Kostenoptimierungen in Unternehmen führen mehr und mehr zu einer fortlaufenden Automatisierung der bestehenden Prozesse. Dazu werden oftmals autonome Systeme vernetzt um zum Beispiel die Integration, die Überwachung und/oder die Fernwartung zu vereinfachen. Dies gilt sowohl für die Produktion, wie auch für die Gebäudeleittechnik.
In der Regel definieren Lieferanten von Industrieanlagen detailliert, welche Version des Betriebssystems zulässig ist, da ansonsten die Zusicherungen bezüglich Geschwindigkeit, Verfügbarkeit und Garantie verfallen. Weiter birgt jede Anpassung das Risiko, dass danach etwas nicht mehr so läuft wie vorher. Ein Ausfall von Produktionssystemen führt zu direkten Folgekosten. All diese Faktoren führen dazu, dass oftmals die Installation von Betriebssystem-Updates oder Security Patches gerne herausgeschoben oder sogar gänzlich ignoriert werden.
Vielfach auftretende unterschiedliche Zuständigkeiten stellen weiterhin ein grosses Problem in der Sicherheit dar. Während Büro-Computer von der Zentralen IT betrieben werden, untersteht die Produktion oder auch der Gebäudeunterhalt anderen Abteilungen. Aufgrund des unterschiedlichen Anforderungsprofils ist das Verständnis für die IT und deren Sicherheitsbedürfnisse oft ungenügend vorhanden. Das alte Paradigma „Never touch a running system“ ist noch tief verankert.
Dieses Verhalten ist jedoch im heutigen IT-Umfeld nicht mehr zulässig. Um gegen modere Angriffe geschützt zu sein, müssen Betriebssysteme und Applikationen zeitnah aktualisiert werden. Die flächendeckende Verknüpfung von Systemen macht es Angreifern einfacher ungeschützte Systeme von aussen zu erreichen und zu missbrauchen.
Eine sehr ausführliche Beschreibung der Problemstellung mit Lösungsvorschlägen findet man unter: