24. Mai 2022

Shooting Star: OT-Security

Laufende Digitalisierung in der Industrie als Treiber

Die Corona-Pandemie hat uns sehr plakativ vor Augen geführt, wie wichtig das Thema Security ist. In diesem Kontext wurde der Fokus jedoch fast ausschließlich auf IT-Security gelegt. Nun sind wir von einer weltweiten Krise in die nächste geschlittert. Der tragische Konflikt um die Ukraine zeigt uns jeden Tag furchtbare Bilder von Not und Elend.

Weniger offensichtlich sind die Angriffe, die sehr still und im Verborgenen im Internet ablaufen. Doch es sollte uns bewusst sein, dass Cyber-Attacken nach wie vor deutlich zunehmen und die drohende Gefahr aus Ländern mit hohem Aggressionspotenzial tagtäglich steigt. Nur weil viele dieser Vorgänge im Verborgenen stattfinden, heißt das nicht, dass sie nicht stattfinden. Wenn wir davon hören oder gar etwas zu sehen bekommen, ist es meist schon zu spät. Das Malheur ist bereits passiert. Der Angreifer hat die attackierten Systeme unter seine Kontrolle gebracht. Der Schaden ist für Unternehmen oft existenzgefährdend.

Der Energiesektor steht in diesem Zusammenhang besonders im Fokus. Wer hat den größten Schaden, wenn Europa die Lieferungen fossiler Energieträger (Erdöl, Erdgas, Kohle) Schritt für Schritt durch erneuerbare Energien und insbesondere durch elektrische Energie ersetzt? Oder wer profitiert am meisten, wenn durch gezielte Cyber-Angriffe auf Stromproduktion und –verteilung die Versorgung in Europa torpediert wird? Müssen wir also – um uns zu schützen – den Fokus auf IT-Security legen? Oder auf die Sicherheit der „Operational Technology“ (OT)?

Meine Antwort: Sowohl IT-Security als auch OT-Security müssen fokussiert werden. Während der Schutzbedarf bei IT-Systemen schon seit vielen Jahren als alternativlos akzeptiert wird, hat die Sicherheit von OT-Systemen und industriellen Netzwerken erst in den letzten Jahren an Bedeutung gewonnen. Die Gründe reichen von der massiv voranschreitenden Digitalisierung der Industrie und veränderten Risikosituation hin zu einer Zunahme der Vernetzung der Geschäftswelt – das verstärkte Zusammenwachsen von Internet basierten Cloud-Diensten, IT-Systemen und Netzwerken und nun auch OT-Systemen – dem IoT (Internet of Things). Ich nenne dieses Zusammenwachsen auch das „Internet of Everything“.  

Moderne Produktionsmaschinen liefern im Sinne der Prozessautomatisierung und Produktionsoptimierung über TCP/IP Protokoll Daten und Informationen an Steuerungs- oder Analysetools in der IT-Umgebung und umgekehrt. Oft gibt es externe Wartungszugänge in OT-Systemen für den Maschinenhersteller. Diese und weitere Sicherheitsrisiken bleiben oft unberücksichtigt. So werden die möglichen Angriffspunkte immer mehr und diese Umstände machen die wachsende Bedeutung der OT-Security aus. OT-Security hat sich zum Shooting Star der Sicherheits-Experten entwickelt.

Aber was schafft Abhilfe?

Für die IT-Welt gibt es seit langem die international anerkannte Norm ISO 27001 für umfassende Informationssicherheit (IS) und ein Informationssicherheits-Managementsystem (ISMS), die sich weltweit und insbesondere in Europa durchgesetzt hat. Auch für die OT-Welt gibt es mit der Norm „IEC 62443 - Security for industrial automation and control systems“ bereits einen Standard, der mehr und mehr in den Fokus der Betreiber von OT-Systemen rückt. Während die ISO 27001 als zentrale Komponente ein Managementsystem mit IS-Risikomanagement und einem PDCA-basierten (Plan-Do-Check-Act) Verbesserungsprozess fordert, konzentriert sich die IEC 62443 mehr auf die Umsetzung von Controls und Maßnahmen.

Insbesondere in der aktuell laufenden Überarbeitung der IEC 62443 Part 2-1 („Security program requirements for IACS asset owners“) wird vorausgesetzt bzw. empfohlen, dass im Unternehmen bzw. im Anwendungsbereich bereits ein wirksames ISMS existiert, in das man die OT-Security Belange integrieren kann. Es bietet sich an, ein solches ISMS auf Basis der Anforderungen einer ISO 27001 zu implementieren und so die Grundlage für eine weitreichende Integration von IT- und OT-Security zu schaffen. Gleichzeitig kann es eine sinnvolle Roadmap zu einer integrierten IT/OT-Security-Lösung sein, dass ein Unternehmen im ersten Schritt ein ISMS nach ISO 27001 aufsetzt und ggf. zertifizieren lässt. In einem zweiten Projektschritt kann man die verschiedenen Elemente der IEC 62443 implementieren und in das bestehende ISMS integrieren.

Fazit und wie man sich für die Zukunft wappnen kann

Die Anforderungen an sowohl IT- als auch OT-Security steigen ständig und sind in der Praxis nicht dieselben. Ein wirksames ISMS nach ISO 27001 ist eine gute Basis für beide Welten – unabhängig davon, ob das ISMS zertifiziert ist oder nicht. Als Betreiber von OT-Systemen ist man gut beraten, wenn man die Anforderungen der IEC 62443 in seinem Unternehmen umsetzt, effektiv anwendet und im Sinne der Effizienzsteigerung gut mit dem vorhandenen ISMS integriert.

Eine Garantie für keine oder nur glimpfliche Sicherheitsvorfälle gibt es auch bei diesem Vorgehen nicht. Jedenfalls ist ein wirkungsvolles Managementsystem (ISMS) gepaart mit sinnvollen Maßnahmen zur Risikominimierung mit ständigem Willen zur Verbesserung der richtige Ansatz, welcher die Verantwortlichen deutlich ruhiger schlafen lässt. Auch oder besonders in Zeiten, wie diesen.    

Autor

Ihre Abfrage ergab leider kein Ergebnis. Bitte überprüfen Sie Ihre Filtereinstellungen bzw. Ihre Eingabe.

Weitere News & Events

Immer topaktuell informiert

22. Mai 2024

Geschützt: Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager* ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
13. Mai 2024

TISAX® deep dive: die drei Assessment-Levels

Sicherheit in der Automobilindustrie

Mehr erfahren
30. Apr 2024

TISAX®: Informations­sicherheit in der Automobilbranche

Auf der Überholspur

Mehr erfahren
29. Apr 2024

Erfolgreiche erste Prüfung nach dem Netz- und Informations­systemsicherheits­gesetz (NIS-Gesetz)

Success Story am Beispiel der KAGes.m.b.H.

Mehr erfahren
04. Apr 2024

Exklusives Führungskräfte­training für NIS-2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
26. Mrz 2024

Verlängerte Einreichfrist: jetzt bis 30. April 2024 anmelden!

Österreichs “CISO of the Year 2024” gesucht

Mehr erfahren
+43 1 532 98 90