Anlagen, Maschinen, Produkte und Menschen sind im Zeitalter von Industrie 4.0 immer stärker miteinander und untereinander vernetzt. Das eröffnet neue Möglichkeiten, bringt aber auch Herausforderungen mit sich. Welche das im Bereich der Cyber-Sicherheit von industriellen Automatisierungssystemen konkret sind, ist TÜV NORD im Rahmen der BSI-Studie „Status Quo: Safety & Security in störfallrelevanten Betriebsbereichen“ nachgegangen. Ziel war es, auf Grundlage der gesammelten Erkenntnisse Handlungsbedarfe zu ermitteln und entsprechende Maßnahmen zu entwickeln, um Störfälle weitestgehend zu verhindern bzw. bestmöglich zu begrenzen.
Durchgeführt wurde die Studie im Auftrag des BSI von einem interdisziplinären TÜV-Dreigespann, bestehend aus TÜV Informationstechnik GmbH, TÜV NORD Systems GmbH & Co. KG und TÜV NORD InfraChem GmbH & Co. KG. Die drei Unternehmen der TÜV NORD GROUP betrachteten in diesem Zusammenhang zunächst die aktuellen Probleme und Sicherheitsrisiken für die Anlagensicherheit und arbeiteten neue digitale Bedrohungen durch Technologietrends heraus. Im Fokus standen hierbei vor allem interne sowie externe Zugriffe auf den Betrieb bzw. auf die dort gehandhabten Daten. Zudem führten sie Interviews mit Betreibern, Integratoren, Herstellern, Behörden und Sachverständigen, um die verschiedenen Perspektiven in die Betrachtung mit einzubeziehen. Auf Basis dieser Analyse identifizierte das Projekt-Team, unter der Federführung von TÜViT, Handlungsbedarfe und entwickelte Maßnahmen im Sinne von Best-Practice-Beispielen.
Herausgekommen ist eine aktuelle Bestandsaufnahme der OT-Security in Organisationen, die Betreibern, Behörden und Sachverständigen zugleich Praxisbeispiele zur Implementierung und Umsetzung entsprechender Sicherheitsmaßnahmen an die Hand gibt. Darunter unter anderem ein Blueprint zur Risikoanalyse, Ideen zur Zusammenarbeit zwischen IT und OT sowie eine Übersicht und Bezüge zwischen den anzuwendenden Regelwerken.
Da Eingriffe von Unbefugten mittlerweile sowohl auf physischem als auch auf digitalem Wege erfolgen können, nimmt die BSI-Studie die Sicherheit industrieller Steuerungsanlagen ganzheitlich in den Blick. Das heißt, Aspekte der physischen Anlagensicherheit (Safety) verschmelzen mit Anforderungen der IT-Sicherheit (Security). Diese interdisziplinäre Vermischung spiegelt sich auch in der Zusammensetzung des Projekt-Teams wider, in dem TÜViT als IT-Spezialist mit TÜV NORD Systems und TÜV NORD InfraChem auf zwei Experten für technische Sicherheit von Anlagen traf. Die sich daraus ergebenden Sicherheitsempfehlungen für Betreiber von industriellen Steuerungsanlagen sowie Behörden sind in der neuen Studie zu Safety & Security in Störfall-relevanten Betriebsbereichen zusammengefasst und können auf der Website des BSI kostenfrei heruntergeladen werden.
Kurzinterview zur Studie mit Tim Golly, IT Security Consultant bei TÜViT
Herr Golly, im Rahmen der BSI-Studie „Status Quo: Safety & Security in störfallrelevanten Betriebsbereichen“ haben Sie sich angesehen, wie das Thema OT-Security aktuell in Organisationen umgesetzt wird. In Bezug auf welche Sicherheitsmaßnahmen sind Betreiber von industriellen Automatisierungssystemen bereits gut aufgestellt?
Erst einmal ist es wichtig, dass Betreiber von industriellen Automatisierungssystemen langsam aber sicher für das Thema OT-Security sensibilisiert sind. Hinzukommt, dass die Betreiber über einen guten Perimeterschutz und Schutz der Einzelanlagen und Einzelkomponenten verfügen.
Was sind im Gegensatz dazu Bereiche, in denen noch Optimierungspotenziale bestehen? Gibt es Aspekte, die häufig nicht berücksichtigt werden, die aber bereits mit geringem Aufwand die allgemeine IT- und OT-Security verbessern könnten?
Es sollten neben technischen Maßnahmen ebenso organisatorische Maßnahmen Einzug halten. Die Unternehmen sollten eine Informationssicherheitsstruktur für den Bereich OT etablieren. Aktuell werden Betriebsingenieure ohne Vorkenntnisse für OT-Security-Aufgaben herangezogen. Diese Aufgabe erfordert jedoch gezielte Schulungen und Erfahrung.
Die Studie nimmt auch verschiedene Normen wie die ISO 27001 oder die IEC 62443 in den Blick. Welchen konkreten Nutzen bringt eine Orientierung an diesen den Betreibern, Integratoren oder Herstellern industrieller Automatisierungssysteme?
Es gilt OT-Security als Prozess zu verstehen und diesen entsprechend zu leben. Wie schon erwähnt gibt es bereits dedizierte technische Maßnahmen, um OT-Komponenten zu schützen. Die Betreiber sollten beginnen ein ISMS für die zugrundeliegenden industriellen Prozesse zu etablieren.