Cyber Security von Produktionsanlagen

Betreiber und Investoren

Cyber Security - Wie Sie Ihre Anlage vor Hackern schützen

Die IT und die Vernetzung von unterschiedlichsten Systemen untereinander – das Internet of Things – ist eines der zentralen Themen unserer Zeit. Dies gilt nicht nur aus Entwicklersicht, sondern auch im Hinblick auf die IT-Sicherheit bzw. die Cyber Security von Produktionsanlagen. Darüber hinaus wird deutlich, dass neben den vielen positiven Effekten der neuen Errungenschaften in der Digitalisierung auch die negativen Entwicklungen immer spürbarer werden: Hackerangriffe auf vernetzte Systeme treten immer wieder auf. Daher hat der Gesetzgeber nun die Cyber Security auch in einigen betreiber- und herstellerrelevanten Gesetzen aufgenommen.

Überblick über die rechtlichen Grundlagen der Analyse

Als rechtliche Grundlage bei der Analyse der Cyber Security einer Produktionsanlage, Maschine oder eines Produktionsstandorts können eine Vielzahl an Richtlinien und Empfehlungen zurate gezogen werden. Nachfolgend stellen wir Ihnen diejenigen Ansätze vor, die wir bei unserer Arbeit häufig nutzen.

Für Betriebsbereiche, die unter die Störfallverordnung fallen, muss gemäß § 3 (Allgemeine Betreiberpflichten) der  12. BImSchV auch eine Betrachtung in Bezug auf die IT-Sicherheit erfolgen. Der Fokus hierbei liegt auf PLT- und MSR-Einrichtungen. Zuständig für die Umsetzung sind die Umweltverwaltungen der einzelnen Bundesländer.

Das IT-Sicherheitsgesetz, dessen Zuständigkeit beim Bundesinnenministerium liegt, fokussiert vor allem den Schutz der Versorgungssicherheit und der sogenannten kritischen Infrastrukturen. Das Gesetz bezieht sich nur auf „Anlagen“, sie mindestens 500.000 Personen versorgen. Die BSI-KritisV ist ein ganzheitlicher Ansatz für Unternehmen und bezieht somit alle Unternehmensbereiche mit ein.

Die Kommission für Anlagensicherheit (KAS) ist ein unabhängiges Gremium zur Beratung der deutschen Bundesregierung bzw. des zuständigen Bundesministeriums in Fragen der Sicherheit von Anlagen im Sinne des Bundes-Immissionsschutzgesetzes (BImSchG). Der Leitfaden KAS-51 „Maßnahmen gegen Eingriffe Unbefugter“, legt unter anderem Basismaßnahmen fest. Darunter fallen beispielsweise die Festlegung von Verantwortlichkeiten sowie das Zugangsmanagement und die Zutrittsüberwachung. Die Sicherheitsanalyse, die der Leitfaden KAS-51 fordert, besteht aus der Bedrohungsanalyse, der Gefahrenanalyse und der IT-Risikobeurteilung. Letztere kann u. a. nach IEC 62443, DIN ISO/IEC 27001 oder NA 163 durchgeführt werden.

Der Anhang 2 des Leitfadens KAS-51 befasst sich mit dem Schutz vor cyberphysischen Angriffen und behandelt Themen wie die IT-Security als Führungsaufgabe und die Reaktion auf neue Schwachstellen und Bedrohungen. Alle Themen, die im Anhang 2 aufgeführt werden, werden durch Kontrollfragen implementiert. Die Überprüfung durch die Behörde fokussiert sich letztendlich auf die Sicherheitsanalyse und die Qualität der Umsetzung. Bei Feststellung des ausreichenden Schutzes ist dabei keine separate Sicherheitsüberprüfung nach § 10a Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) erforderlich. Der Sicherheitsbericht dient dem Anlagenbetreiber als Rechtssicherheitsnachweis.

Als Folge der Konkretisierung der Normen IEC 61508 und IEC 61511 wurde die VDI/VDE 2180, die Richtlinie für die funktionale Sicherheit in der Prozessindustrie, im April 2019 erneuert. Einen neuen Schwerpunkt bildet die Cyber Security: „Im Management der funktionalen Sicherheit müssen IT-Sicherheitsaspekte in der Planung, der Beschaffung, der Validierung, im Betrieb, bei Änderungen und bei der Außerbetriebnahme berücksichtigt werden.“ Weiter heißt es in der Neufassung: „Durch den Einsatz IT-basierter Technologien und die zunehmende Vernetzung von Systemen können Automatisierungssysteme inklusive der zugehörigen Programmier- und Konfigurationsgeräte zum Ziel von Cyber-Bedrohungen werden. […] Um das Gefährdungspotenzial einzuschätzen und geeignete Gegenmaßnahmen festzulegen, muss eine IT-Risikobeurteilung durchgeführt werden.“ (Blatt 1, S. 38 ff.)

Die IT-Sicherheitsbeurteilung für PLT-Sicherheitseinrichtungen kann dabei unabhängig oder gemeinsam mit der allgemeinen IT-Risikobeurteilung durchgeführt werden. Bestandteile, die davon betroffen sind, sind Hardware, Software, Daten, Verbindungen, Prozesse und Personen. Die VDI/VDE 2180 gibt auf den folgenden Seiten außerdem an, dass die NA 163 Methoden zur Durchführung einer IT-Risikoanalyse sowie einen Maßnahmenkatalog enthält, die gemeinsam mit der VDI/VDE 2180 zu einem geeigneten IT-Absicherungskonzept führen kann.

Da die oben genannten Ansätze für eine IT-Risikoanalyse oft sehr zeit- und personalintensiv sind, soll das NAMUR Arbeitsblatt 163 dabei helfen, Gesetzte und Regelwerke auch dann sicher einzuhalten, wenn die Sicherheitsanalyse durch nicht IT-Fachleute (z. B. PLT-Ingenieur) durchgeführt wird. Die Zeiterfordernis soll durch das Arbeitsblatt auf maximal einen Tag pro Anlage beschränkt sein.

Im NA 163 wird empfohlen, die IT-Risikobeurteilung nach IEC 62443 zu verfassen. Die Basisparameter sind allgemeingültig: SIL 1 bis 3, eine niedrige Anforderungsrate und ein zonierter Aufbau des Netzwerks. Die IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen nach NA 163 erfolgt letztendlich in fünf Schritten:

  1. Identifikation des betrachteten Systems
  2. High-Level-IT-Risikobeurteilung
  3. Einteilung des betrachteten Systems in Zonen und Verbindungen
  4. Detaillierte IT-Risikobeurteilung
  5. Dokumentation

Wie Sie Ihr Cyber Security Konzept mit uns verwirklichen

Durch die langjährige Erfahrung der weyer gruppe in der Verfahrenstechnik und funktionalen Sicherheit sowie die vielseitigen Branchenkenntnisse von Cihangir Günbay, Fachbereichsverantwortlicher für Cyber Security bei der weyer gruppe und anerkannter Sachverständiger für Informationssicherheit gemäß ISO 17024, bieten wir Ihnen ein interdisziplinäres Team zur Unterstützung im Bereich Cyber Security von Produktionsanlagen für Betriebsbereiche störfallrelevanter Anlagen.

  • Aufnahme und Aufteilung der Betriebsbereiche / Anlagen in überschaubare Einheiten (Sektionierung) zur Analyse der notwendigen Maßnahmen
  • IT-Risikobeurteilung (z. B. nach NA 163 / IEC 62443 / DIN ISO 27001)
  • Ableitung und Priorisierung von Maßnahmen
  • Unterstützung bei der Umsetzung von Maßnahmen
  • Einarbeitung in das Gesamt-Sicherheitskonzept der Anlage: Verbindung zur klassischen Prozesssicherheit bzw. zur funktionalen Sicherheit mit den Anforderungen und Maßnahmen, die sich aus der IT-Beurteilung ergeben
  • Beratung von Equipment-Herstellern hinsichtlich Cyber Security
  • Penetrationstest, kurz Pentest(ing): Wir bieten eine umfassende Sicherheitsprüfung aller Systembestandteile und Anwendungen eines Netzwerks (Rechner, Maschinen, Produktionsanlagen etc.) an. Für die Durchführung arbeiten wir mit langjährigen und zuverlässigen Partnern zusammen, die die Methoden eines potenziellen Angreifers nutzen, um Schwachstellen aufzudecken.
  • Digitale Forensik bzw. IT-Forensik: Laut BSI ist die IT-Forensik „die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur [gerichtlichen] Aufklärung von Vorfällen, unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung, insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems“. Für die Durchführung von IT-forensischen Untersuchungen greifen wir ebenfalls auf unsere langjährigen und zuverlässigen Partner zurück, die umfassende Erfahrung in diesem Bereich besitzen.

In diesem Bereich bringen wir unsere umfangreiche Erfahrung im IT-/OT-Security-Bereich ein, um Ihnen maßgeschneiderte Lösungen zu bieten.

weyer spezial: Cyber Security

Mit den vielen Vorteilen, die die Digitalisierung mit sich bringt, werden jedoch auch die negativen Aspekte immer sichtbarer: Hackerangriffe auf vernetzte Systeme nehmen zu und stellen eine zunehmende Bedrohung dar. Infolgedessen hat der Gesetzgeber reagiert und Cyber Security zunehmend in Gesetze…

Hier weyer spezial herunterladen

Ihre Ansprechpartner

Cihangir Günbay

horst weyer und partner

Dr. Florian Merkel

horst weyer und partner

Haben Sie Fragen zum Thema Cyber-Sicherheit oder benötigen Sie Unterstützung bei der Umsetzung Ihres Cyber-Sicherheitskonzepts?

Wir unterstützen Sie gerne bei der Realisierung Ihres Konzepts
Nutzen Sie unser kostenloses Erstgespräch

Jetzt Termin vereinbaren:







    Ich habe die Datenschutzerklärung gelesen und erkläre mich damit einverstanden.
    Ich möchte Informationen zu kommenden Veranstaltungen und Neuigkeiten in der Branche erhalten

    Unsere Videos zum Thema Cyber Security

    Das Thema des ersten digitalen Kolloquiums war „Cyber Security für Produktionsanlagen“. Die Fachvortragenden beschäftigen sich aus verschiedenen Blickwinkeln mit der Thematik. Sie erfahren von einem Unternehmer, was es bedeutet gehackt zu werden und welche Folgen sich für seinen Betrieb ergeben haben. Ein Hacker wird Ihnen die Schwachstellen der Systeme zeigen und gemeinsam klären wir, wie dies verhindert werden kann. Außerdem erläutern die Referenten, welche Schäden durch eine Cyber Security Versicherung abgefangen werden und welche Notwendigkeiten die Behörden sehen. Schauen Sie sich hier die Aufzeichnung der Vorträge an.

    Gehackt! Gerhard Klein berichtet von seinen Erfahrungen als sein Unternehmen gehackt wurde.

     

    Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

    Mehr Informationen

    Die Druckerei von Gerhard Klein wurde vor einigen Jahren gehackt. Auf unserem Kolloquium zum Thema „Cyber Security für Produktionsanlagen“ berichtet er von seinen Erfahrungen. Dabei geht der Unternehm…

    Versicherungen für IT-Sicherheit und Cyber Security | Onnen Siems, Thomas Budzyn & Tommy Berg

     

    Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

    Mehr Informationen

    Onnen Siems, Thomas Budzyn & Tommy Berg der Meyerthole Siems Kohlruss Gesellschaft für aktuarielle Beratung (https://aktuare.de/index.php/de/) beschäftigen sich mit Risikoermittlung und Rückversicher…

    Integrierte Cyber-Sicherheitskonzepte | Markus Ahorner zu Gast auf dem Kolloquium der weyer gruppe

     

    Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

    Mehr Informationen

    Markus Ahorner und sein Team bei Ahorner & Innovators (https://ahornerinnovators.com/) unterstützen Unternehmen bei der Erstellung und Umsetzung von integrierten Cyber-Sicherheitskonzepten. In seinem …

    IT-Sicherheit / Cyber Security für Ihre Maschinen und Anlagen | Live-Hacking mit Herrn Dipl.-Wirt.-Inf. Martin Wundram

     

    Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

    Mehr Informationen

    Wir stecken mitten in der 4. industriellen Revolution, auch Industrie 4.0 genannt. Ziel ist es Vorgänge die in der Produktion bisher von Menschen durchgeführt wurden weitestgehend von Maschinen übernehmen zu lassen. Doch auch…