Systeme unbedingt erforderlich.

Hinweis:

Im Deutschen besteht für die beiden englischen Begriffe „Safety“ und „Security“ nur der eine Begriff „Sicherheit“.

Unterscheidung von Safety und Security

Sicherheitskonzepte und Sicherheitssteuerungen von Betrieben müssen, im Speziellen bei Maschinen oder ganzen Produktionslinien, konkrete Sicherheitsbedrohungen berücksichtigen und abwehren. Das heißt konkret, durch eine entsprechende Abwehrstrategie soll verhindert werden, dass durch gezielt herbeigeführte Fehlfunktionen bzw Fehlschaltungen der sichere Betrieb der Maschine beeinflusst wird. Während der Zugang der „Security“ die Sicherheit und Funktionsfähigkeit einer Maschine oder Anlage an sich zum zentralen Thema hat, ist der Zugang der „Safety“ immer die Sicherheit und der Gesundheitsschutz von Personen. Die zentrale Frage ist also: Können im Falle einer Cyberattacke Arbeitnehmer (oder andere Personen) zB durch Ausfälle oder Fehlfunktionen zu Schaden kommen?

Externe und interne Angriffe

Ein Cyberangriff kann sowohl von externen Elementen als auch von internen Personen (eigenen Mitarbeitern) herbeigeführt werden. Externe Angriffe können automatisiert zum Beispiel durch Scannen von IP-Adressen und Ports oder durch gezielte Angriffe des Hackers erfolgen. Man muss sich bewusst sein, dass mittlerweile eine richtige Industrie im Dunstkreis der Hacker entstanden ist: Viren können gekauft werden, das gezielte Hacking einer Firma kann bestellt werden. Auch als Folge davon ist die sichere Verschlüsselung von Daten ebenfalls ein lukratives Geschäft geworden.

Die Übermittlung von sicherheitsrelevanten Nachrichten und Daten über Ethernetkabel (Intranet und Internet) erfordert somit eine neue und spezielle Risikobeurteilung und in Folge auch neue und innovative Maßnahmen. So müssen beispielweise Sicherheitsfunktionen kreiert und definiert werden, mit denen aktiv auf einen Cyberangriff reagiert werden kann.

Hinweis:

Die Norm IEC 63074:2023 enthält Anforderungen zu den Sicherheitsbedrohungen in Bezug auf sicherheitsrelevante Steuerungssysteme (funktionale Sicherheit). Die Normenreihe IEC 62443 besteht aus mehreren Teilen und beschäftigt sich mit den technischen und organisatorischen Aspekten des Themas Cyber-Security.

Cyberattacken und deren Ziele

Warum gibt es eigentlich Cyberattacken, was ist das Ziel derer, die diese durchführen? Handelt es sich nur um eine spezielle Form der Bösartigkeit, oder steckt mehr dahinter, vor allem die Aussicht auf finanzielle Bereicherung?

Cyberattacken verfolgen unterschiedliche Ziele: In Abhängigkeit von der Größe einer Firma, den hergestellten Produkten und/oder der Infrastruktur, dem erhofften Diebstahl von innovativem Know-how oder neuartigen Technologien werden unterschiedliche Methoden und Angriffsszenarien eingesetzt. In Folge sind auch die Abwehrstrategien der Firmen unterschiedlich und entsprechend der konkreten Situation entwickelt.

Grundsätzlich verfolgen Cyberattacken häufig das Ziel, einer Firma (einem Konkurrenten) gezielt zu schaden. Dies erfolgt wahlweise durch die folgenden Strategien:

  • Angriff auf die Infrastruktur eines Unternehmens, um die Produktion teilweise oder ganz lahmzulegen
  • Angriff auf Steuerungseinrichtungen von Maschinen oder Anlagen, um einen Produktionsausfall herbeizuführen
  • Erhöhung der Fehlerhäufigkeit einer Maschine, um dem Betrieb (oder einem Maschinenhersteller) Schaden zuzufügen
  • Infizierung neuer Maschinen mit Schadsoftware, die nach der Inbetriebnahme das IT-Netz des Betriebs von innen angreift
  • Gezielte Störung oder Manipulation von Informationen an Arbeitnehmer, um Prozessabläufe zu stören
  • Provozieren von Unfällen durch das gezielte Ausschalten von Sicherheitseinrichtungen
  • Manipulation von Prozessen, um Produkteigenschaften zu verändern (verschlechtern) und Qualitätsminderung von Produkten herbeizuführen
  • Verunreinigung von Massenprodukten, wie etwa Lebensmittel, um Gesundheitsschäden herbeizuführen

Mehrstufiges Abwehrsystem

Als Gegenmaßnahmen werden in vielen Betrieben bereits mögliche Szenarien von Cyberattacken in ein mehrstufiges Abwehrsystem eingearbeitet und in Folge in ein Managementsystem integriert. Hier einige allgemeine Maßnahmen, die in Betrieben gesetzt werden können:

  • Sensibilisierung der Mitarbeiter, nicht leichtfertig sensible Daten an Dritte weiterzugeben
  • Sensibilisierung der Mitarbeiter, mögliche Cybervorfälle, datenschutzrechtliche Verstöße und Angriffe sofort zu melden
  • Regelmäßige Information und Schulung der Arbeitnehmer über IT-Security und Cyber-Security
  • Zwei-Faktor-Authentifizierung (Authentifizierung über zwei unterschiedliche und unabhängige Systeme, wie zB Passworteingabe und Smartphone-App, ID-Karte und PIN)
  • Keine Verwendung von persönlichen Einrichtungen am Arbeitsplatz
  • Identifizierung von Bedrohungen durch die IT-Vernetzung von IT-Experten im Maschinenpark. Beurteilung und angemessenes Setzen von Maßnahmen.
  • Verbot der Benutzung von persönlichen Devices (inklusive Handy, USB-Sticks und Laptop) von Gästen oder Personal von Fremdfirmen am Firmengelände
  • Konsequentes Ausschalten von nicht benötigten USB-Anschlüssen auf Maschinensteuerungen, PCs und anderen elektronischen Geräten im Betrieb

Hinweis:

Laut des Verizon 2022 Data Breach Investigations Report (DBIR) sind ca 80 % aller erfolgreichen Attacken auf den menschlichen Faktor zurückzuführen, dazu zählen unter anderem Phishing und Social Manipulation („soziale Manipulation“).

Ähnliche Beiträge

  • Maschinensicherheit: Warum werden Schutzeinrichtungen manipuliert?

    Zum Beitrag
  • Verkettung und Veränderung alter Maschinen

    Zum Beitrag
  • Maschinensicherheit als Grundlage für einen reibungslosen Ablauf im Unternehmen

    Zum Beitrag