Digitalization

Laufen die Maschinen noch oder wurde die Anlage schon gehackt? Im digitalen Zeitalter stehen Unternehmen vor der Aufgabe, die Produktion abzusichern.

In der globalisierten Wirtschaft ist Verfügbarkeit ein hohes Gut. Moderne Kommunikationstechnik stellt das notwendige Wissen und Know-how bereit, überall und zum gleichen Zeitpunkt. Vernetzte Anlagen erlauben zudem eine Produktion rund um die Uhr. Stillstand ist nahezu ausgeschlossen – es sei denn, ein Hacker schlägt zu. Dann ist der laufende Betrieb lahmgelegt, damit kein weiterer Schaden entsteht, etwa bei Kunden oder Zulieferern.

Für Industrieunternehmen hat der Schutz ihrer automatisierten Systeme mittlerweile eine hohe Priorität. Bislang stand bei der Produktion nur die Funktionalität im Vordergrund. Doch Workstations mit älteren Windows-Versionen oder eingebundene Systeme ohne Updates und Support bieten eine enorme Angriffsfläche. Jeder erfolgreiche Cyberangriff verdeutlicht die vernachlässigten Sicherheitsmechanismen. Damit steigt der Handlungsdruck – für Betreiber und Hersteller.

 

Ganzheitliche Philosophie

Die internationale Normenreihe IEC 62443 bietet einen praxistauglichen Standard für industrielle Kommunikationsnetze. Sie betrifft Systeme, Komponenten und Prozesse, die für den sicheren Betrieb einer automatisierten Produktionsanlage benötigt werden. Hinzu kommen Softwarekomponenten, Anwendungen und organisatorische Bestandteile. „Diesen ganzheitlichen Ansatz gab es bisher nicht“, erklärt Matthias Groß, IT-Security-Experte von TÜV Hessen. „Erstmals liegen fundierte Lösungen vor, um Sicherheitsmaßnahmen im industriellen Umfeld zu prüfen.“

Während sich die klassische IT mit der Administration von Informationen beschäftigt, liegt der Schwerpunkt der Operational Technology (OT) in der automatisierten Produktion. Mit ihrem Fokus auf industrielle Sicherheit unterscheidet sich die IEC 62443 von vergleichbaren Standards wie der ISO 27001, die sich eher auf den Schutz der Datenkommunikation bezieht. Daher unterscheiden sich auch die Schutzziele. Beim Umgang mit physikalischen Prozessen wie industriellen Kontrollsystemen, Steuerungen oder Sensoren gibt es andere Prioritäten. „Bei der OT-Sicherheit ist die Verfügbarkeit von Maschinen, Geräten und Daten der wichtigste Punkt“, bestätigt Matthias Groß. „Denn mit dem Ausfall einer Maschine entsteht sofort ein hoher Schaden.“

Um passende Lösungen je nach Anforderung zu ermöglichen, setzt sich die Normenreihe aus verschiedenen Bausteinen zusammen. Die einzelnen Teile sind in vier zusammenhängende Kapitel untergliedert, darin befinden sich wiederum Dokumente zu einzelnen Schwerpunktthemen. Der erste Bereich enthält allgemeine Grundlagen, im zweiten Segment werden konkrete Leitfäden zur Umsetzung definiert. Technische Aspekte von Automatisierungssystemen bilden den Schwerpunkt des dritten Abschnitts. Um die dazugehörigen Komponenten geht es im vierten Teil, der sich speziell an Hersteller der Produkte richtet. 

 

Schutz in vielen Schichten

In sämtlichen Abschnitten kommt ein Sicherheitskonzept zum Einsatz, das auf der militärischen Defense-in-Depth-Strategie basiert. Mit einer gestaffelten Verteidigung müssen Hacker mehrere Sicherheitsvorkehrungen überwinden, um die Anlage zu kapern. Diese Planung ist speziell im industriellen Umfeld sinnvoll, denn die automatisierten Systeme und Komponenten sind häufig nicht auf dem neuesten Stand der Sicherheitstechnik.

Die Verantwortung für die jeweilige Schicht ist unterschiedlichen Rollen zugeordnet. Anlagenbetreiber sind für den physischen Schutz und die Zugangskontrolle zuständig. Systemintegratoren kümmern sich um die Sicherheit auf Netzwerkebene, dazu zählt beispielsweise der Zugriffsschutz mit geeigneten Passwörtern oder die Priorisierung einzelner Prozesse. Für die Sicherheit von eingebauten Komponenten zeichnet der Hersteller der Geräte verantwortlich. Denn in der Entwicklung gilt es, Risikoanalysen, Programmierrichtlinien und Codeanalysen zu beachten.

 

Die Reifeprüfung

Eine zusätzliche Verteidigungslinie bilden die Mitarbeiter. Mit klaren Strukturen innerhalb der Organisation und fundierten Schulungen werden sie für Cyberbedrohungen sensibilisiert. Denn ganzheitliche Sicherheit bedeutet mehr als ausschließlich technische Vorkehrungen. Die IEC 62443 berücksichtigt diesen Ansatz und bringt neben der funktionalen Security auch den Aspekt der Maturity ins Spiel. Dabei wird der Reifegrad der organisatorischen Prozesse und die Awareness der Belegschaft bewertet.

Erst die Kombination der verschiedenen Elemente ermöglicht ein ganzheitliches Sicherheitskonzept. Gleichzeitig berücksichtigt die Normenreihe die speziellen Anforderungen im Produktions- und Automatisierungsumfeld. „So werden individuelle Lösungen für Hersteller aus verschiedensten Branchen ermöglicht“, bilanziert Matthias Groß.