Internet of Things Security mit Manhatten Skyline
Tierney / stock.adobe.com
11.03.2019 Fachinformation 262 0

Herausforderungen der IT-Sicherheit in einer vernetzten Welt

Warum IT-Sicherheitsmaßnahmen Personal, Prozesse und Technologien betreffen muss.

IEC-Logo

Von Michael A. Mullane

Das Wachstum vernetzter Geräte hat die Konvergenz der zuvor getrennten Bereiche der Informationstechnologie (IT) und der Operational Technology (OT) zum industriellen IOT (IIOT) beschleunigt.

IT und OT ergänzen sich immer stärker, sie sind aber auch sehr unterschiedlich. IT besteht in der virtuellen Welt, in der Daten gespeichert, abgerufen, übertragen und manipuliert werden. Im Gegensatz dazu bezieht sich OT auf die physische Welt und befasst sich mit Prozessen in Echtzeit. Während bei der IT jede Schicht des Systems geschützt werden muss, geht es bei OT darum, die Kontrolle über Systeme zu behalten: ein-aus, geschlossen-offen und so weiter. Bei IT geht es um Vertraulichkeit, bei OT hingegen um Verfügbarkeit.

Kontakt

Jessica Fritz
Zuständiges Gremium

All das hat dazu geführt, dass Cybersicherheitsverletzungen und -bedrohungen schwieriger zu erkennen und zu verhindern sind. Gleichzeitig machen es Tools wie die IoT-Suchmaschine Shodan den Hackern leichter, anfällige Geräte in einem Netzwerk zu identifizieren – ob es sich nun um Kühlschränke, Heizungssysteme oder IoT-fähige Garagentore handelt. Tatsache ist, dass ein an das Netzwerk angeschlossenes Gerät mit schwacher Sicherheit ein Risiko für die gesamte Organisation darstellt.

Nur so stark wie das schwächste Glied

Malware bietet Hackern einen noch schnelleren Weg in ein Netzwerk, wenn ihre Opfer dazu gebracht werden können, infizierte Dokumente zu öffnen. Geheime Dokumente, die 2017 an die Öffentlichkeit gelangten, zeigten, dass CIA-Agenten regelmäßig Malware nutzen, um vernetzte TV-Geräte in Abhörgeräte zu verwandeln. Zu der Malware, die derzeit Unternehmen und Verbraucher zugleich bedroht, zählen VPN-Filter-Malware, Banking-Trojaner und Ransomware. Und sie entwickelt sich auch noch weiter: Spear-Phishing zielt beispielsweise auf bestimmte Einzelpersonen oder Unternehmen ab – im Gegenteil zum willkürlichen, nicht gezielten Ansatz des herkömmlichen Phishing.

Das Ziel jeder IT-Sicherheitsstrategie besteht darin, so viele Assets wie möglich zu schützen; insbesondere natürlich die wichtigsten Assets. Da es nicht umsetzbar, vernünftig oder gar effizient ist, zu versuchen, alles im gleichen Maße schützen zu wollen, ist es wichtig, zu ermitteln, was wertvoll ist und den meisten Schutz benötigt. Im nächsten Schritt müssen die Schwachstellen ermittelt und priorisiert werden, um ein Konzept der gestaffelten Verteidigung zu erstellen, mit dem die Betriebskontinuität sichergestellt wird.

Widerstandsfähigkeit wird nicht einfach durch Installation sicherer Technologien erreicht. Im Wesentlichen müssen die Risiken verstanden und verringert werden, um den richtigen Schutz an den richtigen Stellen des Systems zu implementieren. Es ist von entscheidender Bedeutung, dass dieser Prozess sehr eng an den Organisationszielen ausgerichtet ist, da Entscheidungen zur Risikoverringerung erhebliche Auswirkungen auf die Betriebsabläufe haben können. Idealerweise sollte er auf einem Systemansatz basieren, der betroffene Parteien aus der gesamten Organisation umfasst.

Konzept der gestaffelten Verteidigung

Ein Kerngedanke des Konzepts der gestaffelten Verteidigung ist, dass Sicherheit ein abgestimmtes Maßnahmenpaket erfordert. Für den Umgang mit den Risiken und Folgen eines Cyberangriffs sind vier Schritte unverzichtbar:

  1. Verständnis des Systems – was wertvoll ist und den meisten Schutz benötigt
  2. Kenntnisse zu den bekannten Bedrohungen mittels Bedrohungssimulation und Risikobeurteilung
  3. Auseinandersetzung mit den Risiken und Implementierung von Schutzmaßnahmen mithilfe internationaler Normen auf Grundlage globaler Best Practices
  4. Anwendung einer angemessenen Konformitätsbewertung – Prüfungen und Zertifizierung – in Abhängigkeit von den Anforderungen

Das Einmaleins der IT-Sicherheit

Dies ist das Einmaleins der IT-Sicherheit:

  1. für die Bewertung
  2. für Best Practices für die Auseinandersetzung mit dem Risiko
  3. für die Konformitätsbewertung zur Überwachung und Instandhaltung

Ein risikobasierter Systemansatz stärkt das Vertrauen der betroffenen Parteien, denn dadurch wird nicht nur der Nutzen von auf Best Practices basierenden Sicherheitsmaßnahmen nachgewiesen, sondern auch gezeigt, dass die jeweilige Organisation diese Maßnahmen auf effiziente und wirksame Weise umgesetzt hat. Das heißt, eine Kombination aus den richtigen Standards mit der richtigen Konformitätsbewertung statt beides als separate Bereiche zu behandeln.

Das Ziel der Konformitätsbewertung ist die Bewertung der Komponenten des Systems, der Kompetenzen der Personen, die es entwickeln, bedienen und instand halten, und der Prozesse und Verfahren, die zu dessen Ausführung eingesetzt werden. Das kann bedeuten, dass verschiedene Arten von Konformitätsbewertung eingesetzt werden – von der Selbstbewertung von Unternehmen bis zum Verlassen auf die Erklärungen der Zulieferer oder unabhängige Bewertungen und Prüfungen durch Dritte – je nachdem, was für das entsprechende Risikoniveau am geeignetsten erscheint.

In einer Welt, in der Bedrohungen aus dem Internet immer häufiger vorkommen, ist es ein bewährter und höchsteffektiver Ansatz, bestimmte internationale Normen mit einem speziellen und weltweiten Zertifizierungsprogramm zu kombinieren, um langfristige Widerstandsfähigkeit gegen Cyberangriffe zu erreichen.

Horizontale und vertikale Normen

Die stärksten Schutzmaßnahmen basieren sowohl auf „horizontalen“ als auch auf „vertikalen“ Normen. Horizontale Normen sind allgemein und flexibel, über einen weiten Bereich hinweg anwendbar und decken grundlegende Prinzipien, Konzepte, Definitionen, Terminologien und ähnliche allgemeine Informationen ab. Vertikale Standards befassen sich im Gegensatz dazu mit anwendungsspezifischen Bereichen.

Es gibt zwei deutliche Beispiele für horizontale Normen:

  • Die Normenfamilie ISO/IEC 27000 trägt zum reinen Schutz von Informationssystemen (IT) bei und sorgt für einen freien Datenfluss in der virtuellen Welt. Sie bietet ein effektives Rahmenwerk für den Vergleich mit Best Practices der Implementierung, Instandhaltung und kontinuierlichen Verbesserung von Kontrollen.
  • IEC 62443, die zweite horizontale Normenreihe, soll OT-Systeme in der physischen Welt am Laufen halten. Sie kann auf jede industrielle Umgebung, darunter kritische Infrastruktureinrichtungen wie Energieversorgungsunternehmen oder Kernkraftwerke, sowie im Gesundheits- und Transportsektor angewendet werden.

Vertikale Normen ergänzen die horizontalen Normen und sind auf die Anforderungen spezifischer Sektoren zugeschnitten. Vertikale Normen erfüllen zum Beispiel die besonderen Sicherheitsanforderungen im Nuklearbereich, in industriellen Kommunikationsnetzen, der industriellen Automatisierung und der Schifffahrtsindustrie.

Prüfung und Zertifizierung

Im Rahmen des IT-Sicherheitsprogramms für die Industrie der IECEE – das IEC-System für Konformitätsbewertungssysteme elektrotechnischer Betriebsmittel und Komponenten – wird die IT-Sicherheit im Bereich der industriellen Automatisierung geprüft und zertifiziert. Das IECEE-Konformitätsbewertungssystem umfasst ein Programm zur Zertifizierung nach Standards der Normenreihe IEC 62443.

IT-Sicherheit ist ein wesentlicher Strategieschwerpunkt des IEC Standardization Management Board (SMB) und des IEC Conformity Assessment Board (CAB). Sie verfolgen bei ihren Koordinierungstätigkeiten einen Systemansatz, indem sie alle IEC-Interessengruppen mit einbeziehen. Das SMB hat das Advisory Committee on Security (ACSEC) ins Leben gerufen, das sich mit Folgendem befasst:

  • Koordinierungstätigkeiten in Bezug auf Informationssicherheit und Datenschutz
  • Informationssicherheits- und Datenschutzaspekte, die nicht spezifisch mit einem einzelnen IEC Technical Committee verbunden sind
  • Richtlinien für technische Komitees/Unterkomitees (TCs/SCs) zur Implementierung von Informationssicherheit und Datenschutz im Allgemeinen und für bestimmte Bereiche

Das IEC CAB arbeitet zusammen mit der Wirtschaftskommission für Europa der Vereinten Nationen (UNECE) an der Erstellung von Richtlinien für gemeinsame Regelungsziele zur IT-Sicherheit der Vereinten Nationen, in denen ein allgemeiner Prozess beschrieben wird, der die vier oben genannten wesentlichen Schritte umfasst. Ein weiterer Schwerpunkt ist der oft nicht berücksichtigte Ansatz einer angemessenen Konformitätsbewertung.

Ein ganzheitlicher Ansatz für die IT-Sicherheit

Die beste Vorbereitung auf all diese Herausforderungen ist die Umsetzung einer ganzheitlichen Strategie, die Best Practices mit Prüfungen und Zertifizierung vereint. Ganzheitlich bedeutet, dass der Ansatz nicht nur Systeme und Prozesse betrifft, sondern auch Personen. Die Zahl der Phishing-Angriffe steigt genau darum, weil Personen relativ einfache Ziele abgeben.

Interessiert an IT-Security?

Fokusbild Cybersecurity

Die Informationssicherheit ist ein Prozess, der sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstreckt. Auch innerhalb der DKE wird das Thema interdisziplinär bearbeitet. Ein Hauptziel aus Normungssicht ist dabei, Informationssicherheit als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren. Weitere Inhalte zu diesem Fachgebiet finden Sie auf unserer

DKE-Themenseite IT-Security

Internationale Zusammenarbeit in der elektrotechnischen Normung