BLOG - LOGIT Systems. Solutions.

[Ratgeber] Informationssicherheitsmanagementsystem (ISMS). Was ist das und ab wann braucht man das?

Patrick Eisenschmidt — Tue, 01 Oct 2024 09:50:16 GMT

Die digitale Welt ist heutzutage aus unserem Alltag nicht mehr wegzudenken. Unternehmen und Organisationen aller Größen und Branchen sind auf eine sichere und zuverlässige IT-Infrastruktur angewiesen, um ihre Geschäftsprozesse effizient und erfolgreich zu gestalten. Doch die zunehmende Abhängigkeit von digitalen Systemen birgt auch Risiken: Cyberangriffe, Datenlecks und andere Sicherheitsvorfälle können erhebliche Schäden verursachen. Um diese Risiken zu minimieren und die Informationssicherheit - also die Sicherheit von Informationen - zu gewährleisten, ist ein professionelles Informationssicherheitsmanagementsystem (ISMS) empfehlenswert und teilweise unerlässlich. Insbesondere die NIS 2-Richtlinie der EU und der BSI-Grundschutzstandard des Bundesamts für Sicherheit in der Informationstechnik (BSI) unterstreichen die Bedeutung von ISMS. In diesem Ratgeber erfahren Sie, was ein ISMS ist, warum der Aufbau eines ISMS wichtig ist, ob Datenschutz und Informationssicherheit das Selbe sind, und, wie Sie mit dem Aufbau eines effektiven ISMS auf Basis des BSI-Grundschutzstandards beginnen können.

Was ist ein ISMS?

Ein Informationssicherheitsmanagementsystem (ISMS) auf Basis des BSI-Grundschutzstandards ist ein strukturiertes Konzept, das dazu dient, die Informationssicherheit in Ihrem Unternehmen systematisch zu managen. Es handelt sich um ein Rahmenwerk, das Ihnen hilft, die Sicherheit Ihrer digitalen Systeme, Daten und Prozesse zu gewährleisten. Dabei gut zu wissen: Der BSI Grundschutzstandard ist ISO 27001 kompatibel, d.h. erhält man eine Zertifizierung nach BSI Grundschutzstandard, ist man ganz automatisch auch nach dem international geltenden ISO 27001 Standard zertifiziert.

Ein Beispiel:

Denken Sie an Ihr Unternehmen wie an als ein Haus. Ein ISMS ist wie ein umfassendes Sicherheitskonzept für dieses Haus. Es umfasst alle Aspekte, die zum Schutz Ihres "Hauses" notwendig sind, wie zum Beispiel:

Eine klare Sicherheitspolitik (die "Hausordnung")
Die Identifizierung von Sicherheitsrisiken (potenzielle Einbruchstellen)
Die Implementierung von Sicherheitsmaßnahmen (Türen, Schlösser, Alarmanlagen)
Die regelmäßige Überprüfung und Anpassung der Sicherheitsmaßnahmen (Wartung und Instandhaltung)

Was ist der Zweck eines ISMS?

Der BSI-Grundschutzstandard bietet einen umfassenden Katalog von Sicherheitsmaßnahmen, die auf die spezifischen Bedürfnisse Ihres Unternehmens zugeschnitten werden können. Durch die Implementierung eines ISMS auf Basis des BSI-Grundschutzstandards können Sie:

Ihre digitalen Systeme und Daten vor Cyberangriffen und anderen Sicherheitsrisiken schützen
Die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten gewährleisten
Die Einhaltung von Gesetzen und Vorschriften wie der NIS 2-Richtlinie sicherstellen
Die Zuverlässigkeit und Effizienz Ihrer Geschäftsprozesse verbessern

Ein ISMS auf Basis des BSI-Grundschutzstandards ist kein "one-size-fits-all"-Lösung, sondern ein flexibles Rahmenwerk, das auf die spezifischen Bedürfnisse Ihres Unternehmens zugeschnitten werden kann. Es ist ein wichtiger Schritt, um die Informationssicherheit in Ihrem Unternehmen zu stärken und Ihre digitalen Systeme und Daten zu schützen.

Datenschutz und Informationssicherheit sind nicht das Selbe.

Ein wichtiger Punkt, den wir in diesem Zusammenhang klären sollten, ist der Unterschied zwischen Datenschutz und Informationssicherheit. Oftmals werden diese beiden Begriffe synonym verwendet, doch sie haben unterschiedliche Schwerpunkte.

Datenschutz

Der Datenschutz konzentriert sich auf den Schutz personenbezogener Daten, also Daten, die sich auf eine bestimmte Person beziehen. Ziel des Datenschutzes ist es, sicherzustellen, dass personenbezogene Daten nicht unbefugt verwendet, verarbeitet oder weitergegeben werden. Dazu gehören beispielsweise:

Die Einhaltung von datenschutzrechtlichen Vorschriften wie der DSGVO (EU) und dem Bundesdatenschutzgesetz (DE)
Die Sicherstellung, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person verarbeitet werden
Die Gewährleistung, dass personenbezogene Daten nicht unbefugt zugänglich sind

Informationssicherheit

Die Informationssicherheit hingegen umfasst den Schutz aller Arten von Informationen, egal ob personenbezogen oder nicht. Ziel der Informationssicherheit ist es, sicherzustellen, dass alle Informationen, die für Ihr Unternehmen wichtig sind, vor unbefugtem Zugriff, Veränderung oder Verlust geschützt sind. Dazu gehören beispielsweise:

Der Schutz vor Cyberangriffen und Datenlecks
Die Sicherstellung, dass (Unternehmens-)Informationen vertraulich sind
Die Gewährleistung der Integrität (also Korrektheit) und Verfügbarkeit von Systemen und Daten

Um es einfach auszudrücken: Der Datenschutz ist ein Teil der Informationssicherheit. Während der Datenschutz sich auf den Schutz personenbezogener Daten konzentriert, umfasst die Informationssicherheit den Schutz aller Arten von Informationen.

In Ihrem Unternehmen des produzierenden Gewerbes sind beispielsweise Produktionspläne, Kundeninformationen und Finanzdaten wichtige Informationen, die geschützt werden müssen. Ein Informationssicherheitsmanagementsystem (ISMS) hilft Ihnen, alle diese Informationen zu schützen, während der Datenschutz sich auf den Schutz personenbezogener Daten konzentriert, wie beispielsweise Mitarbeiterdaten oder Kundendaten.

Wie beginnt man mit der Errichtung eines ISMS?

Um ein Informationssicherheitsmanagementsystem nach BSI Grundschutz zu errichten, beginnen Sie mit der Vorbereitung. Identifizieren Sie die wichtigsten Geschäftsbereiche Ihres Unternehmens, die Sie als "Kronjuwelen" bezeichnen können. Konzentrieren Sie sich auf diese Bereiche und listen Sie alle Assets auf, die für diese Geschäftsbereiche relevant sind, wie zum Beispiel IT-Geräte und -Anwendungen, Räume und Standorte.

Im nächsten Schritt modellieren Sie diese Assets, indem Sie sie zu Zielobjekten gruppieren und diese modellieren. Verwenden Sie hierfür die Bausteine des IT-Grundschutz-Kompendiums und den Gefährdungskatalog, um die Modellierung zu unterstützen. Priorisieren Sie die Bausteine nach Bedarf, um sicherzustellen, dass Sie sich auf die wichtigsten Aspekte konzentrieren.

Anschließend führen Sie den IT-Grundschutz-Check durch, um die Ergebnisse der Modellierung zu überprüfen und Defizite zu identifizieren. Erarbeiten Sie Maßnahmen, um diese Defizite zu beheben und setzen Sie diese um. Überwachen Sie die Wirksamkeit des ISMS und der implementierten Maßnahmen, um sicherzustellen, dass diese den Anforderungen Ihres Unternehmens gerecht werden.

Es ist wichtig zu beachten, dass die Errichtung eines ISMS ein kontinuierlicher Prozess ist, der regelmäßig überprüft und angepasst werden muss. Durch die regelmäßige Überprüfung und Anpassung können Sie sicherstellen, dass Ihr ISMS den sich ändernden Bedürfnissen und Risiken Ihres Unternehmens gerecht wird.

Um den Prozess zu unterstützen, können Sie auch auf folgende Ressourcen zurückgreifen:

BSI-Grundschutz-Handbuch
BSI-Grundschutz-Tool
Beratung durch einen erfahrenen ISMS-Spezialisten
Schulungen und Workshops für Mitarbeiter

(Abschnitte dieses Textes sind durch Maschinelles Lernen/KI generiert. Unser Beitrag zu Model Collapse)

[Ratgeber] Wie Sie herausfinden, ob Ihr produzierendes Unternehmen von der NIS2 Richtlinie betroffen ist

Patrick Eisenschmidt — Wed, 14 Aug 2024 07:57:15 GMT

Um einen ersten Anhaltspunkt darüber zu erhalten, ob Ihr Unternehmen von der NIS2 Richtlinie der EU betroffen ist, können Sie den nachfolgenden Link zur Themenseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nutzen.

Betroffenheitsprüfung: https://betroffenheitspruefung-nis-2.bsi.de/

Übersichtsseite: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-was-tun/NIS-2-was-tun_node.html

Hintergrund

Die NIS2-Richtlinie (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02022L2555-20221227) ist eine wichtige Neuerung im Bereich der Cybersicherheit in Europa. Im Juli 2022 trat die Richtlinie in Kraft und soll die Sicherheit von Netz- und Informationssystemen (NIS) in der Europäischen Union stärken. In diesem Blogbeitrag werden wir die wichtigsten Aspekte der NIS2-Richtlinie zusammenfassen und ihre Auswirkungen auf Unternehmen und Organisationen in Europa beleuchten.

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie ist eine Überarbeitung der ursprünglichen NIS-Richtlinie von 2016. Sie soll die Cybersicherheit von Unternehmen und Organisation in Europa verbessern, indem sie strengere Anforderungen an die Sicherheit von Unternehmen und Organisationen stellt. Die Richtlinie gilt für alle Unternehmen und Organisationen, die in der EU tätig sind und kritische Infrastrukturen, wie z.B. Energieversorgung, Verkehr, Lebensmittelherstellung, oder Gesundheitswesen, betreiben.

Wichtige Aspekte der NIS2-Richtlinie

Die NIS2-Richtlinie enthält mehrere wichtige Aspekte, die Unternehmen und Organisationen beachten sollten:

Erweiterte Anforderungen an die Sicherheit: Die Richtlinie stellt strengere Anforderungen an die Sicherheit von Unternehmen, einschließlich der Implementierung von Sicherheitsmaßnahmen wie Firewalls, Intrusion-Detection-Systemen und regelmäßigen Sicherheitsaudits, sowie dem Einsatz von Informationssicherheits-Managementsystemen (ISMS).
Verpflichtung zur Meldung von Sicherheitsvorfällen: Unternehmen und Organisationen müssen Sicherheitsvorfälle, die die Sicherheit beeinträchtigen, innerhalb von 24 Stunden an die zuständigen Behörden melden.
Verantwortung der Unternehmensleitung: Die Richtlinie sieht vor, dass die Unternehmensleitung für die Umsetzung der Sicherheitsanforderungen verantwortlich ist.
Kooperation zwischen den Mitgliedstaaten: Die Richtlinie fördert die Kooperation zwischen den Mitgliedstaaten bei der Bekämpfung von Cyberbedrohungen.

Auswirkungen auf Unternehmen und Organisationen

Die NIS2-Richtlinie hat erhebliche Auswirkungen auf Unternehmen und Organisationen in Europa. Diese müssen ihre Sicherheitsmaßnahmen überprüfen und anpassen, um die Anforderungen der Richtlinie zu erfüllen.

Fazit

Die NIS2-Richtlinie ist ein wichtiger Schritt zur Verbesserung der Cybersicherheit in Europa. Unternehmen und Organisationen müssen sich auf die neuen Anforderungen einstellen und ihre Sicherheitsmaßnahmen anpassen, um die Sicherheit gemäß NIS2 zu gewährleisten. Durch die Umsetzung der Richtlinie können Unternehmen ihre Widerstandsfähigkeit gegen Cyberbedrohungen stärken und die Sicherheit von kritischen Infrastrukturen verbessern.

(Abschnitte dieses Textes sind durch Maschinelles Lernen/KI generiert. Unser Beitrag zu Model Collapse)

[Ratgeber] Was ist eigentlich eine Schatten-IT ?

Patrick Eisenschmidt — Tue, 11 Apr 2023 09:00:12 GMT

Die Schatten-IT bezieht sich auf die Nutzung von IT-Tools, die nicht von der IT-Abteilung eines Unternehmens, sofern überhaupt eine vorhanden ist, genehmigt oder unterstützt werden. Dies kann von unautorisierten Cloud-Anwendungen bis hin zu persönlich genutzten Smartphones reichen.

Insbesondere für kleine und mittelständische Unternehmen (KMU) kann die Schatten-IT ein erhebliches Risiko darstellen. Dies liegt daran, dass IT-Abteilungen in KMUs oft begrenzte Ressourcen und Budgets haben, um die IT-Systeme des Unternehmens zu überwachen und zu sichern. Die Verwendung von Schatten-IT erhöht das Risiko von Datenverlust, Datenschutzverletzungen, internen Sicherheitsrisiken und sogar Cyberangriffen.

Darüber hinaus kann die Schatten-IT zu zusätzlichen Kosten und Aufwänden für Unternehmen führen. Die Verwaltung von Unternehmensdaten, die Nutzung von IT-Tools und die Schulung von Mitarbeitern müssen in Einklang mit den IT-Strategien und Richtlinien des Unternehmens, welche auch an gesetzliche Vorgaben gekoppelt sein können, erfolgen. Die Schatten-IT kann diese Kontrolle untergraben und zusätzliche Kosten für die IT-Abteilung und das Unternehmen als Ganzes verursachen und dazu noch mögliche Haftungsfallen auslösen.

Es ist wichtig, dass KMUs sicherstellen, dass alle IT-Tools und -Dienste sie verwenden, von der IT genehmigt sind und in Einklang mit den IT-Sicherheitsrichtlinien des Unternehmens sind. Eine sorgfältige Überwachung und Kontrolle der IT im Unternehmen ist entscheidend, um die Risiken und Kosten der Schatten-IT zu minimieren.

Wie kann man Schatten-IT bändigen?

Es gibt verschiedene Schritte, die Unternehmen ergreifen können, um die Schatten-IT in den Griff zu bekommen und die Risiken und Kosten zu minimieren:

1. Erstellung einer klaren IT-Richtlinie: Unternehmen sollten eine klare IT-Richtlinie erstellen und diese mit ihren Mitarbeitern teilen, um sicherzustellen, dass alle IT-Tools genehmigt sind und in Einklang mit den Sicherheitsrichtlinien des Unternehmens stehen.

2. Schulung der Mitarbeiter: Unternehmen sollten Schulungen für ihre Mitarbeiter anbieten, um sicherzustellen, dass sie verstehen, welche IT-Tools und -Dienste akzeptabel sind und wie sie diese sicher verwenden können.

3. Monitoring und Überwachung der IT-Systeme: Unternehmen sollten ihre IT-Systeme aktiv überwachen, um mögliche Schatten-IT-Implementierungen oder -Nutzungen zu identifizieren. Dadurch können sie potenzielle Risiken frühzeitig erkennen und verhindern.

4. Implementierung von Kontrollmechanismen und Tools: Unternehmen sollten Kontrollmechanismen und -Tools implementieren, wie z.B. Zugangskontrollen, Firewall-Regeln und Anti-Malware-Software, um sicherzustellen, dass nur autorisierte IT-Tools verwendet werden.

5. Zusammenarbeit mit der IT-Abteilung: Unternehmen sollten sicherstellen, dass ihre IT-Abteilung in alle Entscheidungen bezüglich der IT-Systeme des Unternehmens eingebunden ist. Dies umfasst auch die Implementierung und Verwaltung von neuen IT-Tools und -Diensten.

Durch die Umsetzung dieser Maßnahmen können Unternehmen die Schatten-IT kontrollieren und die damit verbundenen Risiken und Kosten minimieren.

Warum entstehen Schatten-IT in Organisationen und Unternehmen?

In KMUs entstehen Schatten-ITen, da sie oft über begrenzte Ressourcen und Budgets verfügen, um die Bedürfnisse ihrer IT-Infrastruktur zu erfüllen. Dies führt oft dazu, dass Mitarbeiter auf eigene Faust IT-Tools und -Services beschaffen und nutzen, die nicht von der IT-Abteilung genehmigt oder unterstützt werden.

Ein weiterer Grund für die Entstehung von Schatten-IT in KMUs ist, dass die interne Wahrnehmung über formale Genehmigungsprozesse negativ ausgeprägt sein kann, um neue IT-Tools oder -Dienste im Unternehmen zu implementieren. Mitarbeiter können dies als Hindernis empfinden und auf eigene Faust handeln, indem sie einfach ihre eigenen IT-Tools einsetzen.

Darüber hinaus kann der unkontrollierte Einsatz von Schatten-IT durch Mitarbeiter auch auf die geringe IT-Kompetenz der Unternehmen zurückzuführen sein, insbesondere wenn es keine klaren IT-Richtlinien oder Schulungen gibt, um die Mitarbeiter zu informieren.

Obwohl die Schatten-IT in KMUs eine große Herausforderung darstellt, können Unternehmen sich auf eine klare IT-Politik sowie auf Schulung und Überprüfung der IT-Systeme konzentrieren, um die Risiken und Kosten der Schatten-IT zu minimieren.

Hier bieten sich u.a. Managed Services von MSPs an, die diese Leistungen abdecken.

[Ratgeber] Was ist eigentlich der Known Exploited Vulnerabilities Catalog?

Patrick Eisenschmidt — Tue, 04 Apr 2023 09:00:17 GMT

Der Known Exploited Vulnerabilities Catalog der Cybersecurity and Infrastructure Security Agency (CISA) ist eine wichtige Ressource für Unternehmen und Organisationen, die ihre IT-Sicherheit aufrechterhalten wollen. Die Liste enthält Sicherheitslücken, die bereits aktiv von Cyberkriminellen oder anderen bösartigen Akteuren ausgenutzt wurden.

Die CISA überwacht ständig die globale Bedrohungslandschaft und fügt dem Known Exploited Vulnerabilities Catalog neue Einträge hinzu, sobald neue Angriffe entdeckt werden. Durch die Nutzung dieser Liste können Unternehmen ihre Sicherheitsmaßnahmen besser auf aktuelle Bedrohungen abstimmen, um die Auswirkungen von Angriffen zu minimieren.

Es ist empfehlenswert, regelmäßig den Known Exploited Vulnerabilities Catalog zu überprüfen und sich mit den aufgeführten Bedrohungen auseinanderzusetzen. Unternehmen können auf diese Weise gezielt ihre Schwachstellenanalyse durchführen und ihre Schutzmaßnahmen entsprechend ausrichten. Das Ziel ist immer, potenzielle Angriffspunkte zu schließen, bevor ein Angreifer tatsächlich seine Attacke startet.

Daher ist der Known Exploited Vulnerabilities Catalog ein wertvolles Instrument zur Verbesserung der Cybersecurity, da es Unternehmen ermöglicht, proaktiv gegen potenzielle Angriffe vorzugehen und so ein höheres Maß an IT-Sicherheit zu erreichen.

Gibt es noch weitere Ressourcen, vor-allem für den europäischen Markt?

Zwar agieren APTs und Cyberkriminelle global. Dennoch gibt es auch auf den europäischen Markt und der sich darin befindlichen Organisationen und Unternehmen zugeschnittene Ressourcen, die dabei behilflich sein können, Cyberbedrohungen zu identifizieren und geeignete Maßnahmen zu ergreifen.

Dazu gehört beispielsweise der European Union Agency for Cybersecurity (ENISA) Threat Landscape Report (und andere Publikationen der ENISA), der regelmäßig aktualisiert wird und eine Übersicht über aktuelle Bedrohungen in Europa bietet.

Darüber hinaus gibt es auch verschiedene nationale Cybersecurity-Organisationen in Europa, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland, das National Cyber Security Centre (NCSC) in Großbritannien und das Agence nationale de la sécurité des systèmes d'information (ANSSI) in Frankreich. Diese Organisationen veröffentlichen regelmäßig Warnungen und Empfehlungen bezüglich der IT-Sicherheit und stellen Leitfäden und Best Practices zur Verfügung.

Eine weitere wichtige Publikation ist die Online-Datenbank CVE (Common Vulnerabilities and Exposures), die eine umfassende Liste bekannter Schwachstellen in Softwareprodukten enthält. Unternehmen können diese Datenbank nutzen, um ihre Systeme auf bekannte Schwachstellen zu überprüfen und entsprechende Maßnahmen zu ergreifen.
Es gibt viele verschiedene Quellen, die Unternehmen in Europa dabei helfen können, ihre IT-Sicherheit zu verbessern und auf aktuelle Bedrohungen zu reagieren. Durch die regelmäßige Überprüfung und Nutzung dieser Ressourcen können Unternehmen ihre Cybersecurity verbessern und sich effektiv gegen Cyberangriffe schützen.

Natürlich sollte das ganze in eine umfassende Informationssicherheitsstrategie eingebettet sein. Denn letztlich handelt es sich hier nur um Listen, die bekannte und ausgenutzte Angriffsvektoren darstellt.

Wie diese von Angreifern genutzt werden, beleuchten wir im nächsten Beitrag zu "Was ist eigentlich das Mitre Attack Framework?"

[Ratgeber] Edge-Computing: Eine Alternative zur Cloud-Infrastruktur für KMUs im herstellenden Gewerbe?

Patrick Eisenschmidt — Mon, 03 Apr 2023 09:00:45 GMT

Cloud-Infrastrukturen sind bei vielen Unternehmen inzwischen Standard, um Daten und Anwendungen flexibel und sicher zu speichern und verarbeiten. Doch gerade für KMUs im herstellenden Gewerbe kann die Implementierung einer Cloud-Strategie sehr komplex sein.

Zunächst müssen die Anforderungen an die Cloud-Infrastruktur genau definiert werden. Welche Anwendungen sollen genutzt werden? Wie hoch ist die Datenmenge, die gespeichert werden muss? Welche Anforderungen bestehen hinsichtlich Datenschutz und -sicherheit? Dies sind nur einige der Fragen, die Unternehmen im Vorfeld klären müssen, um eine passende Cloud-Infrastruktur aufbauen zu können.

Dabei können Kosten und Ressourceneinsatz schnell aus dem Ruder laufen. Denn je komplexer die Infrastruktur, desto höher ist der Aufwand für Planung, Implementierung und Betrieb. Auch kann es nötig sein, vorhandene IT-Infrastrukturen anzupassen oder zu erweitern.

Um diese Herausforderungen zu meistern, sollten KMUs eine fundierte Planung und eine Zusammenarbeit mit erfahrenen IT-Experten in Betracht ziehen. Eine durchdachte Cloud-Strategie ist unverzichtbar, um die Vorteile der Cloud-Technologie voll auszuschöpfen und datenbasierte Prozesse effizient zu gestalten.

Passt die Cloud eigentlich zu Produktionsanlagen?

Das kommt darauf an. Hier bietet ein anderer Ansatz deutlich bessere Vorteile: Das Edge-Computing.

Edge-Computing ist eine Technologie, bei der die Datenverarbeitung, -analyse und -speicherung direkt am Rand des Netzwerks, also in der Nähe der Datenquelle, stattfindet. Im Gegensatz dazu werden bei herkömmlichen Cloud-Computing-Ansätzen die Daten an entfernte Rechenzentren übertragen, um dort verarbeitet und/oder gespeichert zu werden.

Edge-Computing bietet eine Reihe von Vorteilen, darunter:

1. Geringere Latenzzeiten: Da die Daten direkt am Rand des Netzwerks verarbeitet werden, wird die Zeit, die für die Übertragung von Daten an ein entferntes Rechenzentrum und zurück benötigt wird, reduziert. Dadurch wird die Latenzzeit minimiert, was für Anwendungen wie autonome Fahrzeuge und Telemedizin von entscheidender Bedeutung ist.

2. Höhere Datensicherheit: Bei Edge-Computing wird die gesamte Datenverarbeitung und -analyse am Rand des Netzwerks durchgeführt, was bedeutet, dass nur ein kleiner Teil der Daten tatsächlich aus dem Netzwerk herausfließen muss. Dadurch wird das Risiko von Datenverlusten, Cyberangriffen und Datenschutzverletzungen minimiert.

3. Höhere Skalierbarkeit: Da die Datenverarbeitung dezentralisiert ist und direkt am Rand des Netzwerks stattfindet, können Unternehmen leichter und schneller skalieren, da sie keine zusätzlichen Rechenzentren benötigen.

Doch Edge-Computing unterscheidet sich in der Tat von der traditionellen IT, insbesondere hinsichtlich der Sicherheitsanforderungen. Wenn Sie Edge-Computing nutzen möchten, müssen Sie sichergestellen, dass Sie die folgenden Punkte beachten:

1. Risikobewertung: Bevor Sie Edge-Computing einsetzen, müssen Sie eine vollständige Risikobewertung durchführen, um die Bedrohungen und Schwachstellen zu identifizieren, die Ihre OT-Systeme betreffen können. Dazu kann gehören, dass Sie die IoT-Geräte und ihre Verbindungen überwachen und sicherstellen, dass sie auf dem neuesten Stand sind und keine bekannten Schwachstellen enthalten.

2. Segmentierung: Die Segmentierung ist ein wichtiger Bestandteil der Sicherheitsarchitektur bei OT-Systemen. Sie müssen sicherstellen, dass Ihr Netzwerk segmentiert ist, um die Auswirkungen von Angriffen zu begrenzen und eine schnelle Erkennung und Isolierung von Sicherheitsvorfällen zu ermöglichen.

3. Zugriffssteuerung: Zugriffssteuerung ist entscheidend, um sicherzustellen, dass nur autorisierte Personen Zugang zu den OT-Systemen haben. Sie müssen starke Authentifizierungsmethoden einführen und sicherstellen, dass nur Benutzer mit einer strengen Zugriffssteuerung auf die Systeme zugreifen können.

4. Überwachung: Eine effektive Überwachung mit Hilfe von SIEM-Tools (Security Information and Event Management) hilft, Sicherheitsvorfälle und Anomalien schnell zu erkennen und zu reagieren, bevor sie zu größeren Sicherheitsproblemen führen können.

5. Patch-Management: Um Schwachstellen in der OT-Umgebung zu minimieren, müssen Sie sicherstellen, dass alle Geräte und Anwendungen auf dem neuesten Stand sind und alle Sicherheitspatches eingespielt wurden.

OT-Sicherheitsanforderungen müssen bei der Planung von Edge-Computing berücksichtigt werden. Eine sorgfältige Überwachung, Segmentierung und Zugriffssteuerung von OT-Systemen sowie regelmäßige Risikobewertungen und Patch-Management-Updates sind wichtige Maßnahmen, um die Sicherheit von Edge-Computing-Systemen zu gewährleisten.

Fazit

Neben Cloud-Infrastrukturen bietet das Edge-Computing Unternehmen im herstellenden Gewerbe Vorteile, wie geringere Latenzzeiten, höhere Datensicherheit und höhere Skalierbarkeit, die in regulären Cloud-Systemen nicht erreichbar wären. Unternehmen, die Edge-Computing nutzen möchten, müssen jedoch Sicherheitsanforderungen wie Risikobewertung, Segmentierung, Zugriffssteuerung, Überwachung und Patch-Management beachten. Eine Implementierung von Edge-Computing unter Berücksichtigung dieser Anforderungen kann für KMUs effektiv sein, um die Vorteile datenbasierter Prozesse optimal nutzen zu können und gleichzeitig die IT- und OT-Sicherheit zu gewährleisten.

Insgesamt lässt sich sagen, dass Cloud-Infrastrukturen nicht immer die ideale Lösung für KMUs im herstellenden Gewerbe sind. Stattdessen bietet das Edge-Computing eine interessante Alternative, um flexibel und sicher mit Daten arbeiten zu können. Unternehmen, die sich für diese Technologie entscheiden, sollten jedoch unbedingt die Sicherheitsanforderungen im Blick behalten und entsprechende Maßnahmen ergreifen. Eine Zusammenarbeit mit erfahrenen IT-Experten kann hierbei hilfreich sein, um eine fundierte Planung und Implementierung sicherzustellen.

Es ist wichtig, dass Unternehmen die Besonderheiten ihrer Branche und Anforderungen gut kennen, um die passende Technologie für ihre Bedürfnisse auszuwählen. Eine Kombination aus Cloud- und Edge-Computing kann beispielsweise auch eine effektive Lösung sein. Letztendlich ist eine sorgfältige Planung und Umsetzung der IT-Strategie unerlässlich, um die Vorteile datenbasierter Prozesse nutzen und gleichzeitig die Sicherheit der IT- und OT-Systeme gewährleisten zu können.

Sie haben Fragen zur Implementierung einer passenden Cloud-Infrastruktur oder zum Einsatz von Edge-Computing in Ihrem Unternehmen? Wir als IT- und OT-Experten haben hierbei umfassende Erfahrung und unterstützen Sie gerne auf Ihrem Weg. Erfahren Sie mehr über unsere maßgeschneiderten Lösungen und kontaktieren Sie uns noch heute - Wir freuen uns auf Ihre Anfrage!

[Ratgeber] Technische Leiter: kennen Sie diese Schwierigkeiten?

Patrick Eisenschmidt — Sun, 02 Apr 2023 09:00:40 GMT

Lassen sich mich Ihnen einmal Martin vorstellen, einen fiktiven Technischen Leiter eines produzierenden KMUs in Deutschland, der hier als imaginäre Figur für ein kleines Gedankenexperiment dienen soll.

Martin ist stark in sein Unternehmen investiert und leidenschaftlich darin, dessen technologische Infrastruktur voranzutreiben. Trotz seines Wissens über PLC-Programmierung kämpft Martin damit, andere Teammitglieder und C-Level-Manager davon zu überzeugen, neue Technologien zu nutzen, da seine Kollegen und Vorgesetzten zögern, in Tools zu investieren, die sie für unnötig oder zu teuer halten.

Martin weiß, dass das Unternehmen aufgrund sich schnell verändernder Branchenbedingungen anpassungsfähig bleiben und neue technologische Fortschritte annehmen muss. Seine Bemühungen wurden jedoch von Kollegen mit Widerstand und Skepsis aufgenommen, die Veränderungen nur ungern akzeptieren.

Martins interner Konflikt besteht darin, seinen Wunsch, das Unternehmen mit neuen Technologien voranzutreiben, mit den Meinungen und Bedenken seiner Kollegen auszugleichen. Er muss Wege finden, um die Vorteile neuer Technologien in einer Sprache darzustellen, die andere verstehen, und den Return on Investment aufzuzeigen, den das Unternehmen erzielen kann.

Trotz dieser Herausforderungen bleibt Martin bestrebt, auf dem neuesten Stand der Fertigungsindustrie zu bleiben und die technologische Infrastruktur seines Unternehmens zu verbessern, um langfristigen Erfolg zu erzielen.

Wie könnte Martin eine Strategie entwickeln, um diesen Widerstand zu überwinden?

1. Verstehen der Bedenken seiner Kollegen: Martin sollte sich die Zeit nehmen, um die Gründe zu verstehen, warum andere Teammitglieder und C-Level-Manager zögern, neue Technologien anzunehmen. Er muss ihre Bedenken ansprechen und Wege finden, um ihre Ängste zu mildern.
2. Recherche und Präsentation einen Geschäftsanwendungsfalles: Martin sollte die neuesten Technologien in der Fertigungsbranche recherchieren und einen umfassenden Geschäftsanwendungsfall vorlegen, wie sie die Betriebsabläufe des Unternehmens verbessern, die Produktivität steigern und langfristig Kosten einsparen werden. Indem er den Return on Investment und potenzielle Kosteneinsparungen darlegt, kann Martin Kollegen überzeugen, dass sich die Investition lohnt.
3. Bildung und Schulung anderer: Martin kann anbieten, Bildung und Schulung für Kollegen anzubieten, die möglicherweise nicht so viel Wissen über neue Technologien haben, um ihr Verständnis für die Vorteile zu verbessern, die sie für das Unternehmen bieten können.
4. Projekte in kleinere Schritte unterteilen: Anstatt eine groß angelegte Implementierung neuer Technologien zu verfolgen, könnte Martin das Projekt in kleinere, handhabbare Schritte aufteilen. Diese Strategie ist nicht nur kosteneffektiv, sondern kann auch dazu beitragen, Schwung und Unterstützung der Teammitglieder aufzubauen.
5. Gespräche führen: Martin sollte sinnvolle Gespräche mit seinen Kollegen über das Potenzial neuer Technologien führen, um Betriebsabläufe zu verbessern, die Produktivität zu steigern und Kosten zu reduzieren. Indem er Feedback und Meinungen von Kollegen einholt und aktiv zuhört, kann Martin sie schnell an Bord holen.

Durch die Anwendung dieser Strategien kann Martin den Widerstand seiner Kollegen gegen die Annahme neuer Technologien überwinden und das Unternehmen auf den Weg zur Modernisierung bringen.

Kennen Sie jemanden wie Martin oder sind Sie mit der Situation vertraut, der sich unser Martin hier stellt?

Manchmal kann externe Expertise helfen und Technische Leitungen in Situationen unterstützen, in denen interne Innovations- und Veränderungsversuche nicht überzeugend genug ankommen.

Kontaktieren Sie uns - wir helfen Ihnen, die Argumente und Mittel zu finden, um Innovationen in Ihrem Unternehmen voranzutreiben.

[Schnelltipps] Sicherheitslücken in Drittanbieterkomponenten: Siemens und Schneider Electric beheben über 100 Schwachstellen

Patrick Eisenschmidt — Sat, 01 Apr 2023 09:00:19 GMT

Siemens und Schneider Electric haben in ihren Security Advisories vom Patch Tuesday März 2023 mehr als 100 Schwachstellen behoben. Von den sieben neuen Advisories von Siemens beschreiben die meisten von ihnen Schwachstellen von Drittanbieterkomponenten, die von Siemens-Produkten genutzt werden. Die meisten dieser Schwachstellen betreffen 65 von Linux Kernel, Busybox, OpenSSL und OpenVPN genutzte Komponenten, von denen 17 in Scalance-Geräten auftraten. Diese Schwachstellen können zu einem DoS-Zustand oder zur Codeinjektion führen oder sogar die Offenlegung von sensiblen Daten bewirken. Um einige der Schwachstellen zu beheben, hat Siemens zwar Aktualisierungen bereitgestellt, aber noch nicht alle Schwachstellen beseitigt.

Schneider Electric hat drei Advisories veröffentlicht, in denen insgesamt zehn Schwachstellen beschrieben werden. Eine dieser Advisories beschreibt eine kritische Sicherheitslücke in PowerLogic Power Metern. Ein weiteres Advisory beschreibt die Schwachstellen verschiedener Module von IGSS SCADA Produkten, die von DoS- und Remote-Code-Execution-Problemen betroffen sind. In der letzten Advisories informiert Schneider Electric über ein Problem des Session-Hijacking in EcoStruxure Power Monitoring-Produkten.

Es ist wichtig für KMUs des herstellenden Gewerbes, dass sie sich regelmäßig mit den Sicherheitslücken auseinandersetzen, die von Drittanbieterkomponenten in ihren Produkten verursacht werden können. Es ist ratsam, die neuesten Patches und Updates zu überwachen und sie unverzüglich bereitzustellen, um die Sicherheitsbedrohungen so gering wie möglich zu halten.

Dazu finden Sie jeweiligen Veröffentlichungen der o.g. Hersteller hier:

Siemens Advisories finden Sie unter diesem Link

Schneider Electric Advisories finden Sie unter diesem Link

[Schnelltipps] IT-Sicherheit 1x1: Warum sollten gewöhnliche Windows-Benutzer keine Administratorrechte haben?

Patrick Eisenschmidt — Fri, 31 Mar 2023 09:00:04 GMT

Ohne ausreichende Sicherheitsmaßnahmen ist ein Windows-Gerät anfällig für eine Vielzahl von Bedrohungen. Dazu gehören bösartige Software, Viren und Ransomware, die alle Schaden anrichten können und zu Datenverlust führen können. Einer der wichtigsten Schritte, den Sie ergreifen können, um Ihr System zu schützen, ist das Begrenzen der Zugriffsrechte von Benutzerkonten.

Gewöhnliche Benutzer sollten keine Administratorrechte auf ihren Windows-Geräten haben. Ein Administrator hat vollen Zugriff auf das System, einschließlich wichtiger Systemdateien und Einstellungen, um größere Änderungen vorzunehmen. Durch das Deaktivieren von Administratorrechten für gewöhnliche Benutzer können viele potenzielle Sicherheitsrisiken vermieden werden.

Das Einrichten von Benutzerkonten mit eingeschränkten Zugriffsrechten ist eine Methode zur Erhöhung des Sicherheitsniveaus von Windows-Geräten. Durch die Begrenzung des Zugriffs und der Möglichkeiten von Benutzern wird das gesamte System insgesamt sicherer. Indem Sie eine zusätzliche Schutzschicht hinzufügen, verringern Sie das Risiko von Angriffen oder Schäden, die durch bösartige oder unachtsame Benutzer verursacht werden können.

Ohne Einschränkungen könnten Benutzer aus Versehen wichtige Systemdateien oder Systemeinstellungen löschen oder ändern, was zu schwerwiegenden Problemen führen könnte. Im Wesentlichen gibt die Beschränkung von Benutzerrechten ihnen die Möglichkeit, Aufgaben zu erledigen, ohne dabei das volle Risiko von Schadfunktionen einzugehen.

Das Begrenzen von Benutzerrechten ist ein wichtiger Schritt zur Verbesserung der IT-Sicherheit von Windows-Geräten. Es ist auch einer von vielen Schritten, um Ihr System umfassend zu schützen und das Risiko von Cyberangriffen zu minimieren und damit Schäden für den eigenen Betrieb zu vermeiden.

Sicherheitsupdates für ältere iPhones und iPads: Schutz vor aktiv ausgenutzter Zero-Day-Schwachstelle

Patrick Eisenschmidt — Thu, 30 Mar 2023 09:00:08 GMT

Apple hat Sicherheitsupdates veröffentlicht, um ältere iPhones und iPads vor einer bereits ausgenutzten Zero-Day-Schwachstelle zu schützen. Dies betrifft auch Geräte in kleinen und mittelständischen Unternehmen (KMU) im produzierenden Gewerbe.

Die Schwachstelle (CVE-2023-23529) ist eine WebKit-Typverwirrungsproblematik, die auf neueren iPhone- und iPad-Geräten am 13. Februar 2023 behoben wurde. Durch einen erfolgreichen Angriff können Betrüger OS-Abstürze verursachen und auf den kompromittierten iOS- und iPadOS-Geräten Code-Execution ausführen.

Daraufhin können die Angreifer willkürlichen Code auf den anvisierten iPhones und iPads ausführen, indem sie die Opfer dazu verleiten, bösartige Websites zu öffnen (diese Schwachstelle betrifft auch Safari 16.3.1 auf macOS Big Sur und Monterey).

Apple hat am 27.03.23 auch die Zero-Day-Schwachstelle in iOS 15.7.4 und iPadOS 15.7.4 behoben und verbesserte Überprüfungen eingeführt, um dieses Problem zu vermeiden.

Die Liste der betroffenen Geräte umfasst iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation).

Es wird zwar berichtet, dass diese Schwachstelle bereits in Angriffen ausgenutzt wurde, aber es ist Standardverfahren von Apple, technische Details über solche Vorfälle nicht zu veröffentlichen. Es ist jedoch ratsam, die Sicherheitsupdates so schnell wie möglich zu installieren, um die Angriffsversuche auf ältere iPhones und iPads von KMUs im produzierenden Gewerbe zu verhindern.

Im Januar veröffentlichte Apple auch Patches für eine andere Zero-Day-Schwachstelle, die ältere iPhones und iPads betraf und von Clément Lecigne von Googles Threat Analysis Group gemeldet wurde.

[Ratgeber] Ab wann hat man es eigentlich mit OT (Operational Technology) in Produktionsanlagen zu tun ?

Patrick Eisenschmidt — Wed, 29 Mar 2023 12:00:57 GMT

Man spricht von OT (Operational Technology) in Produktionsanlagen, wenn Technologien eingesetzt werden, um den direkten Betrieb von Produktionsprozessen zu steuern, zu managen oder zu überwachen. Dazu gehören beispielsweise Steuerungs- und Regelungssysteme, Sensorik, Aktorik, Feldgeräte, Prozessleitsysteme oder Robotik.

Typischerweise finden sich OT-Technologien in Produktionsanlagen, in denen industrielle Prozesse ausgeführt werden, wie beispielsweise in der Produktion von Lebensmitteln, Chemikalien und Pharmazeutika, im Automobil- oder Maschinenbau oder in Kraftwerken und Energieversorgungsanlagen.

Im Gegensatz dazu bezieht sich IT (Informationstechnologie) auf die Verarbeitung, Speicherung und Übertragung von Daten und Informationen. In Produktionsanlagen wird IT beispielsweise eingesetzt, um den Produktionsprozess zu überwachen, Daten zu sammeln, Datenaustausch mit anderen Systemen oder um Wartung und Diagnose durchzuführen.

Insgesamt gilt, dass die Zusammenführung von IT und OT zunehmend an Bedeutung gewinnt, um Produktionsprozesse besser zu optimieren und zu steuern. Dies wird auch als Industrie 4.0 bezeichnet.

Welche Ebenen in OT Umgebungen gibt es?

Die Organisationpyramide von OT-Systemen besteht in der Regel aus vier Ebenen, von denen jede eine spezifische Aufgabe hat:

Feldebene:

Die Feldebene ist die unterste Ebene der Organisationpyramide und umfasst die eigentlichen Geräte, Komponenten und Sensoren in der Produktionsanlage. Hier werden die Daten und Signale von den Sensoren erfasst und an die nächste Ebene weitergegeben.

Sie umfasst alle Geräte, Sensoren und Aktoren, die direkt in der Produktionsanlage installiert und zur Steuerung, Überwachung und Erfassung von Prozessdaten verwendet werden. Typischerweise werden in der Feldebene verschiedene Komponenten eingesetzt, die im Folgenden genauer beschrieben werden:

1. Sensoren: Sensoren beziehen Informationen aus der Umgebung der Produktionsanlage. Sie sind z.B. verantwortlich für die Messung von Temperaturen, Druck, Durchfluss, pH-Wert oder anderen physikalischen oder chemischen Größen. Die von den Sensoren erfassten Daten werden an die nächste Ebene weitergeleitet, um Verarbeitung und Steuerung der Prozesse zu ermöglichen.

2. Aktoren: Aktoren sind mit der Steuerung von Geräten in der Produktionsanlage verbunden. Sie sind beispielsweise für die Steuerung von Ventilen, Pumpen, Motoren oder anderen Geräten verantwortlich. Über die Aktoren werden die von der Steuerungsebene berechneten Steuerkommandos an die Geräte in der Produktionsanlage gesendet.

3. Feldgeräte: Feldgeräte sind kompakte Steuerungssysteme, die häufig direkt vor Ort installiert werden, um Geräte zu überwachen, zu steuern und zu automatisieren. Die Geräte können z.B. IO-Module, Dezentrale E/A-Systeme, Geräte zur Gas- oder Flüssigkeitsanalyse, Feldbus-Gateways oder sonstige dezentrale Steuerungselemente sein.

4. Kommunikationsprotokolle: Die verschiedenen Komponenten auf der Feldebene kommunizieren miteinander über unterschiedliche Kommunikationsprotokolle. Einige gängige Protokolle in der Feldebene sind Modbus, Profibus, HART (Highway Addressable Remote Transducer Protocol) oder 4-20mA.

Steuerungsebene:

Die Steuerungsebene bildet die nächsthöhere Ebene der Organisationpyramide in einem OT-System und umfasst die Komponenten, die auf der Feldebene erfasste Daten verarbeiten. Die Steuerungsebene ist für die direkte Steuerung der Produktionsanlage verantwortlich und stellt eine Schnittstelle zwischen der Feldebenen und der Leitebene dar.

Typische Komponenten der Steuerungsebene sind:

1. Steuerungssysteme: Steuerungssysteme auf der Steuerungsebene umfassen in der Regel programmierbare Steuerungen wie PLCs (Programmable Logic Controllers) oder RTUs (Remote Terminal Units). Diese Steuerungen dienen der Überwachung und Steuerung von Geräten und Prozessen und liefern Daten und Informationen über den Zustand der Produktionsanlage.

2. Schnittstellenkomponenten: Schnittstellenkomponenten wie Sensoren oder Aktoren, die auf der Feldebene eingesetzt werden, sowie die an die Infrastruktur angeschlossenen Netzwerke und Protokolle werden über die Schnittstellen auf der Steuerungsebene in die Steuerungsstrategie integriert.

3. Lokale Benutzerschnittstellen: Lokale Benutzerschnittstellen wie Bedienpanels, Tablets oder Touchscreens werden häufig eingesetzt, um dem Bediener auf der Steuerungsebene direkten Zugriff auf die Steuerung und Überwachung der Produktionsanlage zu ermöglichen. Über diese Schnittstelle hat der Bediener oft auch die Möglichkeit, Parameter der Anlagensteuerung zu bearbeiten und Protokolle oder Alarmmeldungen einzusehen.

Eine der wichtigsten Aufgaben der Steuerungsebene ist die Überwachung und Regelung von Produktionsprozessen in Echtzeit. Hierzu werden Algorithmen und Steuerungsstrategien eingesetzt, die die von den Feldebenen erfassten Daten verarbeiten und die Aktoren auf der Feldebene entsprechend steuern. Im Falle von Störungen oder Fehlfunktionen werden Alarmmeldungen an den Bediener auf der Steuerungsebene gesendet, der dann angemessene Maßnahmen ergreifen kann.

Insgesamt spielt die Steuerungsebene eine zentrale Rolle bei der Integration von Feldebenen in die Automation und der Effizienzsteigerung in der Produktion.

Leitebene:

Die Leitebene, die auch als HMI (Human-Machine-Interface) bezeichnet wird, bildet die dritte Ebene in der Organisationpyramide eines OT-Systems zur Steuerung und Überwachung von Produktionsprozessen. Die Leitebene ist für die Integration der auf der Steuerungsebene generierten Daten, für die Überwachung und Diagnose von Prozessen sowie für das Angebot einer Benutzerschnittstelle für das Bedien- und Wartungspersonal verantwortlich.

Typische Komponenten auf der Leitebene sind:

1. SCADA-Software: Die SCADA-Software ist ein wichtiger Bestandteil der Leitebene und stellt ein zentrales Element zur Steuerung der Produktion und Überwachung der Anlagenperformance dar. Die Software ermöglicht es dem Bediener, den Zustand der Anlage in Echtzeit zu überwachen, Prozessdaten anzusehen, Prozessänderungen vorzunehmen und Alarmmeldungen abzuarbeiten.

2. Visualisierung: Die Software bietet die Möglichkeit, Prozessinformationen auf einer grafischen Oberfläche darzustellen. Man spricht in diesem Zusammenhang auch häufig von einem HMI, da sich durch die grafische Darstellung eine intuitive Bedienung ergibt.

3. Reporting: Die SCADA-Software bietet auch umfangreiche Reporting-Möglichkeiten, um Einblick in Prozessdaten und Anlagenperformance zu erhalten und somit eine kontinuierliche Überwachung der Produktionsprozesse zu ermöglichen.

4. Alarmierung und Diagnose: Bei der Diagnose von Anlagenfehlern ist die SCADA-Software in der Lage, Alarmmeldungen auszulösen und somit eine schnelle Erkennung und Behebung von Anlagenfehlern zu ermöglichen.

Insgesamt spielt die Leitebene in der Produktion eine wichtige Rolle bei der Integration von Prozessdaten aus der Steuerungsebene, der Überwachung der Anlagenleistung und der Umsetzung von Optimierungspotenzialen. Sie bietet dem Bediener das erforderliche Instrumentarium zur Steuerung, Überwachung und Diagnose von Anlagenprozessen und trägt damit wesentlich zur Effizienzsteigerung in der Produktion bei.

Viele innovative Softwaretools, die ihren Ursprung in der IT haben, finden auf dieser Ebene immer mehr Anwendung und verdrängen große monolytische SCADA-Software bereits teilweise. Ein Trend der u.A. auch als Konvergenz von IT/OT zur Industrie 4.0 verstanden wird.

Unternehmensebene:

Die Unternehmensebene bildet die vierte und oberste Ebene in der Organisationpyramide eines SCADA-Systems und hat als Ziel, die Prozesse in der Produktion in Einklang mit den Geschäftszielen und -anforderungen des Unternehmens zu bringen. Die Unternehmensebene greift dabei auf die auf den anderen Ebenen erhobenen Daten und Informationen zurück, um Entscheidungen zu treffen und die Gesamtperformance der Produktion zu steuern.

Typische Komponenten auf der Unternehmensebene sind:

1. Geschäftsanalyse: Die Unternehmensebene verfolgt das Ziel, Daten aus der Produktion in Echtzeit zu sammeln und zu analysieren, um die Gesamtperformance der Produktion in Relation zu den Geschäftszielen zu bringen. Die gesammelten Daten können beispielsweise zur Optimierung von Prozessen, zur Analyse von Produktionsmargen oder zur Steigerung der Produktionseffizienz genutzt werden.

2. Planung: In der Unternehmensebene werden auch Entscheidungen bezüglich der Planung neuer Produktionsanlagen, Technologien oder Prozessabläufe getroffen. So können Kapazitätsanforderungen vorweggenommen und die Anlagen auf zukünftige Produktionsszenarien oder Markttrends ausgerichtet werden.

3. Überwachung von Compliance-Standards: In der Unternehmensebene können auch Compliance-Checks durchgeführt werden, um sicherzustellen, dass alle Prozesse und Abläufe mit den relevanten Vorgaben, rechtlichen Anforderungen und Sicherheitsstandards im Unternehmen im Einklang stehen.

4. Geschäftsprozessintegration: Hierbei geht es darum sicherzustellen, dass die Prozesse in der Produktion eng mit den Geschäftsprozessen des Unternehmens verknüpft sind. So können Fremdwährungsrisiken minimiert, der Umsatz im Einklang mit den Anforderungen der Kunden geplant und optimiert werden.

Zusammenfassend hat die Unternehmensebene im SCADA-System die Aufgabe, eine effektive Steuerung der Produktion im Kontext der Geschäftsstrategie und der langfristigen Ziele des Unternehmens zu gewährleisten. Die Unternehmensebene kann entscheidend dazu beitragen, die Effizienz der Produktion zu steigern und sich frühzeitig an veränderte Marktbedingungen anzupassen.

Im Artikel

IT und OT. Wo ist eigentlich der Unterschied? (erscheint bald)

klären wir noch einmal genau, wo die Unterschiede dieser beiden Bereiche liegen und welche unterschiedlichen Anforderungen an Betriebs-, Informations- und Cybersicherheit vorherrschen.

[Ratgeber] Was ist noch einmal die Cloud?

Patrick Eisenschmidt — Wed, 03 Nov 2021 16:49:47 GMT

Der Begriff "Cloud" ist wohl einer dieser, welcher aus marketingstrategischen Gründen ständig und überall angewandt wird. Aber was ist diese Cloud eigentlich? In diesem Beitrag erklären wir, was die Cloud ist, welche verschiedenen Clouds existieren und ob man im Allgemeinen die Frage beantworten kann, warum das überhaupt für Unternehmen wichtig ist.

Ich hatte es bereits in unserem vorherigen Post angesprochen:

In diesem Beitrag werde ich versuchen, den Cloud-Begriff zu entmystifizieren und zu erklären, worum es eigentlich geht, damit Sie im Einkauf den Durchblick behalten.

Um es vorweg zu sagen: In diesem Beitrag meine ich mit dem Begriff der Cloud nur bedingt Dokumentenspeicherdienste, wie Dropbox, equivalänte Google Produkte, oder andere Open-Source Lösungen, die wir lizenzkostenfrei und datenschutzgrundverordungskonform anbieten, mit-deren Hilfe Dokumente, wie PDF Dateien oder Bilder, etc. auf Ihren Geräten synchronisiert werden können, auch wenn Cloud für diese Dienste gerne ausschließlich als Synonym genutzt wird.

Die Cloud um die es hier geht erzeugt viel weitreichendere Konsequenzen und Möglichkeiten.

Was ist die Cloud?

Auch wenn diese Definition im Detail vom jeweiligen Geschäftsmodell des Anbieters oder Betreibers abhängt (s.u.), kann die Cloud grob als das Zusammenschalten verschiedener Ressourcen, wie Server, Dienste, Applikationen, und Umgebungen angesehen werden.

Ich nenne diese unterschiedlichen Ressourcen im Folgenden "Systeme", um das Ganze besser verständlich machen zu können. Man spricht auch von sog. "verteilten Systemen".

Der Kerngedanke ist auf eine möglichst unendliche Skalierfähigkeit der "Systeme" abgestellt, unabhängig davon, um was für eine Art System es sich hier handelt. Diese Skalierfähigkeit führt dazu, dass eine nahezu unterbrechungsfreie Verfügbarkeit der Systeme ermöglicht wird. Das ist besonders bei unternehmenskritischen Systemen von größter Wichtigkeit. Ein Ausfall eines solchen Systems könnte zu Verlusten oder gar wirtschaftlichen Schäden führen, die mit Cloud Systemen u.a. vermieden werden sollen. Daneben kreiert das den Vorteil der Standortunabhängigkeit. Systeme werden so schneller (weil näher am Benutzer) ausgeliefert oder bereitgestellt, wenn das für diese Systeme ein wichtiges Kriterium darstellt. Außerdem lassen sich wesentlich größere Work-Loads, d.h. Arbeitslasten die bei z.B. komplexen mathematischen Berechnungen auftreten, schneller abarbeiten. Das ist in Hinblick auf "Big Data" und immer größer werdenden Mengen an Maschinendaten von großer Bedeutung.

Soweit so verständlich.

Sicher kennen Sie nun aus Ihrem Alltag das Phänomen, häufig mit dem Begriff der Cloud konfrontiert zu werden. Gerade wenn Sie mit Zulieferen zu tun haben, kann diese Bombardierung für Verwirrung sorgen.

Welche Clouds gibt es?

Schaut man in den passenden wikipedia Artikel, lassen sich die Business Modelle der Cloudanbieter in Beziehung zu 4 Unterkategorien setzen:

Infrastructure-as-a-Service (IaaS)
Platform-as-a-Service (PaaS)
Software-as-a-Serviec (SaaS)
Function-as-a-Service (FaaS) (seltener aufzufinden)

Es handelt sich dabei um verschiedene Geschäftsmodelle, um die es im Detail hier nicht gehen soll. Allerdings erläutern Sie anhand ihrer Namen schon den eigentlichen technischen Hintergrund dieser Cloud-"Arten".

Bei IaaS stellt ein Anbieter oder Betreiber Infrastruktur, d.h. Hardware, wie Server und Netzwerke als Basis für alle drei weiteren folgenden Cloud-Arten bereit.

PaaS hingegen bietet Nutzern eine auf IaaS aufbauende Cloud-Umgebung, z.B. einen kubernetes-Cluster an. Das ist vorallem für DevOps-Teams gedacht. Das Angebot ist meistens an Entwickler von Software ausgerichtet.

SaaS richtet sich daneben an direkte Endanwender. Bespielhaft kann man hier Applikationen, die auf der Microsoft Azure (PaaS) aufbauen, nennen. Hier wird die "Cloud-basierte" Software vom letztlichen Endanwender genutzt.

Eher seltener trifft man auf Function-as-a-Service. Dazu könnte man einen verteilten Hadoop Cluster zählen, der tatsächlich auf Kommando bestimmte Rechenoperationen ausführt, und das Ergebnis an den Anfragenden zurückliefert.

An diesen vereinfachten Beispielen lässt sich gut erkennen: Die Cloud-Arten sind i.d.R. auf bestimmte Nutzergruppen ausgerichtet und bieten unterschiedliche Möglichkeiten aber vorallem unterschiedliche Anwendungsfälle.

Cloud ist eben nicht gleich Cloud.

Was bedeutet die Cloud für mein Unternehmen?

Eine Frage, die durchaus wichtig ist, aber von Ihrem Geschäftsmodell abhängt. Und davon, ob Sie sich bereits in der Digitalen Transformation befinden.

Sicherlich ist die Priorisierung bei der Auswahl der für das eigene Geschäft notwendige Set an Tools für ein Software- oder Internetunternehmen anders gewichtet, als für den Handwerker von Nebenan.

Pauschal lässt sich die Wichtigkeit der einzelnen unterschiedlichen Cloud-Arten ohne Abhängigkeitsbezug zu Ihrem Business-Model nicht beurteilen.

Klar ist: Unternehmen, die sich digital aufstellen, müssen sich letztlich dieser Frage stellen.

Dabei ist die Frage ansich aber mehr eine technische Detailfrage, wenn es darum geht, das best mögliche Digital-Konzept für den eigenen Betrieb aufzustellen.

Deshalb rate ich an dieser Stelle gerne dazu, dass Sie Kontakt zu einem hiesigen IT-Partner aufnehmen und dort Ihre genaue Ausgangssituation darlegen, um eine Antwort auf diese Frage erhalten zu können.

Am Rande erwähnt: Für viele Digitalisierungs- und Investionsvorhaben gibt es Landesfördermittel für Unternehmen in NRW, die bis zu 50% der Kosten übernehmen. Über die Jahre hinweg konnten wir viel Erfahrung und Expertise in der Beantragung dieser Mittel aufbauen und freuen uns immer über ein weiteres erfolgreich vermitteltes Projekt in dieser Sparte.

Wenn Sie mögen, sprechen Sie uns gerne unverbindlich unter info@logit-systems.de oder +4921519718900 an!

Für Elektrotechniker: Worauf Sie bei vernetzten Produktionsanlagen aus der Sicht der Informationssicherheit achten sollten:

Patrick Eisenschmidt — Mon, 25 Oct 2021 08:59:07 GMT

Die Entwicklungen im SPS-Bereich zeigen einen Trend ganz deutlich: Die vollständig vernetzte Produktion kommt.

Das bringt viele Vorteile mitsich und wir bei LOGIT Systems. Solutions. begrüßen die oft vorhandene Hersteller-Interoperabilität dank offenen Standards, wie OPC UA sehr. Eine Entwicklung, auf die man leider etwas warten musste.

Nichts desto trotz bedeutet das jetzt:

Neue Herausforderungen für Techniker und Produktionsanlangenführer. Warum?

Die Computerisierung der vorher "nur" digitalen SPS-Komponenten öffnet diese für eine äußert Breite Spanne von IT-Angriffsszenarien. IT-Sicherheit wird damit zu einem immanenten Thema für produzierende Unternehmen. Denn diese Szenarien erstrecken sich von DoS (Denial-of-service), also der Lahmlegung, über Infiltration und Datenextraktion hin zur vollständig automatisierten Industriespionage im schlimmsten Fall.

Und damit ist noch lange nicht Feierabend, wie die Person vom Fach weiß. Viele unterschiedliche Akteure arbeiten Tag und Nacht daran, neue Angriffsvektoren, wie Sicherheitslücken im Fachjargon heißen, aufzuspüren und diese auch aktiv auszunutzen. Leider auch staatliche Stellen, welche hierfür schon lange in der Kritik stehen. Am prominentesten sei hier der Wurm Stuxnet zu nennen, welcher gezielt SCADA Systeme und SPS angriff und, so wird vermutet, aus nationalen (Un-)Sicherheitskreisen stammte.

IT-Sicherheit ist angesichts dieser Tatsache ein sich ständig wandelndes und sich weiterentwickelndes Themenfeld, das man in die Betrachtungsweise auf vollständig vernetzte Produktionssysteme unbedingt einbeziehen muss.

Denn die möglichen Schadenssummen können aufgrund der Natur der angegriffenen Systeme gewaltig werden. Produktionsausfall, Maschinenschäden bis Personenschäden hin zu wirtschaftlichem Totalausfall müssen als Risikovarianten einkalkuliert werden. Sofern man sich hier nicht gezielt durch IT-Fachpersonal beraten und die Umsetzung begleiten lässt, ist eines klar: Der wirtschaftliche Erfolg der eignene Unternehmung baut in diesem Fall nur auf Glück auf nicht zum Betroffenen eines Angriffes zu werden.

Von "schnell mal eben" PC oder WLAN-Router anstecken, muss daher an dieser Stelle dringend abgeraten werden, wenn kein Sicherheitskonzept oder mangelnde Sicherungsmaßnahmen vorhanden sind.

Wie kann man sich absichern?

In jedem Fall raten wir grundsätzlich dazu, neue vernetzte Systeme mit einem IT-Partner abzusprechen und zu planen. Die Komplexität der Informationstechnik ist bekanntlich groß und es gibt selbst bei geschulten und gut informierten Technikern immer Szenarien, Praktiken oder Technologien, die für den jeweiligen Verantwortlichen unbekannt sind.

Grundsätzlich können wir Ihnen aber ein paar Tipps an die Hand geben:

So wenig Fremdgeräte, z.B. PCs anschließen, wie möglich (am Besten keine, die nicht eingeplant sind)
Tripple A (Authentication, Authorization, Accounting) im Netzwerk einsetzen
Sicherheitskonzept erstellen und Angriffsszenarien abbilden, sowie deren Gegenmaßnahmen
Intrusion Detection Systeme, wo möglich nutzen
Live-Monitoring mit Warnungsfunktion einsetzen
IT Security Best Practices erst nehmen und umsetzen
Backup-Systeme mit den geringst möglichen Zugriffsrechten ausstatten

Auch Bestandsanlagen sind betroffen

Mit dem Aufkommen der Hersteller-Clouds für SPS-Geräte, wird von selbigen häufig eine Internetverbindung vorausgesetzt, damit die Geräte zusätzlichen Mehrwert für den Anwender bieten können. Schnell ist das Kabel gelegt, die SPS mit dem Internet verbunden und die Produktionsstraße ganz unbewusst potenziellen Risiken ausgesetzt, von denen man nicht einmal wusste, dass sie exisitieren. Ein Szenario, welches weit aus häufiger vorkommt, als man angesichts des Schadensrisikos erahnen könnte.

Natürlich ist es klasse die neuen Features der SPS-Hersteller zu nutzen. Nur mit diesen sollten Sie sich aber nicht zufrieden geben. Um die Vorteile der Digitalisierung und des eigenen Unternehmens voll auszuschöpfen, lohnt es sich, über eine Digitalisierungsstrategie nachzudenken und dabei professionellen Rat hinzuziehen.

Übrigens stiftet der Begriff der Cloud, welchen ich in Form der "Hersteller-Cloud" oben angesprochen habe, immer wieder viel Verwirrung.

Erfahren Sie deshalb in unserem nächsten Post, was die Cloud eigentlich ist und wofür sie überhaupt gut ist.

my-hardware: LOGIT Webseite jetzt mit Hardware-Management Tool ausgestattet

Patrick Eisenschmidt — Mon, 12 Jul 2021 09:05:00 GMT

Ab sofort dürfen wir freudig darauf hinweisen, dass unsere Kunden von uns bezogene und eingerichtete Hardware in unserem neuen Hardware-Management Tool namens "my-hardware" im Benutzerbereich unserer Webseite kostenfrei nutzen können!

my-hardware bietet dabei relevante Informationen zu Geräten, wie Server, Switches, Routern, VoIP Telefonen uvm. in einer übersichtlichen Ansicht.

On Top gibt es die Detailansicht: Hier sehen Kunden den gesammten Wartungsverlauf des Gerätes und werden bei Geräten, die vom Hersteller abgekündigt worden sind mit Hilfe von End-Of-Life Warnungen informiert. Damit die Migration zu sicheren Nachfolgegenerationen auch gelingt.

Um my-hardware nutzen zu können, benötigen Sie lediglich ein LOGIT-Benutzerkonto auf unserer Website www.logit-systems.de.

Sollten Sie über noch keinen Account verfügen, registrieren Sie sich gerne kostenlos unter www.logit-systems.de/register.

Sind Sie bereits LOGIT Kunde? Dann nehmen Sie bitte Kontakt zu unserem Kundendienst auf. Dieser legt für Sie notwendigen Datensätze an!

Wir wünschen viel Spaß mit my-hardware!

LOGIT Systems. Solutions. wünscht frohe Feiertage!

Patrick Eisenschmidt — Fri, 25 Dec 2020 09:54:00 GMT

Liebe Leserinnen und Leser,

liebe Freunde, Interessierte und LOGIT-Kunden!

Wir wünschen Ihnen trotz dieser schwierigen Zeit alles Gute, Erfolg und Gesundheit für das kommende Jahr 2021 und freuen uns, auch weiterhin Ihr zuverlässiger Partner in Sachen IT-Infrastruktur und Software sein zu können!

wird in jedem Fall spannend

Soviel können wir schon jetzt verraten: Es warten neue Technologien und Lösungen, Förderungsmöglichkeiten, sowie spannende Serviceangebote auf Sie!

Relaunch unsers Benutzerbereichs in 2021

Unser Benutzerbereich auf www.logit-systems.de/login wurde komplett neugestaltet und erhält im Laufe des Jahres noch weitere nützliche Features hinzu!

Direkt verfügbar:
IT-Projektmanagement und Detailanzeige über bei uns beauftragte Werksleistungen, damit Sie stets den Überblick und vollste Kontrolle über Projektabläufe behalten können.

Wir sehen uns im nächsten Jahr!

Entire company switched to open source VoIP telephony.

Patrick Eisenschmidt — Wed, 07 Oct 2020 08:48:00 GMT

VoIP stands for "Voice over IP" and is already as well known to many as ISDN telephony. VoIP offers some advantages over ISDN, for example better audio quality. ISDN offers a maximum of 6kHz of audio data sampling rate. The quality of the voice in VoIP is (at least theoretically) only limited by the processor performance and thus far better.

Most internet and telephony providers have recently switched to VoIP internally. However, their customers are often referred to the provider's own hardware, which "translates" the old ISDN technology to VoIP. This is usually a DSL router from the provider with an integrated modem.

For professional use cases this is better than cloud-based telephony which makes one completely dependend on a single telephony provider. However, you do not fully participate in the possibilities offered by VoIP technology.

Are there no alternatives?

There are. With the open source project "Asterisk" and the associated graphical user interface "FreePBX", also open source, you can build an impressive and stable telephone system that meets almost every requirement and can easily be compared with commercially sold telephony products.

For almost every application scenario, the software can be run on your own server, VoIP-capable telephones can be connected to the network, configured and integrated. Even analog fax machines and telephones can be integrated with additional expansion cards (PCIe).

You then only need a stable internet connection and a so-called SIP trunking contract, which is a special telephony contract. You will usually receive this from any of the major Internet and telephone providers at fair prices.

We have already been able to successfully implement several of these VoIP systems for our customers, which, thanks to the open source license, do not generate any additional recurring costs.

We always pay attention to a clean separation of the networks, we also integrate radio networks such as WLAN into the system and comply with IT security standards to the highest degree in order to be able to maintain stable and secure operation. We are always ready to answer any questions our customers may have.

Would you like to benefit from the advantages of VoIP technology, but don't know what to start with? Feel free to contact us at +4921519718900 or by email via info@logit-systems.de. We will be happy to provide you with information free of charge and without any obligations.