IT-Sicherheit beinhaltet alle Mechanismen zur Gewährleistung der Sicherheit von IT-Systemen (normale Computer, Automationsstationen, Webserver oder andere Einrichtungen eines GA-Systems) gegenüber nichtautorisiertem Zugriff, Unterbrechung des Betriebs, Änderung des Systems, Zerstörung oder Abrufen vertraulicher Daten sowie der Nutzung von nicht auf legalem oder autorisiertem Weg erhaltener Informationen.

IT-Sicherheit kann gemäss verschiedener Anforderungen aus Industrie und nationalen Standards, die normalerweise verschiedene Sicherheitsstufen abhängig von der Anwendung eines Systems und zulässiger Risiken definieren, umgesetzt werden.

Bislang handelte es sich bei den meisten Verstössen gegen die IT-Sicherheit um gezielte Angriffe auf herkömmliche Computersysteme wie Internet, Intranet oder Heimnetzwerke. Erfolgreiche Angriffe können zu Denial-of-Service, Diebstahl kritischer privater oder geschäftlicher Informationen, Bankkonten und Kreditkarten führen.

Im Gegensatz dazu gab es weniger Angriffe auf industrielle Automationsstationen in z.B. der Gebäudeautomation, da diese hauptsächlich auf proprietären Betriebssystemen laufen, die Hardware nur beschränkte Funktionalität hat und selten mit anderen Netzwerken verbunden ist. Moderne Industrie-Automationsstationen verwenden jedoch vermehrt allgemeine Computerstandards, da diese billiger und leistungsstärker sind. Zudem werden sie immer häufiger mit Kundennetzwerken und Internet verbunden. Während dieser Trend zwar weitere Services zulässt, macht er die Automationsstationen gleichsam verwundbarer für Angriffe.

Die Folgen eines erfolgreichen Angriffs können technischer oder nichttechnischer Natur sein.

Technische Folgen

Innerhalb der GA-Domäne ist Diebstahl von geistigem Eigentum beim Kunden eigentlich kein Thema. Die Produktionsumgebung in einem Pharmaunternehmen hingegen kann geistiges Eigentum darstellen. Die allgemeine Bedrohung durch unautorisierten Zugriff liegt in einem längeren Ausfall oder einer Fehlfunktion des GA-Systems. Das System kann sogar unbedienbar werden und eine Wiederherstellung ist zeitaufwändig. Technisch kann ein HLK-System in einen unsicheren Zustand kommandiert werden, was im schlimmsten Fall zu beträchtlichen Anlagenschäden oder sogar Verletzungen mit Todesfolge führen kann.

Ein Sicherheitsleck in Nicht-GA-Domänen kann zu einer schweren Unterbrechungen des Firmenbetriebs und/oder Diebstahl geistigen Eigentums oder Verkaufsdaten führen.

Nichttechnische Folgen

Marken- und Rufschädigung gehören zu den nichttechnischen Folgen einer Beeinträchtigung der IT-Sicherheit, wobei das Ausmass direkt vom Gewicht des Sicherheitsvorfalls abhängt.

Eine Beeinträchtigung des Firmenbetriebs von Kunden kann zu zivilrechtlichen Schadenersatzklagen in theoretisch unbegrenzter Höhe führen.

Bei Sicherheitsvorfällen mit Verletzungen oder sogar Todesfolge und Sachschäden wird eine strafrechtliche Untersuchung eingeleitet. Ein Mangel an Vorkehrungen, von denen ausgegangen werden kann, oder modernen Sicherheitsmassnahmen kann zivil- oder strafrechtliche Folgen mit sich ziehen.

Adäquate Sicherheitsstufen sind daher zwingend in moderne Lösungen der Gebäudetechnik zu integrieren.