24. Mai 2022

Shooting Star: OT-Security

Laufende Digitalisierung in der Industrie als Treiber

Die Corona-Pandemie hat uns sehr plakativ vor Augen geführt, wie wichtig das Thema Security ist. In diesem Kontext wurde der Fokus jedoch fast ausschließlich auf IT-Security gelegt. Nun sind wir von einer weltweiten Krise in die nächste geschlittert. Der tragische Konflikt um die Ukraine zeigt uns jeden Tag furchtbare Bilder von Not und Elend.

Weniger offensichtlich sind die Angriffe, die sehr still und im Verborgenen im Internet ablaufen. Doch es sollte uns bewusst sein, dass Cyber-Attacken nach wie vor deutlich zunehmen und die drohende Gefahr aus Ländern mit hohem Aggressionspotenzial tagtäglich steigt. Nur weil viele dieser Vorgänge im Verborgenen stattfinden, heißt das nicht, dass sie nicht stattfinden. Wenn wir davon hören oder gar etwas zu sehen bekommen, ist es meist schon zu spät. Das Malheur ist bereits passiert. Der Angreifer hat die attackierten Systeme unter seine Kontrolle gebracht. Der Schaden ist für Unternehmen oft existenzgefährdend.

Der Energiesektor steht in diesem Zusammenhang besonders im Fokus. Wer hat den größten Schaden, wenn Europa die Lieferungen fossiler Energieträger (Erdöl, Erdgas, Kohle) Schritt für Schritt durch erneuerbare Energien und insbesondere durch elektrische Energie ersetzt? Oder wer profitiert am meisten, wenn durch gezielte Cyber-Angriffe auf Stromproduktion und –verteilung die Versorgung in Europa torpediert wird? Müssen wir also – um uns zu schützen – den Fokus auf IT-Security legen? Oder auf die Sicherheit der „Operational Technology“ (OT)?

Meine Antwort: Sowohl IT-Security als auch OT-Security müssen fokussiert werden. Während der Schutzbedarf bei IT-Systemen schon seit vielen Jahren als alternativlos akzeptiert wird, hat die Sicherheit von OT-Systemen und industriellen Netzwerken erst in den letzten Jahren an Bedeutung gewonnen. Die Gründe reichen von der massiv voranschreitenden Digitalisierung der Industrie und veränderten Risikosituation hin zu einer Zunahme der Vernetzung der Geschäftswelt – das verstärkte Zusammenwachsen von Internet basierten Cloud-Diensten, IT-Systemen und Netzwerken und nun auch OT-Systemen – dem IoT (Internet of Things). Ich nenne dieses Zusammenwachsen auch das „Internet of Everything“.  

Moderne Produktionsmaschinen liefern im Sinne der Prozessautomatisierung und Produktionsoptimierung über TCP/IP Protokoll Daten und Informationen an Steuerungs- oder Analysetools in der IT-Umgebung und umgekehrt. Oft gibt es externe Wartungszugänge in OT-Systemen für den Maschinenhersteller. Diese und weitere Sicherheitsrisiken bleiben oft unberücksichtigt. So werden die möglichen Angriffspunkte immer mehr und diese Umstände machen die wachsende Bedeutung der OT-Security aus. OT-Security hat sich zum Shooting Star der Sicherheits-Experten entwickelt.

Aber was schafft Abhilfe?

Für die IT-Welt gibt es seit langem die international anerkannte Norm ISO 27001 für umfassende Informationssicherheit (IS) und ein Informationssicherheits-Managementsystem (ISMS), die sich weltweit und insbesondere in Europa durchgesetzt hat. Auch für die OT-Welt gibt es mit der Norm „IEC 62443 - Security for industrial automation and control systems“ bereits einen Standard, der mehr und mehr in den Fokus der Betreiber von OT-Systemen rückt. Während die ISO 27001 als zentrale Komponente ein Managementsystem mit IS-Risikomanagement und einem PDCA-basierten (Plan-Do-Check-Act) Verbesserungsprozess fordert, konzentriert sich die IEC 62443 mehr auf die Umsetzung von Controls und Maßnahmen.

Insbesondere in der aktuell laufenden Überarbeitung der IEC 62443 Part 2-1 („Security program requirements for IACS asset owners“) wird vorausgesetzt bzw. empfohlen, dass im Unternehmen bzw. im Anwendungsbereich bereits ein wirksames ISMS existiert, in das man die OT-Security Belange integrieren kann. Es bietet sich an, ein solches ISMS auf Basis der Anforderungen einer ISO 27001 zu implementieren und so die Grundlage für eine weitreichende Integration von IT- und OT-Security zu schaffen. Gleichzeitig kann es eine sinnvolle Roadmap zu einer integrierten IT/OT-Security-Lösung sein, dass ein Unternehmen im ersten Schritt ein ISMS nach ISO 27001 aufsetzt und ggf. zertifizieren lässt. In einem zweiten Projektschritt kann man die verschiedenen Elemente der IEC 62443 implementieren und in das bestehende ISMS integrieren.

Fazit und wie man sich für die Zukunft wappnen kann

Die Anforderungen an sowohl IT- als auch OT-Security steigen ständig und sind in der Praxis nicht dieselben. Ein wirksames ISMS nach ISO 27001 ist eine gute Basis für beide Welten – unabhängig davon, ob das ISMS zertifiziert ist oder nicht. Als Betreiber von OT-Systemen ist man gut beraten, wenn man die Anforderungen der IEC 62443 in seinem Unternehmen umsetzt, effektiv anwendet und im Sinne der Effizienzsteigerung gut mit dem vorhandenen ISMS integriert.

Eine Garantie für keine oder nur glimpfliche Sicherheitsvorfälle gibt es auch bei diesem Vorgehen nicht. Jedenfalls ist ein wirkungsvolles Managementsystem (ISMS) gepaart mit sinnvollen Maßnahmen zur Risikominimierung mit ständigem Willen zur Verbesserung der richtige Ansatz, welcher die Verantwortlichen deutlich ruhiger schlafen lässt. Auch oder besonders in Zeiten, wie diesen.    

Autor

Team

Herr Klaus Veselko

CIS Geschäftsführer, Lead Auditor für ISO 27001

Weitere News & Events

Immer topaktuell informiert

08. Jun 2022

Was Sie beim CIS Compliance Summit 2022 erwartet!

Unsere Speaker – auch heuer wieder geballtes Know-how!

Mehr erfahren
07. Jun 2022

Cyber Defense: entscheidender Erfolgsfaktor (?)

Nur 20 Prozent der österreichischen Groß- und Mittelbetriebe geben an, dass sie über einen Krisenplan für Cyber-Angriffe verfügen.

Mehr erfahren
18. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
02. Mai 2022

Vermehrte Ransomware-Attacken in der Automotive-Branche

CIS bietet TISAX-Level-2-Assessments an

Mehr erfahren
08. Mrz 2022

Risiko-Minimierung für Cloud Services

ISO 27017 minimiert Risiken für Cloud Services

Mehr erfahren
07. Mrz 2022

Der Mehrwert eines Datenschutz­managementsystems

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe zur DSGVO, Datenschutz und dem Nutzen von Zertifizierungen

Mehr erfahren
17. Feb 2022

ISO 27002:2022 – was Sie jetzt wissen müssen!

Startschuss für die neue Norm

Mehr erfahren
08. Feb 2022

Ausblick und Status Quo in puncto „Safer Internet“

Roundtable anlässlich des Safer Internet Day

Mehr erfahren
01. Feb 2022

Österreichs beste Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 18. März 2022 möglich

Mehr erfahren
27. Jan 2022

Österreichische Datenschutzbehörde bestätigt Schrems II – Nutzung von Google Analytics illegal?

Europäischer Datenschutztag

Mehr erfahren
11. Jan 2022

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Experte Klaus Veselko warnt

Mehr erfahren
20. Sep 2022

Event: CIS Compliance Summit 2022

Security | Privacy | Continuity

Mehr erfahren
+43 732 34 23 22