Vorgehensweise gemäß IEC 62443-2-4 und -3-3
Schutz der OT vor Cyberangriffen
Ob Hersteller oder Betreiber, Industrie oder kritische Infrastruktur: Das Thema Cybersicherheit ist für alle Industriebereiche wichtig, denn die Automatisierungstechnik wächst immer stärker mit der IT-Welt zusammen. Anlagengrenzen lösen sich auf, die verfügbare Datenmenge steigt, und auch der Austausch von Daten und Informationen erhöht sich kontinuierlich. Aufgrund dieser Vernetzung und der Anbindung an das Internet sind die industriellen Automatisierungssysteme zunehmend Cyberangriffen ausgesetzt.
Mit dem im Juli 2015 verabschiedeten IT-Sicherheitsgesetz sind die Betreiber kritischer Infrastrukturen dazu verpflichtet, die für die Erbringung ihrer wesentlichen Dienste erforderliche IT gemäß dem Stand der Technik abzusichern. Andere industrielle Bereiche handhaben das Thema Security unterschiedlich. Produktionsanlagen und Fernzugriff sind hier oft kaum geschützt. Dies liegt meist nicht am fehlenden Bewusstsein, dass etwas getan werden sollte, sondern es mangelt am benötigten Wissen sowie einem Leitfaden, wie vorzugehen ist. In diesem Zusammenhang treten folgende Fragen auf:
Was ist notwendig?
Wie ist der Sachverhalt anzugehen?
Wo lässt sich Unterstützung anfordern?
Welchen Standards sollten eingehalten sein?
Industrial Security muss ein ganzheitlicher Ansatz sein, und zwar einer, der in den Köpfen des Managements sowie der Mitarbeiter – also der Menschen – beginnt. Neben technischen Maßnahmen wie dem Einsatz von Industrial-Security-Produkten (Technik) sind organisatorische Maßnahmen in Form eines Security-Managements (Prozesse) nicht zu vernachlässigen. Eine sichere IT bildet die Grundlage für die Security im Unternehmen, die Kundendaten, Entwicklung und Fertigung.
Reicht dies jedoch aus? Im Vergleich mit der IT-Security (Information Technology) ist die OT-Security (Operational Technology), auch Industrial Control Systems (ICS) Security genannt, bei identischen Themen mit anderen Herausforderungen konfrontiert. Um die Zugriffssicherheit in der OT komplett zu bedienen, sind die von der IT definierten Maßnahmen durch zusätzliche relevante Aktivitäten zu erweitern. Bei der Normenreihe ISO 27000 handelt es sich um den Standard, auf dessen Basis die Maßnahmen zur IT-Security für ein Unternehmen festgelegt sind. Auf dieses Thema geht dieser Beitrag jedoch nicht näher ein. Die IEC 62443 beschreibt dagegen die Anforderungen für Betreiber, Integratoren und Gerätehersteller zur Umsetzung der Security in der OT. Das Design einer Automatisierungslösung muss daher ergänzend zur eigentlichen Automatisierungsaufgabe auch Security berücksichtigen, wobei die Teile 2-4 und 3-3 der IEC 62443 zu beachten sind.
Enge Zusammenarbeit zwischen Integrator und Betreiber
Die Konzeption einer Automatisierungslösung unter Security-Aspekten geschieht generell in enger Zusammenarbeit zwischen dem Integrator/Dienstleister und dem Betreiber. Zunächst erfassen die Beteiligten alle Anlageninformationen hinsichtlich der Umgebung (freie Fläche, Gebäude etc.), der Struktur (Netzwerk, Auflistung der Komponenten und deren Installationsort etc.) und des Prozesses (Abläufe, Kommunikationsbeziehungen, schützenswerte Daten etc.).
Dies betrifft sowohl neue ebenso wie bestehende Anlagen. Daran schließen sich mehrere Schritte an.
Security-Spezifikation: Auf der Bestandsaufnahme aufbauend erfolgt die Security-Spezifikation für die Anlage. Sie umfasst das Netzwerkkonzept sowie eine Asset-Liste sämtlicher vernetzten Geräte und definiert bereits Härtungsmaßnahmen. Für die Zugriffssicherheit ist es ein Muss, dass die spezifizierten Aktivitäten bei der Übergabe der Anlage an den Betreiber auch verifiziert werden. Deshalb entsteht schon bei der Spezifikation auch eine Testspezifikation, die später die Maßgabe bei der Anlagenabnahme bildet.
Schutzbedarfsanalyse: Im nächsten Schritt läuft eine Schutzbedarfsanalyse ab. Dabei ermitteln und dokumentieren die Verantwortlichen die schutzbedürftigen Assets, Daten und Kommunikationswege. Diese Analyse geschieht auf der Grundlage der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit. Damit einhergehend findet eine Festlegung der Zonen und Conduits in der Anlage statt. Am Ende liegt eine Schutzbedarfsfeststellung für die Automatisierungslösung vor, die für die eingesetzte Informationstechnik ausreichend und angemessen ist.
Bedrohungsanalyse: Auf dieser Basis erfolgt eine Bedrohungsanalyse. Sie gründet sich beispielsweise auf den Top-Ten-Bedrohungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und wird gegebenenfalls durch betreiberspezifische Themen erweitert. Gemeinsam mit dem Betreiber bewertet man die Gefährdungen hinsichtlich der Relevanz für die Automatisierung und hält sie schriftlich fest. Auch ihr liegen die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit zugrunde.
Risikoanalyse: Auf den detektierten Bedrohungen beruhend folgt eine Risikoanalyse, auf die wiederum die Risikobehandlung folgt. Die Bedrohungen lassen sich auf Basis des vorhandenen Risikos (Produkt aus Schaden und Eintrittswahrscheinlichkeit) beurteilen:
- Für Risiken, die für das Unternehmen nicht akzeptabel sind, werden Maßnahmen erarbeitet und die Auswirkung auf die Bewertung geprüft.
- Sofern sich das Risiko auf ein akzeptables Niveau mindern lässt, sollten die Maßnahmen unter Beachtung der Wirtschaftlichkeit zu realisieren sein.
Im Ergebnis erhält der Betreiber eine Handlungsempfehlung für ein ganzheitliches, individuelles und produktneutrales Sicherheitskonzept, das auf die speziellen Anforderungen seines Unternehmens abgestimmt ist.
Risikobehandlung: Im Rahmen der Risikobeurteilung entscheiden die Verantwortlichen, wie mit den verbleibenden Risiken umzugehen ist. Die Optionen der Risikobehandlungs sind:
- Risiken lassen sich vermeiden, weil beispielsweise die Risikoursache ausgeschlossen wird,
- eine Reduzierung des Risikos ist möglich, indem eine Modifizierung der Rahmenbedingungen stattfindet, die zur Risikoeinstufung beigetragen haben,
- Risiken werden durch ihre Teilung mit anderen Parteien transferiert, oder
- der Betreiber akzeptiert die Risiken.
Durch eine regelmäßige Prüfung der Maßnahmenumsetzung sowie der Bedrohungslage erfolgt ein stetiges Risk Monitoring.
Risk Monitoring: Unternimmt das Unternehmen nichts, besteht das Risiko dennoch, und man akzeptiert es. Dann sollten die Verantwortlichen das Management mit dem Ziel einbeziehen, alle identifizierten, analysierten, bewerteten und priorisierten Risiken angemessen zu behandeln. Sich daraus ergebende zusätzliche Security-Maßnahmen fließen in die Security- und Testspezifikation ein. Generell gilt dabei: Sämtliche Prozessschritte müssen nach dem aktuellen Stand der Technik ablaufen. Die Ergebnisse sind zu dokumentieren und der Betreiber zeichnet die Ergebnisse der Analysen ab.
Implementierung/Verifikation: Der Integrator oder Anlagenlieferant führt die festgelegten Maßnahmen der Security-Spezifikation in der Anlage durch. Vor ihrer Übergabe an den Betreiber ist die Realisierung der Security-Maßnahmen anhand der Testspezifikation zu verifizieren und ist damit Bestandteil der Anlagenabnahme (Site Acceptance Test, SAT). In einem definierten Zeitraum – beispielsweise jährlich – ist zu überprüfen, ob neue Bedrohungen oder Risiken vorhanden sind, die eine erneute Bewertung erfordern.
IEC-62443-basierende Zertifizierung
Zur Bearbeitung der beschriebenen Security-Maßnahmen empfiehlt es sich, dass der Betreiber einen geeigneten Dienstleister auswählt, mit dem er die Themen gemeinsam festlegt. Dabei sollte es sich um ein Unternehmen handeln, das gemäß IEC 62443-2-4 als Security-Dienstleister zertifiziert ist. Damit ist im Zweifel sichergestellt, dass das notwendige Wissen und die Prozesse vorliegen, um eine Automatisierungsanlage nach den Normenanforderungen zu designen.
- Schutz der OT vor Cyberangriffen
- Dienstleistungen
Lesen Sie mehr zum Thema
