Deutsch
English
polski
Cyber Security - Wie Sie Ihre Anlage vor Hackern schützen
Die IT und die Vernetzung von unterschiedlichsten Systemen untereinander – das Internet of Things – ist eines der zentralen Themen unserer Zeit. Dies gilt nicht nur aus Entwicklersicht, sondern auch im Hinblick auf die IT-Sicherheit bzw. die Cyber Security von Produktionsanlagen. Darüber hinaus wird deutlich, dass neben den vielen positiven Effekten der neuen Errungenschaften in der Digitalisierung auch die negativen Entwicklungen immer spürbarer werden: Hackerangriffe auf vernetzte Systeme treten immer wieder auf. Daher hat der Gesetzgeber nun die Cyber Security auch in einigen betreiber- und herstellerrelevanten Gesetzen aufgenommen.
Überblick über die rechtlichen Grundlagen der Analyse
Als rechtliche Grundlage bei der Analyse der Cyber Security einer Produktionsanlage, Maschine oder eines Produktionsstandorts können eine Vielzahl an Richtlinien und Empfehlungen zurate gezogen werden. Nachfolgend stellen wir Ihnen diejenigen Ansätze vor, die wir bei unserer Arbeit häufig nutzen.
Für Betriebsbereiche, die unter die Störfallverordnung fallen, muss gemäß § 3 (Allgemeine Betreiberpflichten) der 12. BImSchV auch eine Betrachtung in Bezug auf die IT-Sicherheit erfolgen. Der Fokus hierbei liegt auf PLT- und MSR-Einrichtungen. Zuständig für die Umsetzung sind die Umweltverwaltungen der einzelnen Bundesländer.
Das IT-Sicherheitsgesetz, dessen Zuständigkeit beim Bundesinnenministerium liegt, fokussiert vor allem den Schutz der Versorgungssicherheit und der sogenannten kritischen Infrastrukturen. Das Gesetz bezieht sich nur auf „Anlagen“, sie mindestens 500.000 Personen versorgen. Die BSI-KritisV ist ein ganzheitlicher Ansatz für Unternehmen und bezieht somit alle Unternehmensbereiche mit ein.
Die Kommission für Anlagensicherheit (KAS) ist ein unabhängiges Gremium zur Beratung der deutschen Bundesregierung bzw. des zuständigen Bundesministeriums in Fragen der Sicherheit von Anlagen im Sinne des Bundes-Immissionsschutzgesetzes (BImSchG). Der Leitfaden KAS-51 „Maßnahmen gegen Eingriffe Unbefugter“, legt unter anderem Basismaßnahmen fest. Darunter fallen beispielsweise die Festlegung von Verantwortlichkeiten sowie das Zugangsmanagement und die Zutrittsüberwachung. Die Sicherheitsanalyse, die der Leitfaden KAS-51 fordert, besteht aus der Bedrohungsanalyse, der Gefahrenanalyse und der IT-Risikobeurteilung. Letztere kann u. a. nach IEC 62443, DIN ISO/IEC 27001 oder NA 163 durchgeführt werden.
Der Anhang 2 des Leitfadens KAS-51 befasst sich mit dem Schutz vor cyberphysischen Angriffen und behandelt Themen wie die IT-Security als Führungsaufgabe und die Reaktion auf neue Schwachstellen und Bedrohungen. Alle Themen, die im Anhang 2 aufgeführt werden, werden durch Kontrollfragen implementiert. Die Überprüfung durch die Behörde fokussiert sich letztendlich auf die Sicherheitsanalyse und die Qualität der Umsetzung. Bei Feststellung des ausreichenden Schutzes ist dabei keine separate Sicherheitsüberprüfung nach § 10a Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) erforderlich. Der Sicherheitsbericht dient dem Anlagenbetreiber als Rechtssicherheitsnachweis.
Als Folge der Konkretisierung der Normen IEC 61508 und IEC 61511 wurde die VDI/VDE 2180, die Richtlinie für die funktionale Sicherheit in der Prozessindustrie, im April 2019 erneuert. Einen neuen Schwerpunkt bildet die Cyber Security: „Im Management der funktionalen Sicherheit müssen IT-Sicherheitsaspekte in der Planung, der Beschaffung, der Validierung, im Betrieb, bei Änderungen und bei der Außerbetriebnahme berücksichtigt werden.“ Weiter heißt es in der Neufassung: „Durch den Einsatz IT-basierter Technologien und die zunehmende Vernetzung von Systemen können Automatisierungssysteme inklusive der zugehörigen Programmier- und Konfigurationsgeräte zum Ziel von Cyber-Bedrohungen werden. […] Um das Gefährdungspotenzial einzuschätzen und geeignete Gegenmaßnahmen festzulegen, muss eine IT-Risikobeurteilung durchgeführt werden.“ (Blatt 1, S. 38 ff.)
Die IT-Sicherheitsbeurteilung für PLT-Sicherheitseinrichtungen kann dabei unabhängig oder gemeinsam mit der allgemeinen IT-Risikobeurteilung durchgeführt werden. Bestandteile, die davon betroffen sind, sind Hardware, Software, Daten, Verbindungen, Prozesse und Personen. Die VDI/VDE 2180 gibt auf den folgenden Seiten außerdem an, dass die NA 163 Methoden zur Durchführung einer IT-Risikoanalyse sowie einen Maßnahmenkatalog enthält, die gemeinsam mit der VDI/VDE 2180 zu einem geeigneten IT-Absicherungskonzept führen kann.
Da die oben genannten Ansätze für eine IT-Risikoanalyse oft sehr zeit- und personalintensiv sind, soll das NAMUR Arbeitsblatt 163 dabei helfen, Gesetzte und Regelwerke auch dann sicher einzuhalten, wenn die Sicherheitsanalyse durch nicht IT-Fachleute (z. B. PLT-Ingenieur) durchgeführt wird. Die Zeiterfordernis soll durch das Arbeitsblatt auf maximal einen Tag pro Anlage beschränkt sein.
Im NA 163 wird empfohlen, die IT-Risikobeurteilung nach IEC 62443 zu verfassen. Die Basisparameter sind allgemeingültig: SIL 1 bis 3, eine niedrige Anforderungsrate und ein zonierter Aufbau des Netzwerks. Die IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen nach NA 163 erfolgt letztendlich in fünf Schritten:
- Identifikation des betrachteten Systems
- High-Level-IT-Risikobeurteilung
- Einteilung des betrachteten Systems in Zonen und Verbindungen
- Detaillierte IT-Risikobeurteilung
- Dokumentation
Wie Sie Ihr Cyber Security Konzept mit uns verwirklichen
Durch die langjährige Erfahrung der weyer gruppe in der Verfahrenstechnik und funktionalen Sicherheit sowie die vielseitigen Branchenkenntnisse von Cihangir Günbay, Fachbereichsverantwortlicher für Cyber Security bei der weyer gruppe und anerkannter Sachverständiger für Informationssicherheit gemäß ISO 17024, bieten wir Ihnen ein interdisziplinäres Team zur Unterstützung im Bereich Cyber Security von Produktionsanlagen für Betriebsbereiche störfallrelevanter Anlagen.
- Aufnahme und Aufteilung der Betriebsbereiche / Anlagen in überschaubare Einheiten (Sektionierung) zur Analyse der notwendigen Maßnahmen
- IT-Risikobeurteilung (z. B. nach NA 163 / IEC 62443 / DIN ISO 27001)
- Ableitung und Priorisierung von Maßnahmen
- Unterstützung bei der Umsetzung von Maßnahmen
- Einarbeitung in das Gesamt-Sicherheitskonzept der Anlage: Verbindung zur klassischen Prozesssicherheit bzw. zur funktionalen Sicherheit mit den Anforderungen und Maßnahmen, die sich aus der IT-Beurteilung ergeben
- Beratung von Equipment-Herstellern hinsichtlich Cyber Security
- Penetrationstest, kurz Pentest(ing): Wir bieten eine umfassende Sicherheitsprüfung aller Systembestandteile und Anwendungen eines Netzwerks (Rechner, Maschinen, Produktionsanlagen etc.) an. Für die Durchführung arbeiten wir mit langjährigen und zuverlässigen Partnern zusammen, die die Methoden eines potenziellen Angreifers nutzen, um Schwachstellen aufzudecken.
- Digitale Forensik bzw. IT-Forensik: Laut BSI ist die IT-Forensik „die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur [gerichtlichen] Aufklärung von Vorfällen, unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung, insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems“. Für die Durchführung von IT-forensischen Untersuchungen greifen wir ebenfalls auf unsere langjährigen und zuverlässigen Partner zurück, die umfassende Erfahrung in diesem Bereich besitzen.
In diesem Bereich bringen wir unsere umfangreiche Erfahrung im IT-/OT-Security-Bereich ein, um Ihnen maßgeschneiderte Lösungen zu bieten.
weyer spezial: Cyber Security
Mit den vielen Vorteilen, die die Digitalisierung mit sich bringt, werden jedoch auch die negativen Aspekte immer sichtbarer: Hackerangriffe auf vernetzte Systeme nehmen zu und stellen eine zunehmende Bedrohung dar. Infolgedessen hat der Gesetzgeber reagiert und Cyber Security zunehmend in Gesetze…
Ihre Ansprechpartner
Cihangir Günbay
horst weyer und partner
Dr. Florian Merkel
horst weyer und partnerHaben Sie Fragen zum Thema Cyber-Sicherheit oder benötigen Sie Unterstützung bei der Umsetzung Ihres Cyber-Sicherheitskonzepts?
Wir unterstützen Sie gerne bei der Realisierung Ihres Konzepts
Nutzen Sie unser kostenloses Erstgespräch
Jetzt Termin vereinbaren:
Gehackt! Gerhard Klein berichtet von seinen Erfahrungen als sein Unternehmen gehackt wurde.
Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Die Druckerei von Gerhard Klein wurde vor einigen Jahren gehackt. Auf unserem Kolloquium zum Thema „Cyber Security für Produktionsanlagen“ berichtet er von seinen Erfahrungen. Dabei geht der Unternehm…
Versicherungen für IT-Sicherheit und Cyber Security | Onnen Siems, Thomas Budzyn & Tommy Berg
Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Onnen Siems, Thomas Budzyn & Tommy Berg der Meyerthole Siems Kohlruss Gesellschaft für aktuarielle Beratung (https://aktuare.de/index.php/de/) beschäftigen sich mit Risikoermittlung und Rückversicher…
Integrierte Cyber-Sicherheitskonzepte | Markus Ahorner zu Gast auf dem Kolloquium der weyer gruppe
Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Markus Ahorner und sein Team bei Ahorner & Innovators (https://ahornerinnovators.com/) unterstützen Unternehmen bei der Erstellung und Umsetzung von integrierten Cyber-Sicherheitskonzepten. In seinem …
IT-Sicherheit / Cyber Security für Ihre Maschinen und Anlagen | Live-Hacking mit Herrn Dipl.-Wirt.-Inf. Martin Wundram
Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Wir stecken mitten in der 4. industriellen Revolution, auch Industrie 4.0 genannt. Ziel ist es Vorgänge die in der Produktion bisher von Menschen durchgeführt wurden weitestgehend von Maschinen übernehmen zu lassen. Doch auch…
Häufig gestellte Fragen (FAQ)
Cybersicherheit in der Industrie bezieht sich auf den Schutz von industriellen Steuerungssystemen (ICS) und der zugehörigen Netzwerkinfrastruktur vor Cyberangriffen. ICS-Systeme steuern physische Prozesse in verschiedenen Bereichen wie der Energieerzeugung, der Produktion und dem Transport. Durch die zunehmende Vernetzung dieser Systeme steigt das Risiko für Angriffe, die physische Schäden verursachen oder den Betrieb unterbrechen können. Solche Angriffe können nicht nur finanzielle Verluste verursachen, sondern auch die Sicherheit von Mitarbeitern und die Umwelt gefährden.
Industrieanlagen sind in den letzten Jahren zunehmend vernetzt worden, was neue Angriffsvektoren geschaffen hat. Viele dieser Systeme wurden jedoch ursprünglich ohne Berücksichtigung der heutigen Cybersicherheitsbedrohungen entwickelt. Das bedeutet, dass veraltete Steuerungssysteme, die einst isoliert betrieben wurden, nun anfällig für Cyberangriffe sind. Diese Bedrohung wurde besonders deutlich durch Angriffe wie Stuxnet oder Triton, bei denen gezielt industrielle Prozesse manipuliert wurden. Diese Angriffe zeigten das Potenzial auf, industrielle Abläufe nicht nur zu stören, sondern auch physische Schäden zu verursachen.
Veraltete Systeme (Legacy-Systeme)
Ein Großteil der heute genutzten industriellen Steuerungssysteme basiert auf veralteter Technologie, die nicht für den Schutz gegen moderne Cyberbedrohungen entwickelt wurde. Diese Systeme sind oft schwer zu aktualisieren oder zu ersetzen, da sie kritische Funktionen erfüllen. Sicherheitsupdates können außerdem problematisch sein, da sie Betriebsunterbrechungen verursachen können.
Komplexität der Systeme
Industrieanlagen bestehen häufig aus einer Vielzahl von heterogenen Systemen, die von verschiedenen Herstellern stammen. Diese Systeme müssen nicht nur miteinander interagieren, sondern auch gegen Cyberangriffe geschützt werden. Die Integration von Sicherheitslösungen in diese komplexe Systemlandschaft stellt eine große Herausforderung dar, da jede Komponente individuell abgesichert werden muss.
Zunehmende Vernetzung
Mit dem Aufkommen des Industrial Internet of Things (IIoT) und der fortschreitenden Digitalisierung sind industrielle Systeme zunehmend miteinander vernetzt. Diese Vernetzung bringt zwar viele Vorteile, erhöht aber gleichzeitig das Risiko von Cyberangriffen. Angreifer können potenziell über eine Schwachstelle in einem Teil des Netzwerks Zugang zu anderen kritischen Systemen erhalten.
Spezifische Bedrohungen für OT-Systeme
Während IT-Systeme traditionell gut gegen Cyberangriffe abgesichert sind, ist dies bei OT-Systemen oft nicht der Fall. OT-Systeme steuern physische Prozesse und wurden oft ohne Berücksichtigung von Cybersicherheitsanforderungen entwickelt. Ein erfolgreicher Angriff auf ein OT-System kann daher weitreichende physische Konsequenzen haben, wie etwa die Manipulation von Produktionsprozessen oder die Beschädigung von Ausrüstung
Angriffe auf industrielle Steuerungssysteme können nicht nur finanzielle Verluste verursachen, sondern auch die öffentliche Sicherheit gefährden. Industrieanlagen sind nicht nur für die Produktion von Waren und Dienstleistungen von zentraler Bedeutung, sie spielen auch eine kritische Rolle in der Infrastruktur vieler Länder. Insbesondere Betreiber kritischer Infrastrukturen (KRITIS) wie Energieversorger, Wasserwerke oder Transportunternehmen sind von solchen Bedrohungen betroffen. Ein erfolgreicher Angriff auf diese Systeme könnte weitreichende Konsequenzen für die Gesellschaft haben, indem er die Versorgung mit wichtigen Dienstleistungen und Medien wie Trinkwasser, Strom, Gas oder Fernwärme unterbricht.
Risikoanalysen und Gefährdungsbeurteilungen
Der erste Schritt zur Verbesserung der Cybersicherheit besteht darin, eine umfassende Bewertung der vorhandenen Risiken durchzuführen. Nach einer gründlichen Bestandsaufnahme der System-Architektur werden Schwachstellen von IT- und OT-Systemen identifiziert und die potenziellen Auswirkungen von Cyberangriffen analysiert. Durch eine gründliche Risikoanalyse können Unternehmen gezielte Sicherheitsmaßnahmen ergreifen, um diese Risiken zu minimieren.
Sicherheitsstrategien für IT und OT
Eine wirksame Cybersicherheitsstrategie muss sowohl IT- als auch OT-Systeme berücksichtigen. Während IT-Systeme traditionell durch Firewalls, Antivirenprogramme und regelmäßige Updates geschützt werden, erfordert der Schutz von OT-Systemen spezifische Maßnahmen. Dazu gehört die Segmentierung von Netzwerken, um den Zugang zu kritischen Systemen zu beschränken, sowie die Implementierung von Sicherheitslösungen, die speziell für OT-Umgebungen entwickelt wurden.
Schulung und Sensibilisierung der Mitarbeiter
Ein wesentlicher Aspekt der Cybersicherheit ist die Sensibilisierung der Mitarbeiter. Cyberangriffe wie Phishing oder Social Engineering zielen oft auf menschliche Schwachstellen ab. Durch regelmäßige Schulungen können Mitarbeiter für die Risiken sensibilisiert und im sicheren Umgang mit digitalen Systemen geschult werden.
Implementierung von Sicherheitsstandards: International und national
Die Implementierung von Sicherheitsstandards ist von zentraler Bedeutung, um den Schutz industrieller Systeme zu gewährleisten. In der deutschen Industrie und Wirtschaft ist eine Kombination internationaler und deutscher Sicherheitsstandards erforderlich, um den höchsten Schutz zu bieten und gleichzeitig regulatorischen Anforderungen gerecht zu werden.
Internationale Standards:
- IEC 62443: Der internationale Standard für Cybersicherheit in industriellen Automatisierungs- und Steuerungssystemen. Dieser Standard bietet eine strukturierte Methodik zum Schutz von OT-Umgebungen.
- ISO/IEC 27001: Ein globaler Standard für Informationssicherheits-Managementsysteme (ISMS), der sowohl in IT- als auch OT-Systemen zur Anwendung kommt.
Nationale Standards:
- BSI-KritisV: Diese Verordnung legt fest, welche Unternehmen als Betreiber kritischer Infrastrukturen (KRITIS) gelten und unter besondere Sicherheitsanforderungen fallen. Unternehmen müssen geeignete Maßnahmen umsetzen, um ihre IT- und OT-Systeme zu schützen.
- IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0): Dieses Gesetz verpflichtet Betreiber kritischer Infrastrukturen dazu, regelmäßige Sicherheitsmaßnahmen umzusetzen und Cybervorfälle an das BSI zu melden.
- VDI/VDE 2180: Diese Norm befasst sich mit der funktionalen Sicherheit in der Prozessindustrie und richtet sich besonders an Unternehmen, die in stark regulierten Branchen wie der Chemie- oder Pharmaindustrie tätig sind.
- TRBS 1115-1: Technische Regeln für Betriebssicherheit zu Anforderungen an die Cybersicherheit von sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen
- TRGS 725: Technische Regel für Gefahrstoff zum Einsatz von Mess-, Steuer- und Regeleinrichtungen für den Explosionsschutz.
Durch die Kombination dieser internationalen und nationalen Standards können Unternehmen sicherstellen, dass ihre Systeme nicht nur gegen globale Bedrohungen geschützt sind, sondern auch den gesetzlichen und regulatorischen Anforderungen in Deutschland entsprechen.
Penetrationstests und Angriffssimulationen
Um Schwachstellen in IT- und OT-Systemen zu identifizieren, können Unternehmen regelmäßige Penetrationstests durchführen. Diese Tests simulieren gezielte Cyberangriffe auf die Netzwerke und Systeme eines Unternehmens, um potenzielle Sicherheitslücken aufzudecken. So können Unternehmen ihre Sicherheitsvorkehrungen optimieren und sicherstellen, dass sie gegen reale Angriffe gewappnet sind.
Notfallpläne und Incident-Response-Strategien
Im Falle eines Cyberangriffs ist es entscheidend, schnell und effektiv zu handeln. Unternehmen sollten daher über einen klaren Notfallplan verfügen, der beschreibt, wie auf Sicherheitsvorfälle reagiert werden soll. Dazu gehört auch die Einrichtung eines Cyber-Incident-Response-Teams (CIRT), das auf Cybervorfälle spezialisiert ist und schnell geeignete Gegenmaßnahmen ergreifen kann.