Die Kombination der schnellen Weiterentwicklung sowie Professionalisierung von Cyber-Kriminalität und den technischen Möglichkeiten im IoT birgt dabei neue Gefahren: Ging es Angreifern in der Vergangenheit meist um das Stehlen von Geld und Daten, so bergen Angriffe auf IT-Strukturen im IoT bzw. auf OT-Systeme zusätzlich Gefahren für Leib und Leben.
„Uns passiert schon nichts…“ Oder doch?
Viele Unternehmen und Betreiber von Industrieanlagen befinden sich in Unkenntnis über die tatsächliche Bedrohungslage und Angriffsmöglichkeiten. Sie wiegen sich entweder in einer vermeintlichen Sicherheit oder zumindest in einer unkomfortablen Grauzone aus Unwissenheit, Unsicherheit und Restrisiko.
Funktionale Sicherheit vs. IT-Sicherheit
Selbstverständlich kennen Betreiber von Industrieanlagen die gesetzlichen und technischen Vorgaben, um die Betriebssicherheit einer Anlage zu gewährleisten und z. B. das Austreten von gefährlichen Stoffen durch Schutzmaßnahmen zu verhindern. Der physikalische Zugang zu Anlagen und Sicherungseinrichtungen ist selbstredend besonders geschützt und für einen Angreifer schwer zu erlangen.
Aber welche Folgen hätte es, wenn ein Angreifer gar nicht vor Ort sein muss? Was würde passieren, wenn er es schafft, Produktionsdaten aus einer Anlage über vernetzte Systeme zu entwenden, zu verfälschen oder Steuerbefehle an die Anlage sendet, die in Kombination mit anderen Angriffsvektoren für eine Störung oder gar einen Ausfall sorgen?
Das Risiko für einen solchen Angriff ist größer, als viele annehmen. Beispiele von tatsächlich machbaren oder bereits erfolgten Angriffen können dies deutlich machen. Betrachtet man nämlich, wie fahrlässig Systeme und Netzwerke im Bereich von Automobilen, Industriesteuerungen, Web-Anwendungen, Smart-Home und Stromversorgungsnetzen aktuell entwickelt werden, ist das Vertrauen in die Betriebs- und IT-Sicherheit unbegründet.
Security by Design
Viele Schäden könnten verhindert werden, wenn die Integration der IT-Sicherheit und des Datenschutzes bereits während der Entwicklungs- und Konzeptionsphase berücksichtigt würde. Andere Probleme können durch den Einsatz von IT-Sicherheitsexperten in wichtigen Projektphasen erkannt und beseitigt werden. Das senkt nicht nur die Entwicklungskosten für diese Punkte, sondern zeigt bereits in einem frühen Stadium, ob und wo die Geschäftsidee aus Security- oder Datenschutz-Sicht angreifbar ist.
Folgen für Anlagenbetreiber und -hersteller
In jüngerer Vergangenheit hat auch der Gesetzgeber erkannt, dass beim Betrieb von sicherheitskriti-schen Anlagen nicht nur die funktionale Sicherheit (Safety), sondern auch die IT-Sicherheit (Security) zu berücksichtigen ist.
Aus Sicht des Herstellers ist in Bezug auf das Bereitstellen von Maschinen und Anlagen (CE-Kennzeichnung) insbesondere die Richtlinie 2006/42/EG für Maschinen (MRL) zu beachten, die im Rahmen einer Risikobeurteilung die Einhaltung von grundlegenden Sicherheits- und Gesundheitsschutzanforderungen fordert. Nach Anhang I, Abschnitt 1.2.1 der MRL ist beispielsweise sicherzustellen, dass Steuerungen so ausgelegt und beschaffen sein müssen, dass es u. a. bedingt durch Fremdeinflüsse und Softwarefehler nicht zu Gefährdungssituationen kommt. Weiterhin werden nach heutigem Wissensstand in der Überarbeitung der MRL – die als Entwurf bis Mitte 2021 vorliegen soll – Risiken, die im Zusammenhang mit dem Fortschritt der Digitalisierung stehen, aufgenommen (z. B. Cyber-Security). Zukünftig müssen in diesem Zusammenhang Risiken in der Risikobeurteilung nach MRL analysiert und bewertet werden.
Für den Betreiber von Anlagen in Betriebsbereichen, die der Störfall-Verordnung (12. BImSchV) unterliegen, ergeben sich aus den Leitsätzen der Kommis-sion für Anlagensicherheit zum Schutz vor cyberphysischen Angriffen (KAS-44) verschiedenste Anforderungen.
Die weyer gruppe berät Industriekunden bereits seit Jahrzehnten beim Erreichen eines adäquaten Schutzniveaus in Bezug auf die funktionale Sicherheit. Durch Kooperation mit dem Forensik-Spezialisten und öffentlich bestellten Sachverständigen für IT-Systeme Dipl.-Ing. Thomas Käfer, M. Sc. wurde das Beratungsportfolio um das Thema „IT-Sicherheit und Datenschutz“ erweitert.
Im Rahmen von Schulungen, Workshops und individueller Projektberatung bieten wir Ihnen kompetente Beratungsleistung mit Blick auf funktionale und netzwerktechnische Sicherheit.
Am 30. Januar 2020 findet zu diesem Thema die erste offene Schulung in Köln statt. Weitere Informationen dazu finden Sie hier.
Dipl.-Ing. Manfred Schulte
weyer gruppe | horst weyer und partner gmbh
Leiter CE-Kennzeichnung
Tel.: +49 (0) 2421 – 69 09 11 82
E-Mail: m.schulte@weyer-gruppe.com
Dipl.-Ing. Thomas Käfer, M. Sc.
Käfer IT Systeme e.K.
Würselen | Deuschland
service@KaeferLive.de