Schulung der weyer akademie: IT-Sicherheit in der Anlagensicherheit – 30. Januar in Köln

Beim Betrieb von sicherheitskritischen Anlagen im digitalen Zeitalter ist nicht mehr nur die funktionale Sicherheit (Safety), sondern auch die IT-Sicherheit (Security) zu berücksichtigen. Daher sollen in verschiedenen Gesetzen neue Regelungen aufgenommen werden.

Für Hersteller

Aus Sicht des Herstellers ist dabei die Richtlinie 2006/42/EG für Maschinen (MRL) zu beachten, die im Rahmen einer Risikobeurteilung die Einhaltung von grundlegenden Sicherheits- und Gesundheitsschutzanforderungen fordert. Nach Anhang I, Abschnitt 1.2.1 der MRL ist beispielsweise sicherzustellen, dass Steuerungen so ausgelegt und beschaffen sein müssen, dass es unter anderem bedingt durch Fremdeinflüsse und Softwarefehler nicht zu Gefährdungssituationen kommt. Nach heutigem Wissensstand sollen in der überarbeiteten MRL auch Risiken, die im Zusammenhang mit dem Fortschritt der Digitalisierung stehen, beispielsweise Cyber Security, aufgenommen werden. Zukünftig müssen in diesem Zusammenhang also auch digitale Risiken in der Risikobeurteilung nach MRL analysiert und bewertet werden.

Für Betreiber

Für den Betreiber von Anlagen in Betriebsbereichen, die der Störfall-Verordnung (12. BImSchV) unterliegen, ergeben sich aus den Leitsätzen der Kommission für Anlagensicherheit zum Schutz vor cyberphysischen Angriffen (KAS-44) unter anderem folgende Anforderungen:

„Betriebsbereiche nach Störfall-Verordnung (12. BImSchV) und die in diesen Bereichen vorhandenen IT- und OT-Systeme und Anlagen werden zunehmend intern und nach außen informationstechnisch vernetzt. Diese Netze und Systeme sind grundsätzlich als Angriffspunkte nach § 3 Absatz 2 Nummer 3 der Störfall-Verordnung (StörfallV) zu betrachten, da vorsätzliche Störungen des bestimmungsgemäßen Betriebs, die über Netze oder IT-Systeme ausgelöst werden, nicht ausgeschlossen werden können. Damit stellen sich IT-Sicherheitsfragen zum Eingriff Unbefugter auf Betriebsbereiche (IT-Security) über derartig vernetzte Systeme und ihre Auswirkungen. Betrachtet werden an dieser Stelle ausschließlich diejenigen Angriffe über IT-Systeme, die sicherheitstechnische Relevanz (Safety) haben. Maßnahmen zur Gewährleistung der IT-Security sollen im Sicherheitsmanagementsystem, basierend auf dem Sicherheitskonzept gem. § 8 Absatz 1 der StörfallV, dokumentiert und umgesetzt werden“.

Darauf aufbauend hat die weyer akademie gemeinsam mit dem IT-Forensik-Spezialisten und öffentlich bestellten Sachverständigen für IT-Systeme Dipl.-Ing. Thomas Käfer, M. Sc. eine Schulung entwickelt, die über bisherige Angriffe auf Anlagen aufklärt und Gegenmaßnahmen erläutert.

Denn welche Folgen hätte es, wenn ein Angreifer gar nicht vor Ort sein muss? Was würde passieren, wenn er es schafft, Produktionsdaten aus einer Anlage über vernetzte Systeme zu entwenden, zu verfälschen oder Steuerbefehle an die Anlage sendet, die in Kombination mit anderen Angriffsvektoren für eine Störung oder gar einen Ausfall sorgen?
Das Risiko für einen solchen Angriff ist größer, als viele annehmen. Beispiele von tatsächlich machbaren oder bereits erfolgten Angriffen können dies deutlich machen.
Viele Schäden könnten verhindert werden, wenn die Integration der IT-Sicherheit und des Datenschutzes bereits während der Entwicklungs- und Konzeptionsphase berücksichtigt würde. Andere Probleme können durch den Einsatz von IT-Sicherheitsexperten in wichtigen Projektphasen erkannt und beseitigt werden. Das senkt nicht nur die Entwicklungskosten für diese Punkte, sondern zeigt bereits in einem frühen Stadium, ob und wo die Geschäftsidee aus Security- oder Datenschutz-Sicht angreifbar ist.

Offene Schulung zur IT-Sicherheit in Anlagen

Durch die langjährige Erfahrung der weyer gruppe im Bereich der funktionalen Sicherheit und die umfangreichen Kenntnisse des IT-Spezialisten Thomas Käfer hat die weyer gruppe verschiedene neue Beratungsleistungen aufgenommen und die Schulung „Cyber Security für Anlagen“ für Anlagenhersteller und Betreiber erstellt.

Melden Sie sich jetzt zur Teilnahme am 30. Januar 2020 in Köln an.

Jetzt anmelden

Gern stehen wir Ihnen bei Rückfragen zur Verfügung:

Koordinatorin Marketing, Fr. Alef
Stefanie Moschkau

weyer gruppe | weyer akademie
Kauffrau für Marketingkommunikation | Koordinatorin Marketing
Tel.: +49 2421 – 69 09 22 86
E-Mail: s.moschkau@weyer-gruppe.com