Schutzschild

(Bild: maxsim – stock.adobe.com)

  • Geht es beim Design von Security-Konzepten um die Festlegung der erforderlichen Maßnahmen, empfehlen viele Standards und Normen einen risikobasierten Ansatz.
  • Bei Begriffen zum Risikomanagement wie Risikotoleranz, Eintrittswahrscheinlichkeit, Schadenspotenzial oder Bedrohungsanalyse klinken sich allerdings die meisten Menschen aus.
  • Dabei erweist sich die Thematik als relativ einfach, wie die vorliegenden neun Schritte zeigen.

Jeder Einzelne von uns bewertet täglich Risiken und leitet daraus Maßnahmen ab. Der Regenschirm wird mitgenommen, wenn eine vermehrte Wolkenbildung zu beobachten ist. Sämtliche Insassen legen nach dem Einsteigen ins Auto den Gurt an. Beim Verlassen des Hauses schließt man die Tür ab.
Solche Maßnahmen unterbleiben nur, wenn die Akteure mehr oder weniger bewusst entschieden haben, mit den möglichen Konsequenzen für sich und andere Personen leben zu können. Entschlüsse laufen also nach dem folgenden Muster ab: Was kann passieren? Ist dies akzeptabel? Falls nicht: Welche Maßnahmen – Regenschirm, Gurt, Schloss – sollten umgesetzt werden?

Nicht über mögliche Bedrohungen nachzudenken, ändert nichts an den Risiken. Es führt lediglich dazu, dass Konsequenzen in Kauf genommen werden müssen, mit denen der Akteur und sein Umfeld unter Umständen nicht einverstanden sind.

Bei den zahlreichen Cyberangriffen, die in den letzten Jahren auf deutsche Unternehmen stattgefunden haben, drängt sich die Frage auf: Sind die Angreifer so gut oder wurden Gegenmaßnahmen gar nicht erwogen? Die kurze Antwort: beides. Doch der Reihe nach: Wenn es im Bereich industrieller Kommunikationsnetzwerke um das Thema Security geht, ist eine Norm – oder besser Normenreihe – in der näheren Vergangenheit international in den Fokus gerückt: die IEC 62443. Zwar gibt es in der allgemeinen IT schon seit längerer Zeit etablierte Rahmenwerke – beispielsweise die ISO-27000er-Serie –, die Maßnahmen der klassischen Büro-IT lassen sich jedoch aufgrund unterschiedlicher Rahmenbedingungen nicht immer direkt auf die industriellen Netzwerke übertragen.

Ein Beispiel: Software-Updates können in der Regel problemlos und zeitnah auf die Bürorechner aufgespielt werden. Nur um ein Update zu installieren, möchten es allerdings die wenigsten Betreiber auf einen Anlagenstillstand ankommen lassen, sofern für die teils über 20 Jahre alte Hardware überhaupt noch Updates erhältlich sind.

Zusammenwirken der einzelnen Rollen mit den relevanten Normenteilen.
Zusammenwirken der einzelnen Rollen mit den relevanten Normenteilen. (Bild: Phoenix Contact)

Betreiber muss die notwendigen Sicherheitsaktivitäten etablieren

Die Normenreihe IEC 62443 gliedert sich in verschiedene Kategorien und setzt in den jeweiligen Teilen die Schwerpunkte für die Rollen, die im Lebenszyklus einer Automatisierungsanlage wesentlich sind. Da wäre zunächst der Betreiber einer Anlage oder eines Systems, der die notwendigen Sicherheitsaktivitäten etablieren muss. Die entsprechenden Anforderungen und Empfehlungen findet er zumeist im Normenteil 62443-2-1. Dazu gehören verfahrenstechnische, personelle und technologische Fähigkeiten, die so zu realisieren und aufrechtzuerhalten sind, dass sich die individuellen IT-Risiken auf ein für ihn akzeptables Maß reduzieren lassen. Die oberste Devise lautet folglich: Risikominimierung.

Das Thema Risikomanagement kann der Betreiber somit nicht vermeiden, weil sich die konkreten Maßnahmen aus einer individuellen Analyse des Scopes ableiten. Genau beschriebene Handlungsanweisungen und Schritt-für-Schritt-Anleitungen enthält die Norm (verständlicherweise) nicht. Die zu berücksichtigenden Themengebiete werden jedoch aufgeführt.

Weiterhin spielt der Komponentenhersteller eine wichtige Rolle. Als primär für ihn relevant erweisen sich die Normenteile 62443-4-1 sowie 62443-4-2. Während Teil -4-1 Anforderungen an Themen wie die sichere Entwicklung (inklusive Tests, Dokumentation, Bereitstellung von Patches sowie des Umgangs mit Sicherheitslücken und Schwachstellen) auflistet, führt Teil -4-2 technische Security-Features an, gegen die eine Komponente geprüft werden kann. Die Bewertung resultiert in einer Klassifizierung gemäß den sogenannten Security-Levels (SL), denen auch im weiteren Kontext der IEC 62443 eine große Bedeutung zukommt.

Dienstleister hat eine Referenzarchitektur umzusetzen

Abschließend fügt ein Dienstleister/Integrator die Komponenten der oftmals unterschiedlichen Hersteller zu einem System zusammen. Im ersten Schritt zeigt sich für ihn der Normenteil 62443-2-4 als relevant. Dort werden die Anforderungen an das Sicherheitsprogramm der Dienstleister definiert. In Teil -2-4 lassen sich vielfach Schnittpunkte zu den Anforderungselementen des Teils 62443-2-1 feststellen. Hier sind ebenfalls nicht nur technologische Aspekte maßgeblich. Anforderungen werden auch an das Personal sowie die erforderlichen Prozesse – zum Beispiel das Patchmanagement – gestellt. Erfüllt ein Dienstleister diese Ansprüche und möchte er als zertifizierter Anbieter auftreten, muss er eine beispielhafte Architektur als Referenz umsetzen. An dieser Stelle sind sowohl die Themengebiete der IEC 62443-2-1 ebenso wie funktionale Security-Features gemäß IEC 62443-3-3 abzudecken.

Weitere Normenteile erweisen sich für mehrere Rollen als wichtig. Sie geben eine Empfehlung zur Realisierung spezieller Themen, etwa die technische Richtlinie (TR) 62443-2-3 zum Patchmanagement.

Automation
IIoT-Sensoren können dazu beitragen Anlagen-Ausfallzeiten zu verringern.
Automation Die Dreifaltigkeit der Cybersicherheit

Cybersecurity-Risiken durch präventive Wartung minimieren

Durch die sich stetig erweiternde digitale Vernetzung von Anlagen steigt das Risiko für Cyberangriffe. Warum es daher ratsam sein kann, vorbeugend den Anlagenbetrieb zu unterbrechen, und welche anderen Vorkehrungen das Risiko so gering wie möglich halten. Mehr lesen.

Security-Konzept leitet sich aus der Risikoanalyse ab

Wie kann nun ein möglicher Weg zu einem risikobasierten Security-Konzept aussehen? Eine erste, stets sinnvolle Maßnahme besteht in der Bestandsaufnahme (1), ganz nach dem Motto: Man kann lediglich schützen, was man kennt. Dieser Schritt klingt einfach, stellt sich allerdings für viele Anlagenbetreiber in der Praxis als große Herausforderung dar. Zwar sind die meisten Dokumentationen zum Inventar vorhanden, jedoch nicht unbedingt aktuell. Speziell in größeren Anlagen gestaltet sich die manuelle Erfassung aufwendig. Technische Helfer könnten unterstützen.

Anschließend sollten Basismaßnahmen (2) spezifiziert werden, die unabhängig vom jeweiligen Scope interessant sind. Dazu gehören Themen der IEC 62443-2-1 und -2-4, beispielsweise der Schutz vor Schadsoftware. Die nachfolgenden Aktivitäten zielen darauf ab, die individuellen Anforderungen des Systems zu konkretisieren.
Im Rahmen einer Schutzbedarfsanalyse (3) lassen sich auf Basis einer Datenklassifizierung kritische Bereiche detektieren. Rezeptdaten unterliegen zum Beispiel einem hohen Schutzbedarf hinsichtlich ihrer Vertraulichkeit.

Eine Bedrohungsanalyse (4) hilft bei der Erkennung relevanter Gefahren für das System, wobei die Gefahren abschließend in einer Risikoanalyse (5) bewertet werden. In diesem Zusammenhang spielen unterschiedliche Faktoren eine Rolle, der individuelle Kontext ist also wesentlich: Welche Maßnahmen existieren bereits? Ist der Zutritt geregelt? Welche Netzverbindungen gibt es?

Im Ergebnis erhält der Betreiber ein spezifisches Risiko, das er akzeptiert oder eben nicht. Danach leiten sich weitere Aktionen insbesondere im Hinblick auf die identifizierten Risiken ab, die in Ergänzung zu den Basismaßnahmen in Schritt 2 ein vollständiges Security-Konzept (6) darstellen. Dieses gilt es zu implementieren (7), zu testen (8) und – ganz wichtig – regelmäßig zu prüfen (9).

Die Kontrolle eines Prozesses zeigt sich immer als sinnvoll, doch gerade im Security-Kontext sind Faktoren wie eine hochdynamische Bedrohungslage sowie unter Umständen nicht mehr vollständig wirksame Schutzmaßnahmen zu berücksichtigen. Daher empfiehlt sich eine zyklische und pragmatische Herangehensweise bei den Analysen statt einer zu detaillierten Betrachtung mit komplexen Tools, auf die gegebenenfalls geschult werden muss. Mit seinem Know-how – Templates und Prozesse – kann ein gemäß IEC 63443-2-4 zertifizierter Dienstleister in sämtlichen Phasen der Konzeptionierung unterstützen.

Unterschiede zwischen Industrial Control Systems (ICS) und der Office-IT.
Unterschiede zwischen Industrial Control Systems (ICS) und der Office-IT. (Bild: Phoenix Contact)

Basismaßnahmen verringern den Schaden bereits

Zurück zur Frage, warum Cyberangriffe in den letzten Jahren so rasant zugenommen haben: Nicht alle Kriminellen sind plötzlich gute Hacker geworden. Neben den Möglichkeiten der Kryptowährungen hat sich jedoch ein umfangreiches und frei verfügbares „Hacker-Serviceangebot“ entwickelt, das von jedem genutzt werden kann, der genügend kriminelle Energie hat. Die Erpressung mit Verschlüsselungstrojanern erweist sich inzwischen genauso lukrativ wie das Drogengeschäft. Hinzu kommen politisch motivierte Attacken. Auf Seiten der Anlagenbetreiber verdeutlichen zahlreiche Untersuchungen, dass sich erfolgreiche Angriffe mit Basismaßnahmen – beispielsweise Netzwerksegmentierung, Sensibilisierung der Mitarbeitenden oder strikten Vorgaben an Dienstleister – hätten verhindern oder zumindest verringern lassen. Bei sämtlichen Trends und Entwicklungen gilt also aktuell: Regenschirm aufspannen.

Sicherheit & Umwelt
PC-Arbeitsplatz
Sicherheit & Umwelt Den Risikofaktor Mensch umgehen

Cybersicherheit beim Einsatz von HMI-Systemen

HMI-Systeme sind das wichtigste Fenster zum Prozess. Um die Systeme vor Hackern zu schützen, hat R. Stahl bei der neuen Orca-HMI-Geräteplattform dafür gesorgt, dass viele menschliche Fehlermöglichkeiten von vornherein ausgeschlossen sind. Mehr lesen.

Sie möchten gerne weiterlesen?

Unternehmen

Phoenix Contact Deutschland GmbH

Flachsmarktstraße 8
32825 Blomberg
Germany

Zum Firmenprofil