24. Mai 2022

Laufende Digitalisierung in der Industrie als Treiber

Die Corona-Pandemie hat uns sehr plakativ vor Augen geführt, wie wichtig das Thema Security ist. In diesem Kontext wurde der Fokus jedoch fast ausschließlich auf IT-Security gelegt. Nun sind wir von einer weltweiten Krise in die nächste geschlittert. Der tragische Konflikt um die Ukraine zeigt uns jeden Tag furchtbare Bilder von Not und Elend.

Weniger offensichtlich sind die Angriffe, die sehr still und im Verborgenen im Internet ablaufen. Doch es sollte uns bewusst sein, dass Cyber-Attacken nach wie vor deutlich zunehmen und die drohende Gefahr aus Ländern mit hohem Aggressionspotenzial tagtäglich steigt. Nur weil viele dieser Vorgänge im Verborgenen stattfinden, heißt das nicht, dass sie nicht stattfinden. Wenn wir davon hören oder gar etwas zu sehen bekommen, ist es meist schon zu spät. Das Malheur ist bereits passiert. Der Angreifer hat die attackierten Systeme unter seine Kontrolle gebracht. Der Schaden ist für Unternehmen oft existenzgefährdend.

Der Energiesektor steht in diesem Zusammenhang besonders im Fokus. Wer hat den größten Schaden, wenn Europa die Lieferungen fossiler Energieträger (Erdöl, Erdgas, Kohle) Schritt für Schritt durch erneuerbare Energien und insbesondere durch elektrische Energie ersetzt? Oder wer profitiert am meisten, wenn durch gezielte Cyber-Angriffe auf Stromproduktion und –verteilung die Versorgung in Europa torpediert wird? Müssen wir also – um uns zu schützen – den Fokus auf IT-Security legen? Oder auf die Sicherheit der „Operational Technology“ (OT)?

Meine Antwort: Sowohl IT-Security als auch OT-Security müssen fokussiert werden. Während der Schutzbedarf bei IT-Systemen schon seit vielen Jahren als alternativlos akzeptiert wird, hat die Sicherheit von OT-Systemen und industriellen Netzwerken erst in den letzten Jahren an Bedeutung gewonnen. Die Gründe reichen von der massiv voranschreitenden Digitalisierung der Industrie und veränderten Risikosituation hin zu einer Zunahme der Vernetzung der Geschäftswelt – das verstärkte Zusammenwachsen von Internet basierten Cloud-Diensten, IT-Systemen und Netzwerken und nun auch OT-Systemen – dem IoT (Internet of Things). Ich nenne dieses Zusammenwachsen auch das „Internet of Everything“.  

Moderne Produktionsmaschinen liefern im Sinne der Prozessautomatisierung und Produktionsoptimierung über TCP/IP Protokoll Daten und Informationen an Steuerungs- oder Analysetools in der IT-Umgebung und umgekehrt. Oft gibt es externe Wartungszugänge in OT-Systemen für den Maschinenhersteller. Diese und weitere Sicherheitsrisiken bleiben oft unberücksichtigt. So werden die möglichen Angriffspunkte immer mehr und diese Umstände machen die wachsende Bedeutung der OT-Security aus. OT-Security hat sich zum Shooting Star der Sicherheits-Experten entwickelt.

Aber was schafft Abhilfe?

Für die IT-Welt gibt es seit langem die international anerkannte Norm ISO 27001 für umfassende Informationssicherheit (IS) und ein Informationssicherheits-Managementsystem (ISMS), die sich weltweit und insbesondere in Europa durchgesetzt hat. Auch für die OT-Welt gibt es mit der Norm „IEC 62443 - Security for industrial automation and control systems“ bereits einen Standard, der mehr und mehr in den Fokus der Betreiber von OT-Systemen rückt. Während die ISO 27001 als zentrale Komponente ein Managementsystem mit IS-Risikomanagement und einem PDCA-basierten (Plan-Do-Check-Act) Verbesserungsprozess fordert, konzentriert sich die IEC 62443 mehr auf die Umsetzung von Controls und Maßnahmen.

Insbesondere in der aktuell laufenden Überarbeitung der IEC 62443 Part 2-1 („Security program requirements for IACS asset owners“) wird vorausgesetzt bzw. empfohlen, dass im Unternehmen bzw. im Anwendungsbereich bereits ein wirksames ISMS existiert, in das man die OT-Security Belange integrieren kann. Es bietet sich an, ein solches ISMS auf Basis der Anforderungen einer ISO 27001 zu implementieren und so die Grundlage für eine weitreichende Integration von IT- und OT-Security zu schaffen. Gleichzeitig kann es eine sinnvolle Roadmap zu einer integrierten IT/OT-Security-Lösung sein, dass ein Unternehmen im ersten Schritt ein ISMS nach ISO 27001 aufsetzt und ggf. zertifizieren lässt. In einem zweiten Projektschritt kann man die verschiedenen Elemente der IEC 62443 implementieren und in das bestehende ISMS integrieren.

Fazit und wie man sich für die Zukunft wappnen kann

Die Anforderungen an sowohl IT- als auch OT-Security steigen ständig und sind in der Praxis nicht dieselben. Ein wirksames ISMS nach ISO 27001 ist eine gute Basis für beide Welten – unabhängig davon, ob das ISMS zertifiziert ist oder nicht. Als Betreiber von OT-Systemen ist man gut beraten, wenn man die Anforderungen der IEC 62443 in seinem Unternehmen umsetzt, effektiv anwendet und im Sinne der Effizienzsteigerung gut mit dem vorhandenen ISMS integriert.

Eine Garantie für keine oder nur glimpfliche Sicherheitsvorfälle gibt es auch bei diesem Vorgehen nicht. Jedenfalls ist ein wirkungsvolles Managementsystem (ISMS) gepaart mit sinnvollen Maßnahmen zur Risikominimierung mit ständigem Willen zur Verbesserung der richtige Ansatz, welcher die Verantwortlichen deutlich ruhiger schlafen lässt. Auch oder besonders in Zeiten, wie diesen.    

Autor

Ihre Abfrage ergab leider kein Ergebnis. Bitte überprüfen Sie Ihre Filtereinstellungen bzw. Ihre Eingabe.

Weitere News & Events

Immer topaktuell informiert

27. Mai 2025

Österreichs Entwicklung im internationalen ISO 27001-Ranking

Informationssicherheit im Vergleich

Mehr erfahren
21. Mai 2025

Cybersecurity und Leadership Bootcamp 2025

Cybersecurity und aktuelle Herausforderungen verstehen

Mehr erfahren
15. Mai 2025

Warum Unternehmen jetzt das ISO 27001-Zertifikat anstreben

Sicher in die Zukunft

Mehr erfahren
08. Apr. 2025

NIS-2 und die Zukunft der Cybersecurity: Was Sie jetzt wissen müssen.

Keine Angst vor NIS-2

Mehr erfahren
26. März 2025

ISO 27001: Schwerpunktthemen 2025

Ausblick ISO 9001 zertifizierter Unternehmen

Mehr erfahren
25. März 2025

Gefälschte IT-Audits: Wenn Cyberkriminelle Prüfer*innen spielen

Schutz vor neuesten Angriffsmethoden

Mehr erfahren
24. März 2025

Mit Ihrem Projekt zum CISO of the Year 2025

Jetzt mitmachen und Informationssicherheit fördern!

Mehr erfahren
17. März 2025

Business Continuity Management: Die unterschätzte Lebensversicherung für Unternehmen

Wenn alles stillsteht

Mehr erfahren
10. März 2025

Österreichisches Umweltzeichen UZ 80: Der Weg zu klimafreundlicheren Rechenzentren

Umweltschonender Betrieb durch neue Richtlinie

Mehr erfahren
20. Feb. 2025

Was ISO 20000 IT Service Management für Unternehmen leisten kann

Durch Zertifizierung langfristig punkten

Mehr erfahren
11. Feb. 2025

Safer Internet Day 2025 – Aktuelle Entwicklungen

10. Feb. 2025

Unsicherheit adé mit der kombinierten NIS-2-Gap-Analyse

2 Lösungen auf einen Schlag

Mehr erfahren
+43 1 532 98 90