Schutz der IT- und OT-Versorgungsketten mit internationalen Normen und Konformitätsbewertung

Die Angriffe waren ein wirksamer Warnschuss und die neue US-Administration hat entsprechend reagiert, indem der Schutz des Stromnetzes zur absoluten Priorität erklärt wurde. Ein erfolgreicher Cyberangriff auf das Stromnetz könnte das Land zu einem Stillstand bringen, wodurch die Kritische Infrastruktur und Betriebsanlagen stark beeinträchtigt würden, beispielsweise Ampelanlagen, Krankenhäuser, Wassersysteme und Produktionsanlagen.

Das US-amerikanische Energieministerium hat Branchenexperten zusammengebracht, damit sie die Regierung über Strategien zur Aufrechterhaltung der Netzverfügbarkeit beraten. Eines der drängendsten Probleme, mit denen sie sich auseinandersetzen müssen, ist die Verwundbarkeit des Versorgungsnetzes, während die digitale Transformation und die Coronavirus-Pandemie ebenfalls zur Komplexität der Situation beitragen.

Es ist bekannt, dass die für die Angriffe im Jahr 2020 verantwortlichen Hacker einen Drittanbieter infiltriert haben, der Netzwerkmanagementsoftware für die Regierung und Firmenkunden bereitstellt. Analysten vermuten, dass die Hacker die Versorgungskette im Visier hatten, damit sie von den leistungsfähigeren Sicherheitssystemen der US-Regierung nicht entdeckt werden.

Diese Art des Angriffs ist ein zunehmendes Problem: Recherchen des Cybersicherheitsunternehmens BlueVoyant legen nahe, dass mehr als 80 Prozent der Unternehmen schon einmal eine Datenpanne aufgrund von Sicherheitsschwachstellen in ihrer Versorgungskette erlebt haben. Bereits im Jahr 2018 hat das Verteidigungsministerium empfohlen, die Stabilität der Versorgungsketten in den USA zu stärken.

Cybersecurity Navigator bietet Rechtsvorschriften und Standards für Kritische Infrastrukturen

Cyberangriffe stellen für unsere Gesellschaft eine der größten Bedrohungen dar. Unternehmen sowie öffentliche Einrichtungen werden jeden Tag zum Ziel von Hackern. Gefährdet sind vor allem Kritische Infrastrukturen. Der Cybersecurity Navigator unterstützt Organisationen aus den KRITIS-Sektoren mit einer Sammlung von Rechtsvorschriften und Standards – einheitlich systematisiert und aufbereitet.

Versorgungsketten umfassen Unternehmen, Menschen, Aktivitäten, Informationen und Ressourcen. Aufgrund ihrer komplexen Interaktionen mit dem Anlagenbetrieb, Mitarbeitern, Kunden, Spediteuren usw. sind sie besonders anfällig. Es ist nicht immer einfach, die entlang der Versorgungskette implementierten Sicherheitsverfahren zu verstehen oder zu kontrollieren.

Aus rechtlicher Sicht wird Einkäufern dadurch das Leben schwer gemacht, da sie die Sicherheitspraktiken von Anbietern in ihre eigenen Risikoprofile aufnehmen. In einem bekannten Fall, der vor einigen Jahren für großes Aufsehen sorgte, war der US-amerikanische Einzelhandelsriese Target gezwungen, zweistellige Millionenbeträge in Dollar bei gerichtlichen Vergleichen zu zahlen und für weitere Kosten aufzukommen, nachdem Cyberkriminelle die Netzwerk-Zugangsdaten eines Klimaanlagenherstellers genutzt hatten, um die persönlichen Daten von etlichen Millionen Kredit- und Debitkarteninhabern zu stehlen.

Mitunter ist es für Leiter von Versorgungsunternehmen und für Sicherheitsexperten schwierig festzustellen, wo sie anfangen sollen. Internationale Normen und die Konformitätsbewertung sorgen für Rahmenbedingungen basierend auf Best Practices und den übereinstimmenden Meinungen von führenden Experten auf der ganzen Welt. Es ist jedoch überaus wichtig, die richtigen auszuwählen, um die Risiken zu minimieren.

IT-Systeme, wie sie in Regierungsbehörden oder in Unternehmenszentralen eingesetzt werden, erfordern beispielsweise unterschiedliche Lösungen für cyber-physische Systeme wie etwa das Stromnetz, bei dem operative Technologien (OT) verwendet werden.

Durch das Wachstum des industriellen Internet der Dinge (IIoT) wurde die Annäherung der einst getrennten Bereiche von IT und OT beschleunigt.

Das intelligente Netz ist mit einer Reihe von Sensoren und Monitoren verbunden, die Daten erfassen, analysieren und mit anderen Geräten und Systemen austauschen, um die Leistung, Qualität und Konsistenz zu verbessern. Die Steigerung der Effizienz hat jedoch ihren Preis, da durch eine bessere Konnektivität auch eine größere Angriffsfläche für Bedrohungsakteure geschaffen wird. Die durch die Coronavirus-Pandemie verstärkte Arbeit im Homeoffice macht die Situation noch komplizierter, indem die Cyberkriminellen noch mehr Anfälligkeiten und Schwachstellen ausnutzen können, beispielsweise ungeschützte oder unzureichend geschützte Heimnetzwerke.

Die IT-Sicherheit konzentriert sich gleichermaßen auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Für OT hat hingegen die Verfügbarkeit oberste Priorität. Cyber-physische Systeme müssen laufen können, auch wenn damit möglicherweise ein Datenverlust verbunden ist. Das Abschalten – bei IT-Systemen oftmals die erste Abwehrmaßnahme – ist für OT keine Option und kann im schlimmsten Fall die Sicherheit des Personals gefährden oder katastrophale Schäden für die Umwelt verursachen.

In der cyber-physischen Welt ist alles auf die physische Bewegung und Steuerung von Geräten und Prozessen ausgerichtet, um den ordnungsgemäßen Betrieb von Systemen zu gewährleisten, wobei die Sicherheit und eine erhöhte Effizienz im Mittelpunkt stehen. OT sorgt beispielsweise dafür, dass ein Generator bei erhöhtem Strombedarf eingeschaltet wird oder dass sich ein Überströmventil öffnet, wenn ein Chemikalienbehälter voll ist, um ein Austreten von Gefahrstoffen zu verhindern.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Regierungsbehörden und die meisten Privatunternehmen können sich selbst schützen, indem sie ein Managementsystem für Informationssicherheit (ISMS) implementieren, wie in der Norm ISO/IEC 27001 beschrieben.

Diese Norm definiert einen auf dem Cyber-Risikomanagement basierenden Ansatz für das Mitarbeiter-, Prozess-, Service- und Technologiemanagement. Eine weitere Norm in der Reihe ISO/IEC 27000, die vierteilige Publikation ISO/IEC 27036, bietet Richtlinien zur Informationssicherheit für Beziehungen mit Dritten.

Die Anwendung der internationalen Norm ISO/IEC 27001 unterstützt Unternehmen dabei, ihre Informationssicherheitsrisiken – einschließlich Bedrohungen, Schwachstellen und Auswirkungen – effektiv zu steuern. Es wird ihnen gezeigt, wie man Kontrollmaßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und zur Regulierung des Zugangs zu kritischen Informationssystemen und Netzwerken festlegt.

Darüber hinaus ist ISO/IEC 27001 nun Bestandteil des genehmigten Prozessschemas, das für die unabhängige Bewertung und Ausgabe einer internationalen IECQ-Konformitätsbescheinigung für Unternehmen sorgt, die sich an die entsprechenden Publikationen halten. Die IECQ-Bewertungen von ISMS-Anlagen im Rahmen des IECQ-AP-Schemas stellen sicher, dass ein Schwerpunkt auf den wichtigsten technischen und administrativen Elementen liegt, die das Vertrauen stärken, dass die Anforderungen von ISO/IEC 27001 erfüllt wurden.

Die internationale Norm IEC 62443 ist darauf ausgelegt, cyber-physische Systeme am Laufen zu halten. Sie kann auf jede industrielle Umgebung angewendet werden, unter anderem auch auf Organisationen aus dem Bereich der Kritischen Infrastrukturen (KRITIS), zum Beispiel Energieversorgungsunternehmen oder Kernkraftwerke sowie im Gesundheits- und Transportsektor.

Zusammen können IEC 62443-2-4, IEC 62443-3-3, IEC 62443-4-1 und IEC 62443-4-2 eine effektive Lösung für industrielle Versorgungsketten bieten, insbesondere in der Kombination mit dem IECEE-Konformitätsbewertungssystem.

Im Rahmen des Cybersecurity-Programms des IEC-Systems für Konformitätsbewertungssysteme elektrotechnischer Betriebsmittel und Komponenten wird Cybersecurity im Bereich der industriellen Automatisierung geprüft und zertifiziert.

Die Verringerung von externen Risiken bedeutet, dass ein Geschäftsprozess von den eingehenden bis hin zu den abgehenden Versorgungsketten geschützt wird, um Beeinträchtigungen zu vermeiden und das Risiko, einschließlich des finanziellen Risikos, zu steuern. In der abschließenden Analyse gibt es jedoch keine nachhaltige Möglichkeit, alle Ressourcen zu jeder Zeit zu schützen.

Unternehmen müssen unabhängig davon, ob sie IT- oder OT-Technologien nutzen, den Schutz ihrer kritischen Ressourcen gewährleisten können, denn sonst können sie nicht funktionieren. Die Sicherstellung des Schutzes dieser Ressourcen ist der beste Weg zu mehr Widerstandsfähigkeit gegen Cyberangriffe. Das wird in internationalen Normen als „risikobasierter Ansatz“ bei Cybersecurity bezeichnet.

Redaktioneller Hinweis:

Der englischsprachige Originalartikel erschien erstmals auf etech.iec.ch in der Ausgabe 01/2021.
Zu finden unter: https://etech.iec.ch/issue/2021-01/securing-it-and-ot-supply-chains-with-international-standards-and-conformity-assessment

Die im Text aufgeführten Normen können Sie beim VDE VERLAG erwerben.

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im