admin

Muss man Sicherheit per Gesetz vorschreiben?

Muss man Sicherheit per Gesetz vorschreiben?

Haben Sie schon von der NIS-Richtlinie bzw. dem NIS-Gesetz gehört? Im Kern will dieses seit 2018 in Kraft getretene Bundesgesetz dafür sorgen, dass Betreiber sogenannter „kritischer Infrastruktur“ für ein hohes Sicherheitsniveau ihrer IT/OT-Systeme sorgen müssen. Damit will man zum Beispiel Cyberangriffen vorbeugen – ein Thema, das heute leider aktueller denn je ist.

Im Wesentlichen betrifft dieses Gesetz erst einmal große Betriebe wie Energieversorger, Öl- und Gaskonzerne, Trinkwasserverbände, Banken und ähnliche Institutionen. Man möchte meinen, dass all diese Betriebe schon vor 2018 alles darangesetzt haben, um die IT-Sicherheit ihrer Systeme und Anlagen so hoch wie möglich zu halten. Ist es daher wirklich notwendig gewesen, ein Gesetz zu erlassen und diese Betriebe mit zusätzlichen Auflagen und Verpflichtungen zu belasten?

Grundsätzlich sollte IT/OT-Security nicht nur dem „ITler“, sondern auch der Geschäftsführung wichtig sein. Jeden Tag liest man in den Nachrichten über ein Unternehmen, das von einem Hacker-Angriff betroffen ist und dadurch großen Schaden erlitten hat. Niemand will sein Unternehmen mit einer derartigen Überschrift in der Zeitung konfrontiert sehen.

OT-Security, also dort, wo es um IT im Produktionsbereich geht – dort, wo gesteuert, gemessen und automatisiert wird – ist dabei noch kritischer zu bewerten als die klassische IT-Infrastruktur-Sicherheit. Ein Hacker, der sich Zugriff zu Maschinen oder Anlagen verschaffen kann, ist potentiell gefährlicher als jemand, der Word-Dokumente verschlüsselt, um ein Lösegeld zu erpressen.

Es wäre also naheliegend zu behaupten, dass state-of-the-art IT/OT Security ohnehin für jedes Unternehmen Top-Priorität hat.

Unsere Erfahrung zeigt – bei fast allen Kunden gab es Verbesserungen, die durch NIS herbeigeführt wurden. Ja, es wurde wie immer in solchen Fällen auch viel Papier produziert (das vermutlich nie jemand wirklich gelesen hat). Und es ist oft übers Ziel hinausgeschossen worden und man hätte mit gesundem Menschenverstand oftmals hastiges Systembefriedigen vermeiden können. Aber am Ende können viele Betriebe auf mehr Sicherheit für ihren Betrieb vertrauen. Und das Management hat jetzt auch mehr Bewusstsein für das Thema.

War dazu ein Gesetz notwendig? Ich sage es mal so: Geschadet hat es vermutlich nicht! Oft braucht es einen kleinen externen „Schubser“.

Wenn Ihr Unternehmen nicht in den Geltungsbereich des NIS-Gesetzes fällt, Sie sich aber trotzdem gerade fragen, wie gut Sie auf den Fall der Fälle vorbereitet wären – wir bieten einen kostenlosen Erfahrungsaustausch in Form eines einstündigen Gespräches an. In einer Stunde beleuchten wir viele verschiedene Aspekte der IT-(und speziell OT)-Security und Sie haben einen guten Überblick, wo Sie bereits gut aufgestellt sind und finden vielleicht auch das eine oder andere Thema, wo Sie noch etwas verbessern können. Klicken Sie hier und nehmen Sie Kontakt mit uns auf! Wir freuen uns auf das Gespräch mit Ihnen!

Stärken Sie Ihr Produktions-Immunsystem

Ihr persönliches Immunsystem besteht auf eine vernünftige Ernährung, Sport, ausreichend Schlaf und ähnliche Faktoren, damit es seinen Job anständig machen kann. Wie sieht das mit Ihrer Produktion aus? Hat Ihre Produktion ein starkes Immunsystem und eine hohe Widerstandsfähigkeit? Die vergangenen Monate haben uns mit Pandemien, stecken gebliebenen Transportschiffen und Krieg einige Unwägbarkeiten aufgezeigt, die unserer Produktion zu schaffen machen können.

Eigentlich sollte man erwarten, dass jetzt alle loslaufen und sich überlegen, welche Fehler in der Vergangenheit dazu geführt haben, dass wir in Europa unsere Produktion zum Teil auf sehr wackelige Beine und Lieferketten gestellt haben. Leider scheint sich da nicht sehr viel zu bewegen. Große Teile der Lieferketten sind irgendwo nach Fernost ausgelagert, um noch ein paar Cent pro Einheit einzusparen. Dass dann im Falle einer Krise plötzlich alles zum Stillstand kommen könnte, ist schon ein paar Monate nach dem letzten Lockdown wieder (fast) vergessen.

Doch auch in anderen Bereichen gibt es durchaus Verbesserungspotential. Schön langsam merkt man, dass Fachkräfte nicht auf den Bäumen wachsen, dass auch Cloud-Services nicht unfehlbar sind und dass immer mehr Schlingel unterwegs sind, die unsere IT- und OT-Systeme durch gezielte Hacker-Angriffe außer Gefecht setzen wollen.

Wenn wir uns die OT-Systeme (OT steht für „operational technologies“, also die IT-Systeme, die in der Produktion zum Einsatz kommen) ansehen, stellen wir fest, dass auch hier oft großes Potential für Verbesserungen besteht. Früher war man als Produktionsleiter froh, wenn man einen Anbieter gefunden hatte, der den gesamten Prozess mit seinen Lösungen automatisieren konnte. Dadurch hat man oft die gesamte Produktion von einem Hersteller abhängig gemacht, da die gesamte Kommunikation zwischen Steuerungen (sogenannten PLCs), Maschinen, Bedienterminals und allen anderen Komponenten auf die von diesem Hersteller vorgesehenen Protokolle eingeschränkt war. So hat der eine Hersteller seine Systeme in „Spanisch“ kommunizieren lassen, während ein anderer auf „Deutsch“ setzte. Dass die Systeme unterschiedlicher Hersteller damit untereinander nicht so gut kommunizieren können, bringt eine Vielzahl an Nachteilen mit sich.

Heutzutage gibt es mit OPC UA, MQTT und ähnlichen Protokollen eine Vielzahl an Möglichkeiten, um die Kommunikation in Ihren Produktionsprozessen herstellerunabhängig und ausfallsicher zu gestalten. Das ist ein bisschen wie mit der englischen Sprache – wenn alle Hersteller plötzlich zusätzlich zu ihrer „Landessprache“ auch englisch sprechen, öffnen sich viele Möglichkeiten, um Systeme zu verbinden, Prozesse durchgängiger zu automatisieren und man wird viel unabhängiger von einzelnen Systemen und Herstellern.

Wie stärken Sie die Widerstandsfähigkeit Ihrer Produktion? Wenn Sie das Immunsystem Ihrer OT-Landschaft stärken möchten, freuen wir uns über Ihren Anruf!

Wie wertvoll ist Ihre Dokumentation?

Wie wertvoll ist Ihre Dokumentation?

Wie viele Kollegen kennen Sie, die darauf brennen, ihre Dokumentationen auf Stand zu halten? Wer liebt es schon, irgendwelche IP-Adressen oder Passwörter aufzuschreiben, ein Dokument zu erstellen und festzuhalten, wie das System genau konfiguriert wurde? Hand aufs Herz, selbst die eigene Motivation ist vermutlich enden wollend. Und eigentlich ist Dokumentation ja nur etwas für Feiglinge, oder?

Haben Sie sich schon einmal überlegt, was alles zu einer ordentlichen Dokumentation im OT/IT-Bereich gehört? Da geht es um Konfigurationen, Passwörter, Change Requests, Backup- und Disaster-RecoveryMechanismen, Seriennummern, Verträge, Lizenzen, Schnittstellen zu anderen Systemen … man könnte ein ganzes Buch nur über Dokumentationen im OT-Bereich schreiben. Ich habe mir die Bestsellerlisten mal kurz angesehen, keines dieser Bücher über Dokumentationen findet sich dort.

Drehen wir den Spieß mal um – wie wertvoll ist eine solche Dokumentation eigentlich? Wie viel Zeit und Geld opfern Sie, wenn Sie nicht auf einem vernünftigen Dokumentationswesen bestehen? Wie oft suchen Mitarbeiter nach Lösungen, die andere schon längst gefunden haben? Wie viele Tage im Jahr verbringt Ihr Team mit unnötigem Recherchieren, Suchen, Nachfragen und ähnlichen Tätigkeiten, wenn Kollegen ihre Systeme nicht ordentlich dokumentiert haben? Wie oft kommt es vor, dass man einen Kollegen im Urlaub anrufen muss, weil etwas nicht ordentlich dokumentiert war?

Den Wert einer vollständigen Dokumentation in Form einer konkreten Zahl zu bemessen, wäre ein extrem komplexer und aufwändiger Prozess. Ich bin aber sicher, dass der Wert dramatisch höher ist, als die meisten aus dem Bauch heraus schätzen würden. Stellen Sie sich einmal vor, Sie hätten keine Dokumentation. Und dann stellen Sie sich vor, Sie würden ein paar Schlüsselarbeitskräfte zeitgleich mit den von ihnen angelegten Dokumentationen verlieren. Die Menge an kaltem Angstschweiß, der gerade aus Ihrem Körper strömt, ist ein gutes Maß dafür, wie wertvoll Ihre Dokumentation ist.

Dabei muss eine gute Dokumentation nicht teuer sein. Mit ein bisschen Disziplin, Routine und vernünftigen Systemen zur Erfassung kann eine Dokumentation mit wenig Aufwand auf sehr hohem Niveau gepflegt werden.

Wenn Sie mehr dazu wissen wollen, wie wir bei banet mit dem Thema Dokumentation umgehen, fragen Sie unsere Kunden. Immer wieder hören wir, wie gut wir unsere Systeme im Griff haben. Wie rasch wir Probleme lösen können. Das alles ist zu einem guten Teil einer schlüssigen Dokumentation geschuldet. Und natürlich einem tollen Team!

Risiko und Komfort

Risiko und Komfort

Kein System kann hundertprozentige Sicherheit garantieren – Sie müssen bei allen IT/OT-Systemen immer einen Kompromiss zwischen dem notwendigen Maß an Sicherheit und den dazu notwendigen Aufwänden betreiben. Um IT-Systeme gegen Angriffe von außen (und gegen Angriffe von unzufriedenen Mitarbeitern) zu schützen, braucht es aber nicht nur kleine Münzen. Es sind auch die dahinter liegenden Prozesse und Regeln ein wesentlicher Erfolgsfaktor, um Ihre Anlagen und Daten gegen unbefugte Zugriffe zu schützen. Dabei gilt die Faustregel: Je komfortabler, desto unsicherer!

Sie kennen das bestimmt selbst – wie ärgerlich ist es, wenn ein System nach drei Wochen nach einer Passwortänderung verlangt und dann noch dazu nur zufrieden ist, wenn man ein 10stelliges Passwort mit Groß- und Kleinbuchstaben, sieben Sonderzeichen und Zahlen eingibt. Ich bin sicher, Sie haben das selbst schon durchgemacht und erinnern sich vielleicht an den eigenen Unmut, den Sie dabei empfunden haben.

Das bedeutet nicht, dass Systeme nur dann sicher genug sein können, wenn man im 3-Tages-Rhythmus sein Passwort ändern muss. Man muss für jedes System eine eigene Risikoeinschätzung vornehmen und basierend darauf entscheiden, welche Maßnahmen notwendig sind, um das System ausreichend zu schützen. Das regelmäßige Ändern des Passwortes ist nur eine Maßnahme von vielen und soll hier nur zum besseren Verständnis angeführt werden.

Wenn Sie sich das nächste Mal ärgern, weil Sie wieder einmal bei einem System nach einem neuen Passwort gefragt werden, erinnern Sie sich an diese Zeilen – und daran, dass es vielleicht in Ihrem eigenen Interesse ist, das entsprechende Login gegen unbefugte Zugriffe zu schützen.

Wenn Sie Unterstützung bei der Abschätzung von Risiken benötigen oder Sie neugierig sind, wie wir bei banet einen guten Kompromiss zwischen Sicherheit und Komfort finden, rufen Sie uns gerne an oder schreiben Sie uns!

NIS?!

NIS?!

NIS – Muss man IT-Sicherheit durch Gesetze vorschreiben?

Haben Sie schon von der NIS-Richtlinie bzw. dem NIS-Gesetz gehört? Wenn Sie in einem Unternehmen arbeiten, das als Betreiber wesentlicher Dienste in den Sektoren Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasserversorgung und digitaler Infrastruktur tätig ist, so haben Sie vermutlich schon damit zu tun gehabt. Im Kern will dieses seit 2018 in Kraft getretene Bundesgesetz dafür sorgen, dass derartige Betreiber sogenannter „kritischer Infrastruktur“ für ein hohes Sicherheitsniveau Ihrer IT-Systeme sorgen müssen. Damit will man zum Beispiel Cyberangriffen vorbeugen – ein Thema, das heute leider aktueller ist, denn je.

Im Wesentlichen betrifft dieses Gesetz erst einmal große Betriebe wie Energieversorger, Öl- und Gaskonzerne, Trinkwasserverbände, Banken und ähnliche Institutionen. Man möchte meinen, dass all diese Betriebe schon vor 2018 alles daran gesetzt haben um die IT-Sicherheit Ihrer Systeme und Anlagen so hoch wie möglich zu halten. Ist es daher wirklich notwendig gewesen ein Gesetz zu erlassen und diese Betriebe mit zusätzlichen Auflagen und Verpflichtungen zu belasten?

Ich richte mich mit einer Frage an alle IT/OT Verantwortlichen in den betroffenen Betrieben – ist Ihnen aufgefallen, dass Sie vor 2018 mehr um Ressourcen und Budgets kämpfen mussten, um die IT-Sicherheit in Ihrem Betrieb zu gewährleisten? Sind Ihnen im Zuge Ihrer ersten Audits bzw. der Auseinandersetzung mit dem Thema NIS vielleicht hier und da Verbesserungsmöglichkeiten aufgefallen, die Sie bis dahin so nicht am Radar hatten?

Unsere Erfahrung zeigt – bei fast allen Kunden gab es Verbesserungen, die durch NIS herbeigeführt wurden. Ja, es wurde wie immer in solchen Fällen auch viel Papier produziert (das vermutlich nie jemand wirklich gelesen hat). Und es ist oft übers Ziel hinausgeschossen worden und man hätte mit gesundem Menschenverstand oftmals hastiges Systembefriedigen vermeiden können. Aber am Ende können viele Betriebe auf mehr Sicherheit für Ihren IT-Betrieb vertrauen. Und das Management hat jetzt auch mehr Bewußtsein für das Thema.

War dazu ein Gesetz notwendig? Diese Frage kann ich nicht beantworten – aber ich sage es mal so: geschadet hat es vermutlich nicht!

Wenn Sie mehr darüber wissen möchten, wie wir bei banet_OT so etwas umsetzen, senden Sie uns eine E-Mail mit „Ich will mehr wissen“ an office@banet-ot.at oder rufen Sie uns an unter +43 2236 31 20 50 – 0.

OT Security

OT Security

Wie lösen wir eigentlich die Sache mit… kritischen Sicherheitslücken?

OT-Security – die Kunst, OT-(Operational Technology) Systeme sicher zu betreiben. Ein wichtiger Aspekt jeglicher Art von IT-Security ist es, auf bekannte Sicherheitslücken zeitnahe zu reagieren. Doch woher weiß man, ob die im Haus eingesetzten OT-Systeme von Sicherheitslücken betroffen sind, welche von potenziellen Angreifern ausgenutzt werden können?

Bei banet_ot kümmern wir uns auch um OT-Security!

In Österreich gibt es ein sogenanntes CERT – ein Computer Emergency Response Team. Die Webseite dazu findest du unter https://cert.at. Hier kann man entweder selbst entdeckte Schwachstellen melden oder sich über neu entdeckte Sicherheitslücken informieren. Auf dieser Seite kann man sich auch für eine E-Mail-Liste eintragen und täglich Informationen zu aktuellen Sicherheitslücken sowie andere wissenswerte Informationen zum Thema IT-/OT-Security erhalten. Sobald man weiß, dass eine Sicherheitslücke aufgetreten ist, muss man sich um die Absicherung der betroffenen Systeme im eigenen Haus kümmern. Das klingt einfacher als es für große Unternehmen ist, denn eine Vielzahl an Systemen ist heute in Unternehmensnetzwerken aktiv und diese können im Falle einer nicht entdeckten Sicherheitslücke erhebliche Risiken mit sich bringen.

Wie du dich am Besten vorbereitest, um im Fall des Falles rasch reagieren zu können, erklären wir in unserem nächsten Blogbeitrag!

Wenn Sie mehr darüber wissen möchten, wie wir bei banet_OT so etwas umsetzen, senden Sie uns eine E-Mail mit „Ich will mehr wissen“ an office@banet-ot.at oder rufen Sie uns an unter +43 2236 31 20 50 – 0.

Identitätsmanagement

Identitätsmanagement

Wie lösen wir eigentlich die Sache mit dem Identitätsmanagement im Produktionsumfeld?

Wenn Ihre Produktionsmitarbeiter im Laufe eines Arbeitstages eine handvoll unterschiedlicher Login-Daten für unterschiedliche Systeme benötigen, dann haben Sie möglicherweise noch kein IDM, ein sogenanntes Identitätsmanagement, im Einsatz.

Die Folge ist, dass Mitarbeiter oft überall die gleichen Passwörter und Benutzernamen verwenden – mit allen Risiken, die damit einhergehen. Und weil man nicht auf allen Systemen regelmäßig die Passwörter ändern kann, bleibt hier die Sicherheit auch schnell einmal auf der Strecke.

Ganz abgesehen davon, dass oft auch externe Partner und Kontraktoren Zugriff auf die firmeneigenen Systeme benötigen und diese Zugänge dann enormen Verwaltungsaufwand mit sich bringen. Deshalb setzen wir auf den Einsatz von Identitätsmanagement-Systemen und daran gekoppelten Workflow-Systemen. Damit die Zugänge von Mitarbeitern, die das Unternehmen verlassen haben, ab dem ersten Tag gesperrt sind.

Success story – Gas Connect Austria

Success story – Gas Connect Austria

Success story – Gas Connect Austria

Die Gasconnect Austria GmbH betreibt in Österreich ein rund 900 km langes Erdgas-Hochdruckleitungsnetz. Der Standort Baumgarten im niederösterreichischen Bezirk Gänserndorf nahe der slowakischen Grenze spielt dabei als Erdgasdrehscheibe in Europa eine wesentliche Rolle.

Der hohe Automatisierungsgrad dieser Anlagen bringt mit sich, dass die einzelnen Komponenten auch mittels Fernwartung kontrolliert werden. Dabei müssen sehr heterogene Systeme mit unterschiedlichen Protokollen (rdp,  ssh, vnc, telnet, …) bedient werden – und das sicher und nachvollziehbar.

Die Gasconnect Austria setzt dabei auf Taco – ein auf dem Apache Guacamole basierendes Produkt der banet gmbh. 

„Uns hat die einfache, web-basierende Bedienung unserer Steuerungen und MSR-Einrichtungen sehr angesprochen!“ sagt Christian Reininger,  Specialist Measuring and Control Technics bei Gasconnect Austria GmbH. „Dass dadurch der Zugriff noch dazu stärker abgesichert wird, wir die Bedienung von MSR-Komponenten in unser WEB-Leitsystem einbinden können und wir in der Verwaltung der Fernzugänge viel flexibler geworden sind hat den Ausschlag für diese Lösung gegeben.“.

„Auch die Integration in die bestehende IT-Landschaft hat durch Unterstützung des banet-Teams toll geklappt – die zur Verfügung gestellte virtuelle Appliance wurde rasch und unkompliziert integriert“ zeigt sich auch Patrick Sebestyen, Servicemanager bei Gasconnect Austria, zufrieden. „Nach erfolgreicher Integration läuft das System nahezu wartungsfrei und steht den Usern 24/7 zur Verfügung. In Zeiten stetig steigender Anforderungen an die Security bietet Taco eine perfekte Lösung ohne dabei die Usability zu vernachlässigen!“.

Videokonferenzlösung

Videokonferenzlösung

Die Mitarbeiter unseres Kunden sind stets im Feld unterwegs und mit Toughbooks oder Tablets ausgerüstet. Um die Morgenbesprechungen in Zeiten von Corona effizient weiterführen zu können, wollte unser Kunde eine Videokonferenzlösung einsetzen, die selbst gehostet werden kann (eine Cloud-Lösung war aufgrund fehlender Internetverbindung auf den Endgeräten nicht möglich).

Wir haben die kostenlose Opensource-Lösung Jitsi Meet implementiert und dem Kunden auf diese Weise eine hochsichere Lösung im Produktionsnetzwerk ermöglicht. Die Videokonferenzen werden von den Mitarbeitern gut angenommen und das Management freut sich über den Entfall der Lizenzkosten!

Wenn Sie mehr darüber wissen möchten, wie wir bei banet_OT so etwas umsetzen, senden Sie uns eine E-Mail mit „Ich will mehr wissen“ an office@banet-ot.at oder rufen Sie uns an unter +43 2236 31 20 50 – 0.

Mobile Endgeräte

Mobile Endgeräte

Wie lösen wir eigentlich die Sache mit der Verwaltung mobiler Endgeräte im Produktionsumfeld?

Mitarbeiter in der Produktion und am Feld profitieren enorm durch den Einsatz digitaler Endgeräte. Im Unterschied zum Büroarbeitsplatz müssen diese Endgeräte dabei einiges aushalten: Schmutz, Staub, Feuchtigkeit, extreme Temperaturen und vielleicht sogar Eignung für den Ex-Bereich sind Herausforderungen, die man in der Produktion oft antrifft.

Für die Verwaltung dieser Geräte gibt es zusätzliche Hürden, denn die Geräte sind oft wochenlang nicht im Werk, laufende Updates und Einstellungen oder das Rollout einer neuen Applikation sind entsprechend herausfordernd.

Deshalb setzen wir auf den Einsatz sogenannter MDM-Lösungen (Mobile Device Management), um mit möglichst geringem Aufwand stets up to date und sicher unterwegs zu sein. Auch ohne Internetverbindung, wenn das notwendig ist.

Wenn Sie mehr darüber wissen möchten, wie wir bei banet_OT so etwas umsetzen, senden Sie uns eine E-Mail mit „Ich will mehr wissen“ an office@banet-ot.at oder rufen Sie uns an unter +43 2236 31 20 50 – 0.