IAM, Netzwerk- und Endpunktsicherheit, Anwendungs- und Datensicherheit, Cloud-Sicherheit und Sicherheitsabl\u00e4ufe sind zwar \u201ePriorit\u00e4ten\u201c f\u00fcr die meisten F\u00fchrungskr\u00e4fte im Bereich Sicherheits- und Risikomanagement (SRM) \u2013 dennoch reichen sie nicht aus. In dem Ma\u00dfe, wie Systeme, die mit der physischen Welt interagieren, mit Cyber-Umgebungen verbunden werden, entstehen Cyber-Physical Systems (CPS), die herk\u00f6mmliche Sicherheits- und Risikoans\u00e4tze in Frage stellen.<\/p>\n\n\n\n
Cyber-Physical Systems (CPS) sind Integrationen von Datenverarbeitung, Netzwerken und physischen Prozessen. Eingebettete Computer und Netzwerke \u00fcberwachen und steuern physische Prozesse, mit R\u00fcckkopplungsschleifen. In diesen wirken sich physische Prozesse auf Berechnungen aus und umgekehrt. <\/p>\n\n\n\n
In der Praxis sind CPS ein gro\u00dfartiger \u201eSchirm\u201c f\u00fcr andere Konzepte wie:<\/p>\n\n\n\n
Das wirtschaftliche und soziale Potenzial von PSCs ist daher viel gr\u00f6\u00dfer als bisher angenommen. Weltweit werden gro\u00dfe Investitionen in die Entwicklung dieser Technologie get\u00e4tigt.<\/p>\n\n\n\n
Durch die Systeme haben Unternehmen die M\u00f6glichkeit, die Realit\u00e4t der physischen Welt in digitalen Umgebungen darzustellen. So k\u00f6nnen sie durch die Technologie Simulationen, Tests, Verschlei\u00dfvorhersagen und viele andere M\u00f6glichkeiten durchf\u00fchren. Dies kann f\u00fcr das Unternehmen einen erheblichen Gewinn an Wettbewerbsf\u00e4higkeit bedeuten.<\/p>\n\n\n\n
Heute sind die Sektoren, die am meisten von der Schaffung cyber-physischer Systeme profitiert haben, diejenigen, die gro\u00dfe Infrastrukturen und kostspielige Operationen beinhalten. Dazu geh\u00f6ren die \u00d6l- und Gasindustrie, die Energieerzeugung (Kraftwerke, Staud\u00e4mme, Windturbinen, Solaranlagen usw.), die Verteilung (\u00dcbertragungsleitungen), die Luftfahrt, die Schwermetallmechanik und andere. Zudem auch diejenigen, die kritische G\u00fcter und Dienstleistungen herstellen, die bei der Analyse ihrer Risiken sehr vorsichtig sein m\u00fcssen. Wenn es in diesen Sektoren zu Ausf\u00e4llen kommt, bedeutet dies erhebliche Verluste oder sogar den Verlust von Menschenleben.<\/p>\n\n\n\n
Aus der Perspektive der Sicherheit oder des Datenschutzes ist ein cyber-physisches (Multi-Agenten-) System ein Netz von Sensoren, Aktoren und Rechenknoten, d. h. ein System mit mehreren Angriffsfl\u00e4chen und latenten Schwachstellen, die durch Software- und physische Angriffe entstehen.<\/p>\n\n\n\n
Viele cyber-physische Systeme sind Teil des Internets der Dinge, das einen wichtigen Angriffsvektor darstellt. Bei IoT-Ger\u00e4ten muss die Sicherheit bereits vor der Entwicklung implementiert werden. Der Schwerpunkt sollte auf einer elementaren Zugangskontrolle, einer ordnungsgem\u00e4\u00dfen Kommunikation und Authentifizierung liegen. Ebenso auf der Validierung des Fehlens bekannter Schwachstellen im Ger\u00e4t, bevor es verkauft und verwendet wird.<\/p>\n\n\n\n
Es muss darauf geachtet werden, dass die Sicherheit der Netze, zu denen die Cyber-Physical Systems geh\u00f6ren, gew\u00e4hrleistet ist. Dazu geh\u00f6ren Sicherheitsaudits, Penetrationstests, die st\u00e4ndige \u00dcberwachung der Netzwerkaktivit\u00e4ten und die Aktualisierung der Systeme.<\/p>\n\n\n\n
Die kontinuierliche Entdeckung, \u00dcberwachung, Bewertung und Priorisierung von Risiken, sowohl proaktiv als auch reaktiv, im gesamten cyber-physischen Kontinuum ist eine Priorit\u00e4t f\u00fcr Sicherheits- und Risikomanagement-Experten (SRM). Bedenken \u00fcber Verletzungen der physischen Grenzen, St\u00f6rung, Hacking, Spoofing, Manipulation, Eindringen in die Befehlsstruktur, Denial of Service (DoS) oder Malware, die auf physischen Anlagen eingesetzt wird, m\u00fcssen in Betracht gezogen werden.<\/p>\n\n\n\n
Dies setzt voraus, dass die CPS-Infrastruktur mit Instrumenten ausgestattet wird, die eine vollst\u00e4ndige und umfassende Risikosicht auf so viele Systeme wie m\u00f6glich entlang des cyber-physischen Kontinuums \u2013 Netzwerk, Zugang, Identit\u00e4ten usw. \u2013 erm\u00f6glichen. Zudem bedarf es, CPS-L\u00f6sungen zu \u00fcberwachen, auch wenn die Sichtbarkeit auf Protokolle oder Netzwerkverkehr beschr\u00e4nkt ist.<\/p>\n\n\n\n
Moderne Netzwerk-Mapping-Tools sind heute zum Beispiel bereits in allen professionellen Netzwerkimplementierungen \u00fcblich und helfen Systemadministratoren, den \u00dcberblick \u00fcber alles zu behalten, was f\u00fcr sie wichtig ist. Sie liefern z. B. grundlegende Informationen dar\u00fcber, welche Ger\u00e4te sich in einem bestimmten Netzwerk befinden, wie ihre Adressen lauten, mit welchen anderen Komponenten sie direkt kommunizieren (und wann), welche Kommunikationsmethoden sie dabei verwenden und vieles mehr. Eine aktuelle Netzwerkansicht \u00ac\u2013 ob sie nun als Netzwerkdiagramm, Karte oder Diagramm bezeichnet wird \u2013 ist f\u00fcr sichere CPS-L\u00f6sungen unerl\u00e4sslich.<\/p>\n\n\n\n
Einige Arten von Bedrohungen f\u00fcr cyber-physische Systeme sind sehr alt. Dies gilt insbesondere f\u00fcr Insider-Bedrohungen. So manipulierte im Jahr 2000 ein unzufriedener Bauunternehmer die funkgesteuerte SCADA-Abwasseranlage des Maroochy Shire Council in Queensland, Australien, und leitete 800.000 Liter Rohabwasser in die \u00f6rtlichen Parks.<\/p>\n\n\n\n
In j\u00fcngster Zeit haben Ransomware-Angriffe Pipelines lahmgelegt, Logistikabl\u00e4ufe gest\u00f6rt und sogar die Stahlproduktion gest\u00f6rt. Jemand hackte sich in das Steuerungssystem einer Wasseraufbereitungsanlage in Florida, USA, und versuchte, der Wasserversorgung potenziell gef\u00e4hrliche Mengen an Natriumhydroxid zuzuf\u00fchren. Ein GPS-Spoof beeintr\u00e4chtigte die Schiffsnavigation und Hacker verschafften sich \u00fcber ein Fischglas Zugang zur Datenbank eines Kasinos mit Hochrisikospielern.<\/p>\n\n\n\n
Zudem existieren neue Bedrohungen, vor denen man sich in Acht nehmen muss. 5G bietet viele Vorteile wie eine schnellere Kommunikation \u00ac\u2013 doch die Sicherheitsstandards sind komplex und gezielte Angriffe werden wahrscheinlich zunehmen. Weitere neue Bedrohungsvektoren sind die speziellen Risiken, die von Drohnen, intelligenten Stromnetzen und autonomen Fahrzeugen ausgehen.<\/p>\n\n\n\n
Gartner prognostiziert, dass die finanziellen Auswirkungen von CPS-Angriffen, die zu Todesf\u00e4llen f\u00fchren, bis 2023 mehr als 50 Milliarden US-Dollar<\/a> erreichen werden. Selbst ohne Ber\u00fccksichtigung des Wertes von Menschenleben werden die Kosten f\u00fcr Unternehmen in Form von Entsch\u00e4digungen, Rechtsstreitigkeiten, Versicherungen, Bu\u00dfgeldern und Reputationsverlusten erheblich sein.<\/p>\n\n\n\n Nicht zuf\u00e4llig gehen die Prognosen des Beratungsunternehmens davon aus, dass bis 2023 75 % der Unternehmen die Risiko- und Sicherheitsverwaltung umstrukturieren werden, um neue CPS- und konvergierte IT-, OT-, Internet of Things (IoT)- sowie physische Sicherheitsanforderungen zu erf\u00fcllen.<\/p>\n\n\n\n