24. Mai 2022

Shooting Star: OT-Security

Laufende Digitalisierung in der Industrie als Treiber

Die Corona-Pandemie hat uns sehr plakativ vor Augen geführt, wie wichtig das Thema Security ist. In diesem Kontext wurde der Fokus jedoch fast ausschließlich auf IT-Security gelegt. Nun sind wir von einer weltweiten Krise in die nächste geschlittert. Der tragische Konflikt um die Ukraine zeigt uns jeden Tag furchtbare Bilder von Not und Elend.

Weniger offensichtlich sind die Angriffe, die sehr still und im Verborgenen im Internet ablaufen. Doch es sollte uns bewusst sein, dass Cyber-Attacken nach wie vor deutlich zunehmen und die drohende Gefahr aus Ländern mit hohem Aggressionspotenzial tagtäglich steigt. Nur weil viele dieser Vorgänge im Verborgenen stattfinden, heißt das nicht, dass sie nicht stattfinden. Wenn wir davon hören oder gar etwas zu sehen bekommen, ist es meist schon zu spät. Das Malheur ist bereits passiert. Der Angreifer hat die attackierten Systeme unter seine Kontrolle gebracht. Der Schaden ist für Unternehmen oft existenzgefährdend.

Der Energiesektor steht in diesem Zusammenhang besonders im Fokus. Wer hat den größten Schaden, wenn Europa die Lieferungen fossiler Energieträger (Erdöl, Erdgas, Kohle) Schritt für Schritt durch erneuerbare Energien und insbesondere durch elektrische Energie ersetzt? Oder wer profitiert am meisten, wenn durch gezielte Cyber-Angriffe auf Stromproduktion und –verteilung die Versorgung in Europa torpediert wird? Müssen wir also – um uns zu schützen – den Fokus auf IT-Security legen? Oder auf die Sicherheit der „Operational Technology“ (OT)?

Meine Antwort: Sowohl IT-Security als auch OT-Security müssen fokussiert werden. Während der Schutzbedarf bei IT-Systemen schon seit vielen Jahren als alternativlos akzeptiert wird, hat die Sicherheit von OT-Systemen und industriellen Netzwerken erst in den letzten Jahren an Bedeutung gewonnen. Die Gründe reichen von der massiv voranschreitenden Digitalisierung der Industrie und veränderten Risikosituation hin zu einer Zunahme der Vernetzung der Geschäftswelt – das verstärkte Zusammenwachsen von Internet basierten Cloud-Diensten, IT-Systemen und Netzwerken und nun auch OT-Systemen – dem IoT (Internet of Things). Ich nenne dieses Zusammenwachsen auch das „Internet of Everything“.  

Moderne Produktionsmaschinen liefern im Sinne der Prozessautomatisierung und Produktionsoptimierung über TCP/IP Protokoll Daten und Informationen an Steuerungs- oder Analysetools in der IT-Umgebung und umgekehrt. Oft gibt es externe Wartungszugänge in OT-Systemen für den Maschinenhersteller. Diese und weitere Sicherheitsrisiken bleiben oft unberücksichtigt. So werden die möglichen Angriffspunkte immer mehr und diese Umstände machen die wachsende Bedeutung der OT-Security aus. OT-Security hat sich zum Shooting Star der Sicherheits-Experten entwickelt.

Aber was schafft Abhilfe?

Für die IT-Welt gibt es seit langem die international anerkannte Norm ISO 27001 für umfassende Informationssicherheit (IS) und ein Informationssicherheits-Managementsystem (ISMS), die sich weltweit und insbesondere in Europa durchgesetzt hat. Auch für die OT-Welt gibt es mit der Norm „IEC 62443 - Security for industrial automation and control systems“ bereits einen Standard, der mehr und mehr in den Fokus der Betreiber von OT-Systemen rückt. Während die ISO 27001 als zentrale Komponente ein Managementsystem mit IS-Risikomanagement und einem PDCA-basierten (Plan-Do-Check-Act) Verbesserungsprozess fordert, konzentriert sich die IEC 62443 mehr auf die Umsetzung von Controls und Maßnahmen.

Insbesondere in der aktuell laufenden Überarbeitung der IEC 62443 Part 2-1 („Security program requirements for IACS asset owners“) wird vorausgesetzt bzw. empfohlen, dass im Unternehmen bzw. im Anwendungsbereich bereits ein wirksames ISMS existiert, in das man die OT-Security Belange integrieren kann. Es bietet sich an, ein solches ISMS auf Basis der Anforderungen einer ISO 27001 zu implementieren und so die Grundlage für eine weitreichende Integration von IT- und OT-Security zu schaffen. Gleichzeitig kann es eine sinnvolle Roadmap zu einer integrierten IT/OT-Security-Lösung sein, dass ein Unternehmen im ersten Schritt ein ISMS nach ISO 27001 aufsetzt und ggf. zertifizieren lässt. In einem zweiten Projektschritt kann man die verschiedenen Elemente der IEC 62443 implementieren und in das bestehende ISMS integrieren.

Fazit und wie man sich für die Zukunft wappnen kann

Die Anforderungen an sowohl IT- als auch OT-Security steigen ständig und sind in der Praxis nicht dieselben. Ein wirksames ISMS nach ISO 27001 ist eine gute Basis für beide Welten – unabhängig davon, ob das ISMS zertifiziert ist oder nicht. Als Betreiber von OT-Systemen ist man gut beraten, wenn man die Anforderungen der IEC 62443 in seinem Unternehmen umsetzt, effektiv anwendet und im Sinne der Effizienzsteigerung gut mit dem vorhandenen ISMS integriert.

Eine Garantie für keine oder nur glimpfliche Sicherheitsvorfälle gibt es auch bei diesem Vorgehen nicht. Jedenfalls ist ein wirkungsvolles Managementsystem (ISMS) gepaart mit sinnvollen Maßnahmen zur Risikominimierung mit ständigem Willen zur Verbesserung der richtige Ansatz, welcher die Verantwortlichen deutlich ruhiger schlafen lässt. Auch oder besonders in Zeiten, wie diesen.    

Autor

Team

Herr Klaus Veselko

CIS Geschäftsführer, Lead Auditor für ISO 27001

Weitere News & Events

Immer topaktuell informiert

05. Dez 2022

NIS 2.0 – was kommt auf uns zu?

Neue Regelung für Cybersicherheit: CIS-Experte klärt auf

Mehr erfahren
30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

30. Nov 2022

Gesucht: Prüfer*in Netz- und Informations­sicherheit (NIS) (m/w/d)

30. Nov 2022

Neue ISO/IEC 27001:2022 – Das müssen Unternehmen jetzt wissen

15. Nov 2022

Informationssicherheit in einer Kultur der offenen Türen

Science Security Series: Gastkommentar der FH St. Pölten

Mehr erfahren
07. Nov 2022

Revision ISO 27001 & ISO 27002:2022 – was kommt, was geht, was bleibt?

Überblick zu Maßnahmen und gute Nachrichten für die Umstellung

Mehr erfahren
26. Sep 2022

41-jähriger Sicherheits-Experte ist heimischer „CISO of the Year“

Österreichs beste Chief Information Security Officer geehrt

Mehr erfahren
21. Sep 2022

Experten präsentieren Strategien gegen Cyber-Attacken auf Betriebs­technologie

Das war der CIS Compliance Summit 2022

Mehr erfahren
12. Sep 2022

Wer ist der beste CISO im ganzen Land?

Nicht mehr lange und der Titel „CISO of the Year 2022“ wird erstmals beim diesjährigen CIS Compliance Summit an die oder den besten Chief Information Security…

Mehr erfahren
19. Aug 2022

ISO/IEC 27001:2022 – was ist neu?

Was bedeutet die Revision der ISO 27001 für Unternehmen?

Mehr erfahren
08. Aug 2022

6 kritische Faktoren der ISMS Umsetzung

Kritische Faktoren der ISMS Umsetzung

Mehr erfahren
28. Jul 2022

Global Threat Report 2022: was Sie jetzt wissen müssen!

Zusammenfassung aktueller Cyber Trends und Angriffe

Mehr erfahren
+43 732 34 23 22