Von Mike Mullane
In den vergangenen Monaten zeigte eine Reihe von internationalen Studien und Berichten eine alarmierende Zunahme von Cyberangriffen auf Lieferketten auf. Eine dieser Studien, die in Amerika, Asien und Europa durchgeführt wurde, ergab, dass im vergangenen Jahr zwei Drittel der Unternehmen einen Cyberangriff auf ihre Lieferkette erlebt haben.
Allgemein betrachtet ist eine Lieferkette der Weg, den Produkte und Dienstleistungen vom Anbieter zum Kunden zurücklegen. Dieses System umfasst Unternehmen, Menschen, Aktivitäten, Informationen und Ressourcen. Lieferketten sind unter anderem aufgrund ihres komplexen Zusammenspiels von Anlagenbetrieben, Angestellten, Kunden und Verladern gefährdet. Es kann schwierig sein, alle Sicherheitsverfahren, die entlang dieser Kette eingesetzt werden, zu kennen oder gar zu kontrollieren.
Ein weiteres Problem, welches in einem Bericht des US-Verteidigungsministerium dargelegt wurde, ist der zu starke Fokus der Fertigungsindustrie auf Cloud Services, Datenverwaltung und andere Arten der Informationstechnologie (IT), wobei die Sicherheit der Lieferkette außer Acht gelassen wird, welche hauptsächlich auf Operational Technology (OT) basiert. Die Hauptsorge des Pentagon gilt selbstverständlich der amerikanischen Verteidigungsindustrie, doch die im Bericht behandelten Probleme gelten für alle Industriebranchen und kritischen Infrastrukturen weltweit.
Der Knackpunkt dieses in der 146-seitigen Publikation beschriebenen Problems ist, dass Cybersicherheitsprogramme oft zu stark IT-basiert sind. In Wirklichkeit bedeuten die operativen Einschränkungen in Industriebranchen wie der Fertigung sowie in anderen Bereichen wie Energie, Gesundheitswesen und Transport, dass der im Bereich der Cybersicherheit angewandte Ansatz auch den Schutz der OT gewährleisten muss.
Der Schwerpunkt der IT liegt auf den Daten und deren Vermögen, frei und sicher zu fließen. Sie existiert in der virtuellen Welt, in der Daten gespeichert, abgerufen, übertragen und manipuliert werden. Die IT ist fließend und verfügt über viele bewegliche Komponenten und Gateways, was sie sehr anfällig macht und eine große Basis für eine Vielzahl an sich stets weiterentwickelnden Angriffen bietet. Bei der Abwehr von Angriffen geht es um den Schutz jeder einzelnen Ebene sowie um die kontinuierliche Identifizierung und Korrektur von Schwachstellen, um den Datenfluss nicht zu beeinträchtigen.
OT dagegen gehört zur physischen Welt. Während die IT jede Ebene des Systems schützen muss, geht es bei der OT darum, die Kontrolle über die Systeme zu behalten: Ein oder Aus, Geschlossen oder Offen. OT stellt die korrekte Ausführung aller Aktionen sicher. Alles in der OT ist auf die physische Bewegung und Steuerung von Geräten und Prozessen ausgerichtet, damit die Systeme wie vorgesehen arbeiten, mit dem Hauptaugenmerk auf der Sicherheit und Effizienzsteigerung. So trägt die OT beispielsweise dazu bei, dass ein Generator bei steigendem Strombedarf eingeschaltet wird, oder dass sich ein Überströmventil öffnet, wenn ein Chemikalientank voll ist, um das Auslaufen gefährlicher Substanzen zu vermeiden.
In der Vergangenheit spielten IT und OT getrennte Rollen. OT-Teams waren die Arbeit mit geschlossenen Systemen gewohnt, die zur Gewährleistung der Integrität stark angewiesen waren. Mit dem Aufkommen des industriellen Internet der Dinge (en: Industrial Internet of Things, IIoT) und der Integration physikalischer Maschinen mit vernetzten Sensoren und Software verschwimmen die Grenzen zwischen beidem. Da immer mehr Objekte miteinander verbunden sind, kommunizieren und interagieren, ist die Anzahl der Endpunkte und der Möglichkeiten für Cyber-Kriminelle, sich Zugang zu Netzwerken und Infrastruktursystemen zu verschaffen, stark gestiegen.
Dies führt uns zurück zu den Lieferketten, bei denen es als wahrscheinlich erscheint, dass hier die überwiegende Mehrheit aller Cyber-Verstöße ihren Ursprung hat. Auch hier bestehen wichtige Unterschiede zwischen IT und OT.
Laut Definition besteht die IT-Lieferkette aus „einer Gruppe von Unternehmen mit verknüpften Ressourcen und Prozessen, von denen jede als Käufer, Anbieter oder beides fungiert, um fortlaufende Lieferantenbeziehungen zu bilden, begründet auf der Bestellung einer Ware, eines Vertrags oder einer anderen formalen Beschaffungsvereinbarung“.
Eine Definition der Lieferkette für Smart Manufacturing-Werke würde nicht nur die IT-, sondern auch die OT-Lieferkette umfassen. Dazu gehören Menschen (Entwickler, Lieferanten, Anbieter und Mitarbeiter in der OT) und Prozesse genauso wie Produkte: für die OT wesentliche Komponenten und Systeme, wie industrielle Automatisierungssysteme (en: industrial automation and control systems, IACS) und in zunehmendem Maße auch Elemente des Internets der Dinge (en: Internet of Things, IoT).
Wenn es um den Schutz der Lieferkette geht, ist die Nutzung sicherer Technologien von entscheidender Bedeutung. Veraltete Technologie ist ein akutes Problem, besonders, wenn kompromittierte Geräte zu Gateways für die industrielle Steuerung oder für Supervisory Control and Data Acquisition (SCADA) werden. Forscher nutzten kürzlich eine Faxleitung, um auf Netzwerkgeräte zuzugreifen, die mit einem All-in-One-Drucker verbunden waren.
Sichere Technologie stellt nur einen Teil der Herausforderung dar; alleine wird sie die Resilienz nicht gewährleisten. Der sicherste Ansatz besteht darin, Risiken zu verstehen und zu mindern, um den richtigen Schutz an den entsprechenden Stellen im System anzuwenden. Dies gilt sowohl für die IT als auch für OT.
Es ist notwendig, dass dieser Prozess sehr gut auf die Unternehmensziele abgestimmt ist, denn Minderungsentscheidungen können gravierende Auswirkungen auf den Betrieb haben. Idealerweise sollte der Prozess auf einem Systemansatz basieren, an dem Interessenvertreter aus allen Bereichen des Unternehmens beteiligt sind.
Sobald ein Unternehmen das System verstanden und festgestellt hat, was am wertvollsten ist und den größten Schutz benötigt, sind drei Schritte erforderlich, um mit den Risiken und Folgen eines Cyberangriffs umzugehen:
Ein risikobasierter Systemansatz stärkt das Vertrauen aller Beteiligten, indem er nicht nur den Einsatz von Best Practices nachweist, sondern auch, dass ein Unternehmen die richtigen Maßnahmen auf wirksame Weise umgesetzt hat.
Die IEC hat viele Normen zum Schutz von industriellen und kritischen Infrastrukturen entwickelt, darunter umfassende Normen, die für viele unterschiedliche Situationen anwendbar sind sowie beispielsweise Sondernormen für Kernkraftwerke oder das Gesundheitswesen. Gleichzeitig arbeitet die IEC auch an der Konformitätsbewertung (en: conformity assessment, CA) und weltweiten Zertifizierungsverfahren im Rahmen von Arbeitsgruppen (en: working groups, WGs), die von ihrem Conformity Assessment Board (CAB) und dem Certification Management Committee (CMC) der IECEE, dem IEC-System für Konformitätsbewertungsverfahren für elektrotechnische Geräte und Bauteile, eingerichtet wurden.
Zusätzlich zur ISO/IEC 27000-Normenreihe für IT-Service Management und der IEC 62443-Normenreihe für industrielle Kommunikationsnetzwerke und IACS, hat eine Gruppe von IEC Technischen Komitees (en: technical committees, TCs) und Unterkomitees (en: subcommittees, SCs) Normen, Technische Spezifikationen (TS) und Anforderungen für bestimmte Bereiche entwickelt.
IEC CAB hat die WG 17 gegründet, um die Marktbedürfnisse sowie einen Zeitrahmen für CA-Dienste (weltweite Zertifizierungssysteme, en: Global Certification Schemes) für Produkte, Dienstleistungen, Personal und integrierte Systeme im Bereich der Cybersicherheit zu untersuchen. Jedoch schließt sie den Anwendungsbereich der industriellen Automatisierung aus, der unter die IECEE CMC WG 31 fällt. CAB WG 17 kommuniziert ebenfalls mit anderen Industriebereichen über den generischen Ansatz bezüglich Cybersicherheit, der von IECEE CMC WG 31 angegangen wird, und wie dieser auch in anderen Bereichen gelten könnte.
Die Hauptaufgabe der IECEE CMC WG 31 besteht darin, einen „einzigartigen Ansatz für CA zur IEC 62443-Normenreihe“ zu entwickeln. Zu diesem Zweck hat sie OD-2061, ein im Juni 2018 veröffentlichter Beschlussleitfaden, erstellt, in dem beschrieben wird, wie die Konformitätsbewertung behandelt und auf bestimmte Normen der IEC 62443-Normenreihe angewendet werden kann.
OD-2061 erklärt auch, unter welchen Bedingungen IECEE Cyber Certificates of Conformity – Industrial Cyber Security Capability – geliefert werden kann. Sie sind nur gültig, wenn sie „von einem zugelassenen Prüflabor der Zertifizierungsstelle (CB) unterzeichnet und einem von einem nationalen CB (NCB) ausgestellten Zertifikat beigefügt sind“.
Derzeit sind diese Zertifikate für die folgenden Bewertungen definiert, die jeweils für eine oder mehrere Normen der IEC 62443-Normenreihe gelten:
Zusammen mit den cyberbezogenen IEC-Sicherheitsnormen sollte die jüngste Einführung umfassender CA-Zertifizierungssysteme sicherstellen, dass Systeme, die auf industrielle Kommunikationsnetzwerke und IACS – einschließlich Lieferketten – angewiesen sind, besser gegen Cyberbedrohungen geschützt sind.
Redaktioneller Hinweis:
Der englischsprachige Originalartikel erschien erstmals im IEC-Newsletter Ausgabe 06/2018.
Zu finden unter: https://iecetech.org/issue/2018-06/Protecting-supply-chains-against-cyber-attacks
Die im Text aufgeführten Normen können Sie im VDE VERLAG erwerben.
Cybersecurity ist ein Prozess, der sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstreckt. Auch innerhalb der DKE wird das Thema interdisziplinär bearbeitet. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren. Weitere Inhalte zu diesem Fachgebiet finden Sie auf unserer
