• Rufen Sie uns an: +49 (0) 2421 - 69 09 10 | Schicken Sie uns eine E-Mail: info@weyer-gruppe.com

Cyber Security von Produktionsanlagen

Planer und Hersteller

Die IT und die Vernetzung von unterschiedlichsten Systemen untereinander – das Internet of Things – ist eines der zentralen Themen unserer Zeit – nicht nur aus Entwicklersicht, sondern auch im Hinblick auf die IT-Sicherheit bzw. die Cyber Security von Produktionsanlagen. Allerdings werden neben den vielen positiven Effekten der neuen Errungenschaften in der Digitalisierung auch die negativen Entwicklungen deutlicher: Hackerangriffe auf vernetzte Systeme treten immer wieder auf, sodass der Gesetzgeber nun die Cyber Security auch in einigen betreiber- und herstellerrelevanten Gesetzen aufgenommen hat.

Überblick über die rechtlichen Grundlagen der Analyse

Als rechtliche Grundlage bei der Analyse der Cyber Security einer Produktionsanlage, Maschine oder eines Produktionsstandorts können eine Vielzahl an Richtlinien und Empfehlungen zurate gezogen werden. Nachfolgend stellen wir Ihnen diejenigen Ansätze vor, die wir bei unserer Arbeit häufig nutzen.

Für Betriebsbereiche, die unter die Störfallverordnung fallen, muss gemäß § 3 (Allgemeine Betreiberpflichten) der  12. BImSchV auch eine Betrachtung in Bezug auf die IT-Sicherheit erfolgen. Der Fokus hierbei liegt auf PLT- und MSR-Einrichtungen. Zuständig für die Umsetzung sind die Umweltverwaltungen der einzelnen Bundesländer.

Das IT-Sicherheitsgesetz, dessen Zuständigkeit beim Bundesinnenministerium liegt, fokussiert vor allem den Schutz der Versorgungssicherheit und der sogenannten kritischen Infrastrukturen. Das Gesetz bezieht sich nur auf „Anlagen“, sie mindestens 500.000 Personen versorgen. Die BSI-KritisV ist ein ganzheitlicher Ansatz für Unternehmen und bezieht somit alle Unternehmensbereiche mit ein.

Die Kommission für Anlagensicherheit (KAS) ist ein unabhängiges Gremium zur Beratung der deutschen Bundesregierung bzw. des zuständigen Bundesministeriums in Fragen der Sicherheit von Anlagen im Sinne des Bundes-Immissionsschutzgesetzes (BImSchG). Der Leitfaden KAS-51 „Maßnahmen gegen Eingriffe Unbefugter“, legt unter anderem Basismaßnahmen fest. Darunter fallen beispielsweise die Festlegung von Verantwortlichkeiten sowie das Zugangsmanagement und die Zutrittsüberwachung. Die Sicherheitsanalyse, die der Leitfaden KAS-51 fordert, besteht aus der Bedrohungsanalyse, der Gefahrenanalyse und der IT-Risikobeurteilung. Letztere kann u. a. nach IEC 62443, DIN ISO/IEC 27001 oder NA 163 durchgeführt werden.

Der Anhang 2 des Leitfadens KAS-51 befasst sich mit dem Schutz vor cyberphysischen Angriffen und behandelt Themen wie die IT-Security als Führungsaufgabe und die Reaktion auf neue Schwachstellen und Bedrohungen. Alle Themen, die im Anhang 2 aufgeführt werden, werden durch Kontrollfragen implementiert. Die Überprüfung durch die Behörde fokussiert sich letztendlich auf die Sicherheitsanalyse und die Qualität der Umsetzung. Bei Feststellung des ausreichenden Schutzes ist dabei keine separate Sicherheitsüberprüfung nach § 10a Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) erforderlich. Der Sicherheitsbericht dient dem Anlagenbetreiber als Rechtssicherheitsnachweis.

Als Folge der Konkretisierung der Normen IEC 61508 und IEC 61511 wurde die VDI/VDE 2180, die Richtlinie für die funktionale Sicherheit in der Prozessindustrie, im April 2019 erneuert. Einen neuen Schwerpunkt bildet die Cyber Security: „Im Management der funktionalen Sicherheit müssen IT-Sicherheitsaspekte in der Planung, der Beschaffung, der Validierung, im Betrieb, bei Änderungen und bei der Außerbetriebnahme berücksichtigt werden.“ Weiter heißt es in der Neufassung: „Durch den Einsatz IT-basierter Technologien und die zunehmende Vernetzung von Systemen können Automatisierungssysteme inklusive der zugehörigen Programmier- und Konfigurationsgeräte zum Ziel von Cyber-Bedrohungen werden. […] Um das Gefährdungspotenzial einzuschätzen und geeignete Gegenmaßnahmen festzulegen, muss eine IT-Risikobeurteilung durchgeführt werden.“ (Blatt 1, S. 38 ff.)

Die IT-Sicherheitsbeurteilung für PLT-Sicherheitseinrichtungen kann dabei unabhängig oder gemeinsam mit der allgemeinen IT-Risikobeurteilung durchgeführt werden. Bestandteile, die davon betroffen sind, sind Hardware, Software, Daten, Verbindungen, Prozesse und Personen. Die VDI/VDE 2180 gibt auf den folgenden Seiten außerdem an, dass die NA 163 Methoden zur Durchführung einer IT-Risikoanalyse sowie einen Maßnahmenkatalog enthält, die gemeinsam mit der VDI/VDE 2180 zu einem geeigneten IT-Absicherungskonzept führen kann.

Da die oben genannten Ansätze für eine IT-Risikoanalyse oft sehr zeit- und personalintensiv sind, soll das NAMUR Arbeitsblatt 163 dabei helfen, Gesetzte und Regelwerke auch dann sicher einzuhalten, wenn die Sicherheitsanalyse durch nicht IT-Fachleute (z. B. PLT-Ingenieur) durchgeführt wird. Die Zeiterfordernis soll durch das Arbeitsblatt auf maximal einen Tag pro Anlage beschränkt sein.

Im NA 163 wird empfohlen, die IT-Risikobeurteilung nach IEC 62443 zu verfassen. Die Basisparameter sind allgemeingültig: SIL 1 bis 3, eine niedrige Anforderungsrate und ein zonierter Aufbau des Netzwerks. Die IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen nach NA 163 erfolgt letztendlich in fünf Schritten:

  1. Identifikation des betrachteten Systems
  2. High-Level-IT-Risikobeurteilung
  3. Einteilung des betrachteten Systems in Zonen und Verbindungen
  4. Detaillierte IT-Risikobeurteilung
  5. Dokumentation

Leistungen

Durch die langjährige Erfahrung der weyer gruppe in der Verfahrenstechnik und funktionalen Sicherheit sowie die vielseitigen Branchenkenntnisse von Dipl.-Ing. Thomas Käfer, M.Sc. (vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung) bieten wir Ihnen ein interdisziplinäres Team als Unterstützung im Bereich IT-Sicherheit für Betriebsbereiche störfallrelevanter Anlagen.

  • Aufnahme und Aufteilung der Betriebsbereiche / Anlagen in überschaubare Einheiten (Sektionierung) zur Analyse der notwendigen Maßnahmen
  • IT-Risikobeurteilung (z. B. nach NA 163 / IEC 62443 / DIN ISO 27001)
  • Ableitung und Priorisierung von Maßnahmen
  • Unterstützung bei der Umsetzung von Maßnahmen
  • Einarbeitung in das Gesamt-Sicherheitskonzept der Anlage: Verbindung zur klassischen Prozesssicherheit bzw. zur funktionalen Sicherheit mit den Anforderungen und Maßnahmen, die sich aus der IT-Beurteilung ergeben
  • Beratung von Equipment-Herstellern hinsichtlich Cyber Security
  • Penetrationstest, kurz Pentest(ing): Wir übernehmen eine umfassende Sicherheitsprüfung aller Systembestandteile und Anwendungen eines Netzwerks (Rechner, Maschinen, Produktionsanlagen etc.) mit den Methoden, die ein Angreifer bzw. Hacker anwenden würde, um in ein System einzudringen. Mehr Informationen dazu finden Sie hier.
  • Digitale Forensik bzw. IT-Forensik: Laut BSI ist die IT-Forensik „die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur [gerichtlichen] Aufklärung von Vorfällen, unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung, insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems“. Da Daten und Systemzustände innerhalb eines gerichtlichen Verfahrens nicht direkt betrachtet werden können, greift das Gericht meistens auf das Gutachten eines Sachverständigen oder den Bericht eines sachverständigen Zeugens zurück. In diesem Bereich arbeiten wir eng mit Thomas Käfer zusammen.

Unser Team

Foto von Klaus Woersdoerfer der horst weyer und partner gmbh

Klaus Wörsdörfer

horst weyer und partner
Foto von Dipl.-Ing. Thomas Käfer, M. Sc.

Thomas Käfer

Käfer IT Systeme e.K.

Datenschutzeinstellungen

Wenn Sie unsere Website besuchen, kann sie Informationen über Ihren Browser aus bestimmten Diensten speichern, in der Regel in Form von Cookies. Hier können Sie Ihre Datenschutzeinstellungen ändern. Es ist zu beachten, dass das Blockieren einiger Arten von Cookies Ihre Erfahrungen auf unserer Website und die von uns angebotenen Dienste beeinträchtigen kann.

Aus Performance- und Sicherheitsgründen verwenden wir Cloudflare.
erforderliche Cookies

Klicken Sie hier, um den Tracking-Code von Google Analytics zu aktivieren/deaktivieren.

Klicken Sie hier, um Google Maps zu aktivieren/deaktivieren.

Klicken Sie hier, um Videoeinbettungen zu aktivieren/deaktivieren.


Unsere Website verwendet Cookies, hauptsächlich von Drittanbietern. Definieren Sie Ihre Datenschutzeinstellungen und/oder stimmen Sie der Verwendung von Cookies zu.