Bildschirmschreiber
Der Manipulation keine Chance
Ein Bildschirmschreiber kann nicht alle Cyber-Security-Probleme dieser Welt lösen. Er kann allerdings dafür sorgen, dass die durch ihn überwachten Prozesse für den Anwender eine 'sichere Sache' sind.
Personal Computern gelang 1986 endgültig der Durchbruch auf dem Markt: So etwas wie ein Türöffner war der ‚Intel 8036 Chip‘ als erster 32-Bit-Prozessor, der zusammen mit einer angepassten Windows-Version ein neues Computerzeitalter einläutete. 1986 war in der Computer-Geschichte aber noch aus einem anderen Grund eine Zeitenwende: Mit ‚Brain‘ tauchte nämlich der erste PC-Computervirus auf. Er befiel lediglich Diskettenlaufwerke und verlangsamte diese. Eigentlich ein harmloser Scherz – der allerdings den Beginn einer neuen, unheilvollen Ära markierte: Seit diesem Zeitpunkt müssen sich auch Endverbraucher mit dem Thema ‚Computersicherheit‘ auseinandersetzen.
32 Jahre später ist das Thema ‚Cyber Security‘ aktueller denn je und die Zahlen sind erschreckend. Das AV-Test-Institut hat im letzten Jahr insgesamt 920 Millionen Malware-Programme erfasst, die weltweit im Umlauf sind. Jeden Monat kommen zwischen acht und zehn Millionen neue Programme dazu. Auch die Zahl gezielter Cyber-Angriffe steigt exponentiell. So registrierte die Telekom im April 2019 rund 46 Millionen tägliche Angriffe auf ihre 3000 genannten ‚Honeypots‘. Dies sind eine Art ‚digitale Fallen‘ im Internet, die mit scheinbar interessanten oder wertvollen Inhalten potenzielle Cyberkriminelle ködern. Jeder Honeypot wurde also in einem Monat rund 15.000-mal angegriffen, das heißt 500-mal pro Tag.
Ist es vor dem Hintergrund dieser Zahlen überhaupt realistisch, an ein halbwegs funktionierendes ‚Internet der Dinge‘ zu denken? Können sich Unternehmen wirksam schützen – vor allen Dingen, wenn man bedenkt, dass der größte Unsicherheitsfaktor nach wie vor der Mensch ist?

Zusätzlicher Geschäftsführer bei Jumo
Die geschäftsführenden Jumo-Gesellschafter Bernhard Juchheim (69) und Michael Juchheim (51) haben zum 1. Januar 2020 Dimitrios Charisiadis (52) zum dritten Geschäftsführer bestellt.
Sichere Bildschirmschreiber
Die Firma Jumo kümmert sich in Sachen Datenerfassung bereits seit ihren ersten Bildschirmschreibern um das Thema Manipulationssicherheit, da die Messwerte, die diese erfassen, als Daten auf einer Festplatte oder einem anderen Speichermedium gespeichert werden – und Daten bekannterweise manipulierbar sind. Ergo spielt das Thema auch beim aktuellsten Modell, dem ‚Logoscreen 700‘, eine zentrale Rolle – zumal dieser Bildschirmschreiber eine FDA-konforme Datenerfassung ermöglicht.
Die ‚Food and Drug Administration‘ (FDA) als Lebensmittelüberwachungs- und Arzneimittelbehörde der Vereinigten Staaten stellt besonders hohe Ansprüche an verwendete Materialien oder technische Prozesse. Mit dem ‚21 CFR part 11‘ formuliert die FDA Anforderungen an elektronische Aufzeichnungen und Unterschriften. Der ‚21 CFR part 11‘ findet immer dann Anwendung, wenn Informationen elektronisch erzeugt, verändert, gespeichert, übertragen oder auf diese zugegriffen werden sollen. Dabei kann es sich um die verschiedensten Typen an Informationen handeln wie beispielsweise Texte, Bilder, Videos oder Audiodateien. Die Anforderungen sind dann zu erfüllen, wenn die mit den Informationen erzeugten, gespeicherten, übertragenen oder veränderten Dokumente dazu dienen, die Einhaltung regulatorischer Vorschriften nachzuweisen – beispielsweise Freigabe- und Testprotokolle, Verfahrens- und Arbeitsanweisungen oder Aufzeichnungen aus der Produktion, wie sie mit Hilfe von Bildschirmschreibern erfasst werden.
Kurz gesagt, ‚21 CFR part 11‘ ist generell immer dann anzuwenden, wenn elektronische Aufzeichnungen das Papier ersetzen. In diesem Fall gelten spezielle Anforderungen wie die Verschlüsselung von Dokumenten sowie digitale Unterschriftenstandards, um die Echtheit, Integrität und Vertraulichkeit von Aufzeichnungen sicherzustellen.
Digitale Unterschrift und FDA
Wie akribisch die FDA bei diesen Themen vorgeht, zeigt beispielsweise ein Blick auf das Thema ‚Unterschriften‘: Eine digitale Unterschrift muss den Namen des Unterzeichnenden, das Datum und die Zeit der Unterzeichnung sowie die Bedeutung der Unterzeichnung (zum Beispiel Review oder Genehmigung) enthalten. Diese Unterschrift darf nicht verfälscht werden können, muss mit dem Dokument so verbunden sein, dass sie nicht auf andere Dokumente angewendet werden kann, muss einem einzelnen Individuum zugeordnet werden können und aus zwei Komponenten wie Identifizierungscode und Passwort bestehen.
Beispiel eines digitalen Gerätezertifikats. Ein solches digitales Gerätezertifikat dient bei Audits zum Nachweis, dass keine Manipulationen bei der Datenerfassung oder Weiterverarbeitung vorgenommen wurden.
© JumoDer Bildschirmschreiber von Jumo erfüllt diese Erfordernisse: Mit einem speziellen Typenzusatz verfügt das Gerät über eine TÜV-geprüfte Funktion zur Gewährleistung der Datensicherheit und erfüllt darüber hinaus alle FDA-Anforderungen zur papierlosen digitalen Prozessdatenaufzeichnung in der Pharma- und Lebensmittelindustrie.
Auf Basis eines digitalen Gerätezertifikats lässt sich nachweisen, dass die Registrierdaten weder im Gerät noch während der Übertragung noch bei der Auswertung manipuliert wurden. Dadurch hat der Anwender bei kritischen Audits einen sicheren Nachweis, dass keine Manipulation der aufgezeichneten Prozessdaten vorliegt.
Die Software ‚PC-Security-Manager‘ ermöglicht die Verwaltung von maximal 50 Benutzern pro Gerät. Eine elektronische Unterschrift lässt sich für ein Chargenprotokoll, einen Zeitbereich oder für die Abmeldung zuweisen. Die Vergabe authentifizierter Kommentartexte am Gerät flexibilisiert das Protokollieren nachweispflichtiger Prozesse. Auch hier sorgt die Verwendung des digitalen Zertifikates für sichere Manipulationserkennung. Denn da es immer schwieriger wird, Datenmanipulation zu verhindern, muss sichergestellt werden, dass jeder Eingriff sofort auffällt und nachverfolgt werden kann.
Das Fazit des TÜV-Berichts bestätigt dieses Konzept: „Die zweifache Prüfung der Integrität der Daten durch Prüfsumme und kryptographische Signatur bietet einen robusten Schutz gegen Manipulationsversuche. Auch die Prozedur zum Austausch von Gerätezertifikaten ist angemessen gegen Manipulationsversuche geschützt. Im Industrial IT Security Labor des TÜV Süd konnten keine Schwachstellen der durchgeführten Tests identifiziert werden.“
Autor:
Michael Brosig ist Pressesprecher bei Jumo in Fulda.











