Laufende Digitalisierung in der Industrie als Treiber
Die Corona-Pandemie hat uns sehr plakativ vor Augen geführt, wie wichtig das Thema Security ist. In diesem Kontext wurde der Fokus jedoch fast ausschließlich auf IT-Security gelegt. Nun sind wir von einer weltweiten Krise in die nächste geschlittert. Der tragische Konflikt um die Ukraine zeigt uns jeden Tag furchtbare Bilder von Not und Elend.
Weniger offensichtlich sind die Angriffe, die sehr still und im Verborgenen im Internet ablaufen. Doch es sollte uns bewusst sein, dass Cyber-Attacken nach wie vor deutlich zunehmen und die drohende Gefahr aus Ländern mit hohem Aggressionspotenzial tagtäglich steigt. Nur weil viele dieser Vorgänge im Verborgenen stattfinden, heißt das nicht, dass sie nicht stattfinden. Wenn wir davon hören oder gar etwas zu sehen bekommen, ist es meist schon zu spät. Das Malheur ist bereits passiert. Der Angreifer hat die attackierten Systeme unter seine Kontrolle gebracht. Der Schaden ist für Unternehmen oft existenzgefährdend.
Der Energiesektor steht in diesem Zusammenhang besonders im Fokus. Wer hat den größten Schaden, wenn Europa die Lieferungen fossiler Energieträger (Erdöl, Erdgas, Kohle) Schritt für Schritt durch erneuerbare Energien und insbesondere durch elektrische Energie ersetzt? Oder wer profitiert am meisten, wenn durch gezielte Cyber-Angriffe auf Stromproduktion und –verteilung die Versorgung in Europa torpediert wird? Müssen wir also – um uns zu schützen – den Fokus auf IT-Security legen? Oder auf die Sicherheit der „Operational Technology“ (OT)?
Meine Antwort: Sowohl IT-Security als auch OT-Security müssen fokussiert werden. Während der Schutzbedarf bei IT-Systemen schon seit vielen Jahren als alternativlos akzeptiert wird, hat die Sicherheit von OT-Systemen und industriellen Netzwerken erst in den letzten Jahren an Bedeutung gewonnen. Die Gründe reichen von der massiv voranschreitenden Digitalisierung der Industrie und veränderten Risikosituation hin zu einer Zunahme der Vernetzung der Geschäftswelt – das verstärkte Zusammenwachsen von Internet basierten Cloud-Diensten, IT-Systemen und Netzwerken und nun auch OT-Systemen – dem IoT (Internet of Things). Ich nenne dieses Zusammenwachsen auch das „Internet of Everything“.
Moderne Produktionsmaschinen liefern im Sinne der Prozessautomatisierung und Produktionsoptimierung über TCP/IP Protokoll Daten und Informationen an Steuerungs- oder Analysetools in der IT-Umgebung und umgekehrt. Oft gibt es externe Wartungszugänge in OT-Systemen für den Maschinenhersteller. Diese und weitere Sicherheitsrisiken bleiben oft unberücksichtigt. So werden die möglichen Angriffspunkte immer mehr und diese Umstände machen die wachsende Bedeutung der OT-Security aus. OT-Security hat sich zum Shooting Star der Sicherheits-Experten entwickelt.
Aber was schafft Abhilfe?
Für die IT-Welt gibt es seit langem die international anerkannte Norm ISO 27001 für umfassende Informationssicherheit (IS) und ein Informationssicherheits-Managementsystem (ISMS), die sich weltweit und insbesondere in Europa durchgesetzt hat. Auch für die OT-Welt gibt es mit der Norm „IEC 62443 - Security for industrial automation and control systems“ bereits einen Standard, der mehr und mehr in den Fokus der Betreiber von OT-Systemen rückt. Während die ISO 27001 als zentrale Komponente ein Managementsystem mit IS-Risikomanagement und einem PDCA-basierten (Plan-Do-Check-Act) Verbesserungsprozess fordert, konzentriert sich die IEC 62443 mehr auf die Umsetzung von Controls und Maßnahmen.
Insbesondere in der aktuell laufenden Überarbeitung der IEC 62443 Part 2-1 („Security program requirements for IACS asset owners“) wird vorausgesetzt bzw. empfohlen, dass im Unternehmen bzw. im Anwendungsbereich bereits ein wirksames ISMS existiert, in das man die OT-Security Belange integrieren kann. Es bietet sich an, ein solches ISMS auf Basis der Anforderungen einer ISO 27001 zu implementieren und so die Grundlage für eine weitreichende Integration von IT- und OT-Security zu schaffen. Gleichzeitig kann es eine sinnvolle Roadmap zu einer integrierten IT/OT-Security-Lösung sein, dass ein Unternehmen im ersten Schritt ein ISMS nach ISO 27001 aufsetzt und ggf. zertifizieren lässt. In einem zweiten Projektschritt kann man die verschiedenen Elemente der IEC 62443 implementieren und in das bestehende ISMS integrieren.
Fazit und wie man sich für die Zukunft wappnen kann
Die Anforderungen an sowohl IT- als auch OT-Security steigen ständig und sind in der Praxis nicht dieselben. Ein wirksames ISMS nach ISO 27001 ist eine gute Basis für beide Welten – unabhängig davon, ob das ISMS zertifiziert ist oder nicht. Als Betreiber von OT-Systemen ist man gut beraten, wenn man die Anforderungen der IEC 62443 in seinem Unternehmen umsetzt, effektiv anwendet und im Sinne der Effizienzsteigerung gut mit dem vorhandenen ISMS integriert.
Eine Garantie für keine oder nur glimpfliche Sicherheitsvorfälle gibt es auch bei diesem Vorgehen nicht. Jedenfalls ist ein wirkungsvolles Managementsystem (ISMS) gepaart mit sinnvollen Maßnahmen zur Risikominimierung mit ständigem Willen zur Verbesserung der richtige Ansatz, welcher die Verantwortlichen deutlich ruhiger schlafen lässt. Auch oder besonders in Zeiten, wie diesen.