Mann berührt Sperrschlüsselikone auf virtuellem Bildschirm
wladimir1804 / stock.adobe.com
06.08.2018 Fachinformation 326 0

Ein Ansatz mit Netz und doppeltem Boden für die Cybersicherheit

Eine ganzheitliche Strategie, die beste Praktiken mit Prüfungen und Zertifizierungen kombiniert, ist der beste Weg zu mehr Widerstandsfähigkeit gegen Cyberangriffe.

IEC-Logo

Von Mike Mullane

Wenn wir sagen, etwas sei mit Netz und doppeltem Boden ausgestattet, bedeutet das, dass wir in dieser Sache besonders vorsichtig vorgehen. Diese Redensart beinhaltet die Vorstellung, dass ein fallender Zirkusartist in jedem Fall aufgefangen wird, selbst wenn das erste Sicherheitsnetz reißt.

Wenn wir also einen Ansatz mit Netz und doppeltem Boden verfolgen, könnte man meinen, dass wir übervorsichtig handeln, doch in Bezug auf Cybersicherheit kann man gar nicht vorsichtig genug sein. Laut einem aktuellen Bericht entstand einer erschütternden Zahl von 978 Millionen Opfern im Jahr 2017 durch Cyberkriminalität ein Schaden in Höhe von sage und schreibe 172 Milliarden USD.

Kontakt

Andreas Harner

Die Cybersicherheit ist sich permanent verändernden Herausforderungen in Anbetracht einer zunehmenden Zahl verbundener Geräte und intelligenter Technologien ausgesetzt, die wir zuhause und an unserem Arbeitsplatz nutzen. Während vor zehn Jahren noch der Schutz unserer Computer und Smartphones im Mittelpunkt stand, machen wir uns heute eher Gedanken um die Risiken, die Kühlschränke, Thermostate und andere Systeme für die Netzwerksicherheit im Internet der Dinge (IoT) darstellen.

Gleichzeitig ist die Zahl der Cyberangriffe auf Systeme, Einrichtungen, Technologien, Netzwerke und Anlagen sowie Gesundheits-, Sicherheits- und Finanzdienstleistungen in alarmierender Weise gestiegen. Angriffe auf kritische Infrastrukturen haben Stromausfälle verursacht, sensible Daten gefährdet und uns an Schreckensszenarien mit Betriebstechnologie-Umgebungen wie Wasserversorgungssystemen, petrochemischen Anlagen, Kernkraftwerken und Transportinfrastruktur-Systemen denken lassen.

Als Reaktion auf die zunehmende Bedrohung haben viele Organisationen ihre Cybersicherheits-Strategien auf der Einhaltung verbindlicher Regelungen und Verordnungen aufgebaut. Internationale IEC- und ISO-Normen werden von Ländern immer häufiger übernommen – auf regionaler und nationaler Ebene, vollständig und ohne Änderungen oder auch nur teilweise, mit ergänzenden Anforderungen in nationalen Normen. Dadurch kann die Sicherheit verbessert werden, aber die Anforderungen einzelner Organisation werden so nicht umfassend erfüllt.

Ein risikobasierter Sicherheitsansatz ist da effektiver, insbesondere wenn er auf einer Bewertung bestehender oder potenzieller interner Schwachstellen und erkannter oder möglicher externer Bedrohungen beruht. Im Idealfall ist dies Bestandsteil eines ganzheitlichen Ansatzes mit Netz und doppeltem Boden, der Normen mit Prüfungen und Zertifizierungen (Konformitätsbewertung) kombiniert, statt diese Aspekte getrennt voneinander zu betrachten.

Ein solcher Ansatz stärkt das Vertrauen der beteiligten Parteien, denn dadurch wird nicht nur der Nutzen von auf besten Praktiken basierenden Sicherheitsmaßnahmen nachgewiesen, sondern auch gezeigt, dass die jeweilige Organisation diese Maßnahmen auf effiziente und wirksame Weise umgesetzt hat. Bei einem Systemansatz werden Risiken priorisiert und auf ein annehmbares Niveau reduziert; hierfür ist ein neutraler Ansatz erforderlich, der je nach Risikoniveau verschiedene Arten der Konformitätsbewertung, von der Selbstbewertung bis hin zur Überprüfung durch dritte Parteien, umfasst.

Horizontale Normen

Die wirksamsten Schutzmaßnahmen basieren sowohl auf „horizontale“ als auch auf „vertikale“ Normen. Horizontale Normen sind allgemein und flexibel, vertikale Normen zielen auf spezifische Anforderungen ab. Es gibt zwei deutliche Beispiele.

Die Normenfamilie ISO/IEC 27000 trägt zum reinen Schutz von Informationssystemen (IT) bei und sorgt für einen freien Datenfluss in der virtuellen Welt. Sie bietet ein effektives Rahmenwerk für den Vergleich mit besten Praktiken der Implementierung, Instandhaltung und kontinuierlichen Verbesserung von Kontrollen.

IEC 62443, die zweite horizontale Normenreihe, soll Betriebstechnologie-Systeme in der physischen Welt am Laufen halten. Sie kann auf jede industrielle Umgebung, darunter kritische Infrastruktureinrichtungen wie Energieversorgungsunternehmen oder Kernkraftwerkes, sowie im Gesundheits- und Transportsektor angewendet werden. IECEE, das IEC System of Conformity Assessment Schemes for Electrotechnical Equipment and Components (IEC-System für Konformitätsbewertungsprogramm für elektrotechnische Ausrüstung und elektrotechnische Bauteile) hat weltweite Zertifizierungsdienstleistungen auf Grundlage der IEC 62443-Normenreihe geschaffen.

Vertikale Normen

Vertikale Normen ergänzen die horizontalen und sind auf die Anforderungen spezifischer Sektoren zugeschnitten. Vertikale Normen erfüllen unter anderem die besonderen Sicherheitsanforderungen im Nuklearbereich, in industriellen Kommunikationsnetzen, der industriellen Automatisierung und der Schifffahrtsindustrie. IEC Subcommittee (SC) 45A: „Instrumentation, control and electrical systems of nuclear facilities” entwickelt beispielsweise spezifische Normen für Kernkraftwerke durch die Anpassung der Normen ISO/IEC 27001 und ISO/IEC 27002 an den nuklearen Kontext und die Koordination mit der IEC 62443-Normenreihe.

Das SC 45A hat die Norm IEC 62645, Nuclear power plants — Instrumentation and control [I&C] systems — Requirements for security programmes for computer-based systems, entwickelt, um mikroprozessorbasierte Informations- und Steuerungssysteme zu schützen. Eine weitere Norm, IEC 62859, Nuclear power plants — Instrumentation and control systems — Requirements for coordinating safety and cyber security, bietet ein Rahmenwerk für die Steuerung der Interaktionen zwischen Sicherheit und Cybersicherheit.

Schutz kritischer Infrastrukturen

Verschiedene andere technische IEC-Komitees (TC) und SC erstellen internationale Normen, die bestimmte Bereiche schützen und die Sicherheit von Industrie- und kritischen Infrastrukturanlagen unterstützen. Nachfolgend finden Sie eine Auswahl:

IEC TC 57: „Power systems management and associated information exchange” entwickelt unter anderem die Reihe der IEC 61850-Publikationen für Kommunikationsnetzwerke und Systeme für die Automation von Elektrizitätsnetzwerken und die IEC 60870-Normenreihe für Fernsteuerungseinrichtungen und -systeme.

IEC TC 65: “Industrial-process measurement, control and automation" erstellt Publikationen, die Sicherheitsanforderungen für industrielle Automatisierungs- und Steuerungssysteme (IACS) in der IEC 62443-Normenreihe spezifizieren.

IEC TC 80: „Maritime navigation and radiocommunication equipment and systems” hat IEC 61162-450:2016 entwickelt. Gleichzeitig hat das TC 80 die Norm IEC 61162-460:2018 entwickelt, um die Anforderungen im Fall erforderlicher erhöhter Schutz- und Sicherheitsnormen zu erweitern.

Prüfung und Zertifizierung

Mit dem IECEE bietet die IEC als weltweit einzige Organisation eine internationale und standardisierte Form der Prüfung und Zertifizierung für Cybersicherheit an.

Im Rahmen des IECEE Industrial Cyber Security Programme (Cybersicherheitsprogramm für die Industrie) wird die Cybersicherheit im Bereich der industriellen Automatisierung gemäß IEC 62443-Normenreihe geprüft und zertifiziert.

Immer mehr Organisationen nutzen Zertifizierungsprüfungen durch dritte Parteien, um sicherzustellen, dass sie über ein solides Informationssicherheits-Managementsystem verfügen, das der ISO/IEC 27001 entspricht. ISO/IEC 27006 legt fest, welche Anforderungen Zertifizierungs- und Registrierungsorgane erfüllen müssen, um ISO/IEC 27001-Zertifizierungsdienstleistungen anbieten zu können.

Ein sicherer Rahmen

Die IEC bietet ein Rahmenwerk, das mehrere Normen für verschiedene IoT- und Betriebstechnologien umfasst. Mehr als 200 Cybersicherheitsnormen ermöglichen Organisationen eine erhöhte Widerstandsfähigkeit und Robustheit gegen eine sich schnell weiterentwickelnde Bedrohung.

Das Rahmenwerk bezieht sowohl horizontale Normen wie ISO/IEC 27000 oder IEC 62443 als auch für spezifische Sektoren verfasste vertikale Normen mit ein. Es handelt sich hierbei um einen systembasierten Ansatz, der berücksichtigt, dass äußere und innere Faktoren interagieren und in einem Wirkungszusammenhang stehen, und der auf dem Kerngedanken beruht, dass einzelne Normen nur dann wirklich effektiv sind, wenn sie Teil einer ganzheitlichen Strategie sind.

Bei einem systembasierten Ansatz geht es um Nachhaltigkeit, einem wesentlichen Aspekt jeder Cyberabwehrstrategie. Nur mit einer genauen Risikobewertung kann die richtige Balance zwischen Schutzniveau und Prüfungen auf der einen und den Kosten auf der anderen Seite gelingen.

Interessiert an IT-Security?

Schloss vor Datenverkehr zum Symbolisieren von IT-Sicherheit
Sergey Nivens / Fotolia

Die Informationssicherheit ist ein Prozess, der sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstreckt. Auch innerhalb der DKE wird das Thema interdisziplinär bearbeitet. Ein Hauptziel ist dabei, Informationssicherheit als Innovationsthema zu verstehen und in den relevanten Bereichen zu adressieren.

Weitere Inhalte zu diesem Fachgebiet finden Sie auf unserer

DKE-Themenseite IT-Security

Internationale Zusammenarbeit