Cyber-Sicherheit Datenschutz Business Technology Datenschutzkonzept
Sikov / stock.adobe.com
15.03.2021 Fachinformation

Schutz der IT- und OT-Versorgungsketten mit internationalen Normen und Konformitätsbewertung

Kritische Infrastrukturen sind ein beliebtes Ziel für Cyberangriffe. Wenn Versorgungsketten betroffen sind, kann das verheerende Folgen haben. Es gilt, IT und OT gleichermaßen zu schützen. Internationale Normen und Konformitätsbewertungssysteme helfen dabei.

IEC-Logo
IEC

Von Michael A. Mullane

Vergangenes Jahr wurde die Regierung der USA im Zuge eines der bislang schwerwiegendsten Sicherheitsvorfälle weltweit angegriffen.

Hacker haben sich Zugang zu einer Reihe von Bundesbehörden verschafft, darunter beispielsweise das Finanz-, Handels- und Heimatschutzministerium. Es wird davon ausgegangen, dass sie ebenfalls den Energiesektor ins Visier genommen haben, was möglicherweise verheerende Auswirkungen hätte haben können.

Kontakt

Christian Seipel
Zuständiges Gremium
Downloads + Links

Verwandte VDE Themen

Die Angriffe waren ein wirksamer Warnschuss und die neue US-Administration hat entsprechend reagiert, indem der Schutz des Stromnetzes zur absoluten Priorität erklärt wurde. Ein erfolgreicher Cyberangriff auf das Stromnetz könnte das Land zu einem Stillstand bringen, wodurch die Kritische Infrastruktur und Betriebsanlagen stark beeinträchtigt würden, beispielsweise Ampelanlagen, Krankenhäuser, Wassersysteme und Produktionsanlagen.

Das US-amerikanische Energieministerium hat Branchenexperten zusammengebracht, damit sie die Regierung über Strategien zur Aufrechterhaltung der Netzverfügbarkeit beraten. Eines der drängendsten Probleme, mit denen sie sich auseinandersetzen müssen, ist die Verwundbarkeit des Versorgungsnetzes, während die digitale Transformation und die Coronavirus-Pandemie ebenfalls zur Komplexität der Situation beitragen.

Es ist bekannt, dass die für die Angriffe im Jahr 2020 verantwortlichen Hacker einen Drittanbieter infiltriert haben, der Netzwerkmanagementsoftware für die Regierung und Firmenkunden bereitstellt. Analysten vermuten, dass die Hacker die Versorgungskette im Visier hatten, damit sie von den leistungsfähigeren Sicherheitssystemen der US-Regierung nicht entdeckt werden.

Diese Art des Angriffs ist ein zunehmendes Problem: Recherchen des Cybersicherheitsunternehmens BlueVoyant legen nahe, dass mehr als 80 Prozent der Unternehmen schon einmal eine Datenpanne aufgrund von Sicherheitsschwachstellen in ihrer Versorgungskette erlebt haben. Bereits im Jahr 2018 hat das Verteidigungsministerium empfohlen, die Stabilität der Versorgungsketten in den USA zu stärken.


Entwurfskonzept eines analog-digitalen Kompasses
Sergey Tarasov / stock.adobe.com

Cybersecurity Navigator bietet Rechtsvorschriften und Standards für Kritische Infrastrukturen

Cyberangriffe stellen für unsere Gesellschaft eine der größten Bedrohungen dar. Unternehmen sowie öffentliche Einrichtungen werden jeden Tag zum Ziel von Hackern. Gefährdet sind vor allem Kritische Infrastrukturen. Der Cybersecurity Navigator unterstützt Organisationen aus den KRITIS-Sektoren mit einer Sammlung von Rechtsvorschriften und Standards – einheitlich systematisiert und aufbereitet.

Mehr erfahren

Verstehen der Versorgungsketten

Versorgungsketten umfassen Unternehmen, Menschen, Aktivitäten, Informationen und Ressourcen. Aufgrund ihrer komplexen Interaktionen mit dem Anlagenbetrieb, Mitarbeitern, Kunden, Spediteuren usw. sind sie besonders anfällig. Es ist nicht immer einfach, die entlang der Versorgungskette implementierten Sicherheitsverfahren zu verstehen oder zu kontrollieren.

Aus rechtlicher Sicht wird Einkäufern dadurch das Leben schwer gemacht, da sie die Sicherheitspraktiken von Anbietern in ihre eigenen Risikoprofile aufnehmen. In einem bekannten Fall, der vor einigen Jahren für großes Aufsehen sorgte, war der US-amerikanische Einzelhandelsriese Target gezwungen, zweistellige Millionenbeträge in Dollar bei gerichtlichen Vergleichen zu zahlen und für weitere Kosten aufzukommen, nachdem Cyberkriminelle die Netzwerk-Zugangsdaten eines Klimaanlagenherstellers genutzt hatten, um die persönlichen Daten von etlichen Millionen Kredit- und Debitkarteninhabern zu stehlen.

Mitunter ist es für Leiter von Versorgungsunternehmen und für Sicherheitsexperten schwierig festzustellen, wo sie anfangen sollen. Internationale Normen und die Konformitätsbewertung sorgen für Rahmenbedingungen basierend auf Best Practices und den übereinstimmenden Meinungen von führenden Experten auf der ganzen Welt. Es ist jedoch überaus wichtig, die richtigen auszuwählen, um die Risiken zu minimieren.

IT-Systeme, wie sie in Regierungsbehörden oder in Unternehmenszentralen eingesetzt werden, erfordern beispielsweise unterschiedliche Lösungen für cyber-physische Systeme wie etwa das Stromnetz, bei dem operative Technologien (OT) verwendet werden.


Weltkugel mit Begriffen Hacked, Attack
peshkov / stock.adobe.com

KRITIS: Die hohe Bedeutung der Sicherung von Stromversorgungsnetzen durch die Konstruktion

Die Energieversorgung ist ein zentraler Bereich Kritischer Infrastrukturen (KRITIS).

Angriffe von außen können zu erheblichen Problemen und Schäden für die Bevölkerung führen.

International unterstützt die IEC-Normenreihe 62351 eine konstruktionsbedingt sichere Kommunikation für Elektrizitätsversorgungssysteme.

Fachbeitrag lesen

Information Technology (IT) versus Operational Technoloy (OT)

Schutzziele bei IT und OT

Schutzziele bei IT und OT

| VDE DKE

Durch das Wachstum des industriellen Internet der Dinge (IIoT) wurde die Annäherung der einst getrennten Bereiche von IT und OT beschleunigt.

Das intelligente Netz ist mit einer Reihe von Sensoren und Monitoren verbunden, die Daten erfassen, analysieren und mit anderen Geräten und Systemen austauschen, um die Leistung, Qualität und Konsistenz zu verbessern. Die Steigerung der Effizienz hat jedoch ihren Preis, da durch eine bessere Konnektivität auch eine größere Angriffsfläche für Bedrohungsakteure geschaffen wird. Die durch die Coronavirus-Pandemie verstärkte Arbeit im Homeoffice macht die Situation noch komplizierter, indem die Cyberkriminellen noch mehr Anfälligkeiten und Schwachstellen ausnutzen können, beispielsweise ungeschützte oder unzureichend geschützte Heimnetzwerke.

Die IT-Sicherheit konzentriert sich gleichermaßen auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Für OT hat hingegen die Verfügbarkeit oberste Priorität. Cyber-physische Systeme müssen laufen können, auch wenn damit möglicherweise ein Datenverlust verbunden ist. Das Abschalten – bei IT-Systemen oftmals die erste Abwehrmaßnahme – ist für OT keine Option und kann im schlimmsten Fall die Sicherheit des Personals gefährden oder katastrophale Schäden für die Umwelt verursachen.

In der cyber-physischen Welt ist alles auf die physische Bewegung und Steuerung von Geräten und Prozessen ausgerichtet, um den ordnungsgemäßen Betrieb von Systemen zu gewährleisten, wobei die Sicherheit und eine erhöhte Effizienz im Mittelpunkt stehen. OT sorgt beispielsweise dafür, dass ein Generator bei erhöhtem Strombedarf eingeschaltet wird oder dass sich ein Überströmventil öffnet, wenn ein Chemikalienbehälter voll ist, um ein Austreten von Gefahrstoffen zu verhindern.


Newsletter in Tablet liegt auf einer Tastatur
Coloures-Pic / stock.adobe.com

Mit dem DKE Newsletter sind Sie immer am Puls der Zeit!

In unserem monatlich erscheinenden Newsletter ...

  • fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
  • berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
  • informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen
Ich möchte den DKE Newsletter erhalten!

Schutz der IT-Versorgungsketten

Regierungsbehörden und die meisten Privatunternehmen können sich selbst schützen, indem sie ein Managementsystem für Informationssicherheit (ISMS) implementieren, wie in der Norm ISO/IEC 27001 beschrieben.

Diese Norm definiert einen auf dem Cyber-Risikomanagement basierenden Ansatz für das Mitarbeiter-, Prozess-, Service- und Technologiemanagement. Eine weitere Norm in der Reihe ISO/IEC 27000, die vierteilige Publikation ISO/IEC 27036, bietet Richtlinien zur Informationssicherheit für Beziehungen mit Dritten.

Die Anwendung der internationalen Norm ISO/IEC 27001 unterstützt Unternehmen dabei, ihre Informationssicherheitsrisiken – einschließlich Bedrohungen, Schwachstellen und Auswirkungen – effektiv zu steuern. Es wird ihnen gezeigt, wie man Kontrollmaßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und zur Regulierung des Zugangs zu kritischen Informationssystemen und Netzwerken festlegt.

Darüber hinaus ist ISO/IEC 27001 nun Bestandteil des genehmigten Prozessschemas, das für die unabhängige Bewertung und Ausgabe einer internationalen IECQ-Konformitätsbescheinigung für Unternehmen sorgt, die sich an die entsprechenden Publikationen halten. Die IECQ-Bewertungen von ISMS-Anlagen im Rahmen des IECQ-AP-Schemas stellen sicher, dass ein Schwerpunkt auf den wichtigsten technischen und administrativen Elementen liegt, die das Vertrauen stärken, dass die Anforderungen von ISO/IEC 27001 erfüllt wurden.

Schutz der OT-Versorgungsketten

Norm IEC 62443

Norm IEC 62443

| VDE DKE

Die internationale Norm IEC 62443 ist darauf ausgelegt, cyber-physische Systeme am Laufen zu halten. Sie kann auf jede industrielle Umgebung angewendet werden, unter anderem auch auf Organisationen aus dem Bereich der Kritischen Infrastrukturen (KRITIS), zum Beispiel Energieversorgungsunternehmen oder Kernkraftwerke sowie im Gesundheits- und Transportsektor.

Zusammen können IEC 62443-2-4, IEC 62443-3-3, IEC 62443-4-1 und IEC 62443-4-2 eine effektive Lösung für industrielle Versorgungsketten bieten, insbesondere in der Kombination mit dem IECEE-Konformitätsbewertungssystem.

Im Rahmen des Cybersecurity-Programms des IEC-Systems für Konformitätsbewertungssysteme elektrotechnischer Betriebsmittel und Komponenten wird Cybersecurity im Bereich der industriellen Automatisierung geprüft und zertifiziert.


Roboterarmmaschine der schweren Automatisierung in der intelligenten Fabrik industriell, Industrie 4.0-Konzeptbild
Pugun & Photo Studio / stock.adobe.com

IEC 62443: Die internationale Normenreihe für Cybersecurity in der Industrieautomatisierung

Die internationale Normenreihe IEC 62443 befasst sich mit der Cybersecurity von „Industrial Automation and Control Systems" (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.

Mehr erfahren

End-to-End-Sicherheit

Die Verringerung von externen Risiken bedeutet, dass ein Geschäftsprozess von den eingehenden bis hin zu den abgehenden Versorgungsketten geschützt wird, um Beeinträchtigungen zu vermeiden und das Risiko, einschließlich des finanziellen Risikos, zu steuern. In der abschließenden Analyse gibt es jedoch keine nachhaltige Möglichkeit, alle Ressourcen zu jeder Zeit zu schützen.

Unternehmen müssen unabhängig davon, ob sie IT- oder OT-Technologien nutzen, den Schutz ihrer kritischen Ressourcen gewährleisten können, denn sonst können sie nicht funktionieren. Die Sicherstellung des Schutzes dieser Ressourcen ist der beste Weg zu mehr Widerstandsfähigkeit gegen Cyberangriffe. Das wird in internationalen Normen als „risikobasierter Ansatz“ bei Cybersecurity bezeichnet.


Interessiert an weiteren Inhalten zu Industry?

Fokusbild Inudstry

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im

DKE Arbeitsfeld Industry

Relevante News und Hinweise zu Normen