In den Bereichen Prozess- und Gebäudeautomation gibt es noch etliche veraltete Systeme. OS/2 war früher dafür weit verbreitet, wegen des Multitaskings.
Riskantere, noch ältere Systeme gibt es aber auch noch. Häufig laufen solche Systeme heute virtualisiert oder teilvirtualisiert. Dann gilt auch "Security by Obcurity" nicht mehr. Die Hostsysteme sind nämlich extrem gefährdet.
Gründe für die noch nicht erfolgte Migration:
- Etliche Subsysteme (z.B. technische Anlagen) hängen damit zusammen. Ein sofortiger Austausch würde extrem hohe Kosten bedeuten. Außerdem lässt sich das organisatorisch und personell meist nicht schaffen.
- Die Erneuerung geht dann nur in kleineren Schritten. Bis alle Subsysteme erneuert sind, vergehen Jahrzente.
- Die Erneuerung wurde viel zu spät begonnen.
- Auch seitens der Hersteller wurden viel zu spät Ersatzlösungen angeboten. Häufig ist das Bewusstsein dafür auch bei den Herstellern und Dienstleistern noch nicht ausreichend vorhanden. Marge erreicht man am einfachsten über Teileverkauf. Der fällt nach erfolgter Havarie, wenn Komplettsysteme erneuert werden müssen, besser aus.
- Alle Komponenten der IT veraltern immer schneller. Sie erfordern deshalb eine dementsprechend immer schnellere Erneuerung.
Beispiel: Konfigurationsprogramm, das auf DOS oder Win16 läuft und direkt auf die serielle Schnittstelle zugreift. -> Dafür geht nur alte Hardware.
Beispiel: Konfigurationsprogramm, das vom Hersteller nicht mehr unterstützt wird und deshalb auf den Notebooks der Dienstleistungsfirma nicht mehr installiert ist. -> Volles Risiko. - Besonders bei der Sicherheit hat sich in den letzten Jahren und Jahrzehnten etliches getan. Ältere Systeme sind deshlb meist auch extrem gefährdet für Angriffe von außen. Auch das Trennen von SCADA-Netz und dem Rest birgt die Gefahr, dass über Datenaustausch mit anderen Systemen (z.B. Notebooks der Dienstleistungsfirmen) Schädlinge eindringen. Was noch vor 10 Jahren ziemlich gut funktioniert haben mag, ist heute unsicher. Heute ist die einzige Möglichkeit über ein Paket an Maßnahmen die Kompromittierung möglichst unwahrscheinlich zu machen.
- Fahrlässiges Verhalten und ungenügende Qualifikation der Betreiber und Dienstleister führen zu erhöhter Gefährdung.
Das Fehlverhalten fällt meist erst nach einer Havarie auf und führt dann noch nicht einmal zu deutlichen Verhaltensänderungen. Einfacher ist es dann den Mangel zu vertuschen, Schuldige zu benennen oder den Tätigkeitsort zu wechseln.
Die Verantwortlichen müssten weitsichtiger handeln, um diesen Entwicklungen etwas entgegenzusetzen.