Cyber Security von Produktionsanlagen

Betreiber und Investoren

Die IT und die Vernetzung von unterschiedlichsten Systemen untereinander – das Internet of Things – ist eines der zentralen Themen unserer Zeit – nicht nur aus Entwicklersicht, sondern auch im Hinblick auf die IT-Sicherheit bzw. die Cyber Security von Produktionsanlagen. Allerdings werden neben den vielen positiven Effekten der neuen Errungenschaften in der Digitalisierung auch die negativen Entwicklungen deutlicher: Hackerangriffe auf vernetzte Systeme treten immer wieder auf, sodass der Gesetzgeber nun die Cyber Security auch in einigen betreiber- und herstellerrelevanten Gesetzen aufgenommen hat.

Überblick über die rechtlichen Grundlagen der Analyse

Als rechtliche Grundlage bei der Analyse der Cyber Security einer Produktionsanlage, Maschine oder eines Produktionsstandorts können eine Vielzahl an Richtlinien und Empfehlungen zurate gezogen werden. Nachfolgend stellen wir Ihnen diejenigen Ansätze vor, die wir bei unserer Arbeit häufig nutzen.

Für Betriebsbereiche, die unter die Störfallverordnung fallen, muss gemäß § 3 (Allgemeine Betreiberpflichten) der 12. BImSchV auch eine Betrachtung in Bezug auf die IT-Sicherheit erfolgen. Der Fokus hierbei liegt auf PLT- und MSR-Einrichtungen. Zuständig für die Umsetzung sind die Umweltverwaltungen der einzelnen Bundesländer.

Für NRW hat das LANUV die Anforderungen zur Darstellung der IT-Sicherheit im Sicherheitsbericht und in den Genehmigungsunterlagen zur Anlagensicherheit in einem Orientierungspapier konkretisiert. Es ist davon auszugehen, dass Behörden in NRW das Orientierungspapier ab sofort als Vorlage bei der Beurteilung von Sicherheitsberichten und Genehmigungsunterlagen heranziehen werden. Das Orientierungpapier nennt explizit die folgenden Themen, die im Sicherheitsbericht dargestellt werden müssen:

  • Netzwerkarchitektur und Zonenmodelle
  • Assetlisten
  • IT-Risikoanalyse / IT-Risikobeurteilung

Das IT-Sicherheitsgesetz, dessen Zuständigkeit beim Bundesinnenministerium liegt, fokussiert vor allem den Schutz der Versorgungssicherheit und der sogenannten kritischen Infrastrukturen. Das Gesetz bezieht sich nur auf „Anlagen“, sie mindestens 500.000 Personen versorgen. Die BSI-KritisV ist ein ganzheitlicher Ansatz für Unternehmen und bezieht somit alle Unternehmensbereiche mit ein.

Die Kommission für Anlagensicherheit (KAS) ist ein unabhängiges Gremium zur Beratung der deutschen Bundesregierung bzw. des zuständigen Bundesministeriums in Fragen der Sicherheit von Anlagen im Sinne des Bundes-Immissionsschutzgesetzes (BImSchG). Der Leitfaden KAS-51 „Maßnahmen gegen Eingriffe Unbefugter“, legt unter anderem Basismaßnahmen fest. Darunter fallen beispielsweise die Festlegung von Verantwortlichkeiten sowie das Zugangsmanagement und die Zutrittsüberwachung. Die Sicherheitsanalyse, die der Leitfaden KAS-51 fordert, besteht aus der Bedrohungsanalyse, der Gefahrenanalyse und der IT-Risikobeurteilung. Letztere kann u. a. nach IEC 62443, DIN ISO/IEC 27001 oder NA 163 durchgeführt werden.

Der Anhang 2 des Leitfadens KAS-51 befasst sich mit dem Schutz vor cyberphysischen Angriffen und behandelt Themen wie die IT-Security als Führungsaufgabe und die Reaktion auf neue Schwachstellen und Bedrohungen. Alle Themen, die im Anhang 2 aufgeführt werden, werden durch Kontrollfragen implementiert. Die Überprüfung durch die Behörde fokussiert sich letztendlich auf die Sicherheitsanalyse und die Qualität der Umsetzung. Bei Feststellung des ausreichenden Schutzes ist dabei keine separate Sicherheitsüberprüfung nach § 10a Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) erforderlich. Der Sicherheitsbericht dient dem Anlagenbetreiber als Rechtssicherheitsnachweis.

Als Folge der Konkretisierung der Normen IEC 61508 und IEC 61511 wurde die VDI/VDE 2180, die Richtlinie für die funktionale Sicherheit in der Prozessindustrie, im April 2019 erneuert. Einen neuen Schwerpunkt bildet die Cyber Security: „Im Management der funktionalen Sicherheit müssen IT-Sicherheitsaspekte in der Planung, der Beschaffung, der Validierung, im Betrieb, bei Änderungen und bei der Außerbetriebnahme berücksichtigt werden.“ Weiter heißt es in der Neufassung: „Durch den Einsatz IT-basierter Technologien und die zunehmende Vernetzung von Systemen können Automatisierungssysteme inklusive der zugehörigen Programmier- und Konfigurationsgeräte zum Ziel von Cyber-Bedrohungen werden. […] Um das Gefährdungspotenzial einzuschätzen und geeignete Gegenmaßnahmen festzulegen, muss eine IT-Risikobeurteilung durchgeführt werden.“ (Blatt 1, S. 38 ff.)

Die IT-Sicherheitsbeurteilung für PLT-Sicherheitseinrichtungen kann dabei unabhängig oder gemeinsam mit der allgemeinen IT-Risikobeurteilung durchgeführt werden. Bestandteile, die davon betroffen sind, sind Hardware, Software, Daten, Verbindungen, Prozesse und Personen. Die VDI/VDE 2180 gibt auf den folgenden Seiten außerdem an, dass die NA 163 Methoden zur Durchführung einer IT-Risikoanalyse sowie einen Maßnahmenkatalog enthält, die gemeinsam mit der VDI/VDE 2180 zu einem geeigneten IT-Absicherungskonzept führen kann.

Da die oben genannten Ansätze für eine IT-Risikoanalyse oft sehr zeit- und personalintensiv sind, soll das NAMUR Arbeitsblatt 163 dabei helfen, Gesetzte und Regelwerke auch dann sicher einzuhalten, wenn die Sicherheitsanalyse durch nicht IT-Fachleute (z. B. PLT-Ingenieur) durchgeführt wird. Die Zeiterfordernis soll durch das Arbeitsblatt auf maximal einen Tag pro Anlage beschränkt sein.

Im NA 163 wird empfohlen, die IT-Risikobeurteilung nach IEC 62443 zu verfassen. Die Basisparameter sind allgemeingültig: SIL 1 bis 3, eine niedrige Anforderungsrate und ein zonierter Aufbau des Netzwerks. Die IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen nach NA 163 erfolgt letztendlich in fünf Schritten:

  1. Identifikation des betrachteten Systems
  2. High-Level-IT-Risikobeurteilung
  3. Einteilung des betrachteten Systems in Zonen und Verbindungen
  4. Detaillierte IT-Risikobeurteilung
  5. Dokumentation
Nutzen Sie unser kostenloses Erstgespräch.
Jetzt Termin vereinbaren:







    Ich habe die Datenschutzerklärung gelesen und erkläre mich damit einverstanden.
    Ich möchte Informationen zu kommenden Veranstaltungen und Neuigkeiten in der Branche erhalten

    Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

    Mehr Informationen

    Leistungen

    Durch die langjährige Erfahrung der weyer gruppe in der Verfahrenstechnik und funktionalen Sicherheit sowie die vielseitigen Branchenkenntnisse von Dipl.-Ing. Thomas Käfer, M.Sc. (vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung) bieten wir Ihnen ein interdisziplinäres Team als Unterstützung im Bereich Cyber Security von Produktionsanlagen für Betriebsbereiche störfallrelevanter Anlagen.

    • Aufnahme und Aufteilung der Betriebsbereiche / Anlagen in überschaubare Einheiten (Sektionierung) zur Analyse der notwendigen Maßnahmen
    • IT-Risikobeurteilung (z. B. nach NA 163 / IEC 62443 / DIN ISO 27001)
    • Ableitung und Priorisierung von Maßnahmen
    • Unterstützung bei der Umsetzung von Maßnahmen
    • Einarbeitung in das Gesamt-Sicherheitskonzept der Anlage: Verbindung zur klassischen Prozesssicherheit bzw. zur funktionalen Sicherheit mit den Anforderungen und Maßnahmen, die sich aus der IT-Beurteilung ergeben
    • Beratung von Equipment-Herstellern hinsichtlich Cyber Security
    • Penetrationstest, kurz Pentest(ing): Wir übernehmen eine umfassende Sicherheitsprüfung aller Systembestandteile und Anwendungen eines Netzwerks (Rechner, Maschinen, Produktionsanlagen etc.) mit den Methoden, die ein Angreifer bzw. Hacker anwenden würde, um in ein System einzudringen. Mehr Informationen dazu finden Sie hier.
    • Digitale Forensik bzw. IT-Forensik: Laut BSI ist die IT-Forensik „die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur [gerichtlichen] Aufklärung von Vorfällen, unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung, insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems“. Da Daten und Systemzustände innerhalb eines gerichtlichen Verfahrens nicht direkt betrachtet werden können, greift das Gericht meistens auf das Gutachten eines Sachverständigen oder den Bericht eines sachverständigen Zeugens zurück. In diesem Bereich arbeiten wir eng mit Thomas Käfer zusammen.
    Kolloquium 2020 - Cyber Security

    Das Thema des ersten digitalen Kolloquiums war „Cyber Security für Produktionsanlagen“. Die Fachvortragenden beschäftigen sich aus verschiedenen Blickwinkeln mit der Thematik. Sie erfahren von einem Unternehmer, was es bedeutet gehackt zu werden und welche Folgen sich für seinen Betrieb ergeben haben. Ein Hacker wird Ihnen die Schwachstellen der Systeme zeigen und gemeinsam klären wir, wie dies verhindert werden kann. Außerdem erläutern die Referenten, welche Schäden durch eine Cyber Security Versicherung abgefangen werden und welche Notwendigkeiten die Behörden sehen. Schauen Sie sich hier die Aufzeichnung der Vorträge an.

    Unser Team

    Dr. Florian Merkel

    horst weyer und partner
    Foto von Dipl.-Ing. Thomas Käfer, M. Sc.

    Thomas Käfer

    Käfer IT Systeme e.K.