Fokusbild Cybersecurity
Sichere und innovative Informationssysteme
Normungsveranstaltungen
Mehr erfahren

Ansprechpartner Cybersecurity

Andreas Harner
Tel.: +49 69 6308-392
E-Mail: andreas.harner@vde.com

DKE  Deutsche Kommission Elektrotechnik Elektronik Informationstechnik
Merianstraße 28
63069 Offenbach am Main
Tel.: +49 69 6308-0
Fax: +49 69 6308-9863
E-Mail: dke@vde.com

DKE-News
Mehr erfahren
Normen kaufen

Hier können Sie Normen und Norm-Entwürfe recherchieren und direkt bestellen:

> VDE Verlag

für elektrotechnische Sicherheitsnormen mit VDE-Klassifikation sowie Fachbücher

> Beuth Verlag

für Normen und Norm-Entwürfe ohne VDE-Klassifikation


Informationen der DKE rund um den Kauf:

> Normen & Standards kaufen


Für Auszubildende, Meisterschüler & Studenten:

> Angebot des VDE Verlags

Normen und Standards für sichere & innovative Informationssysteme

Die Welt von morgen ist vernetzt: Unterschiedlichste Anwendungen und Branchen erfordern eine Infrastruktur, die immer weiter zusammenwächst. Die erforderlichen Kommunikationsschnittstellen sind allerdings häufig nur proprietär – es mangelt dabei an Interoperabilität und Schutzmaßnahmen.

Cyberangriffe auf Unternehmen, Energieversorger und Behörden gehören mittlerweile zum Alltag. Hacker nutzen Schwachstellen im System aus und setzen damit ganze industrielle Anlagen außer Betrieb oder gefährden im schlimmsten Fall sogar die flächendeckende Energieversorgung.

Die DKE bietet eine gemeinsame Expertise aus Industrie, Wissenschaft und Politik. Setzen Sie auf weltweit einheitliche Sicherheitsstandards durch die Anwendung internationaler Normen. Vertrauen Sie auf CERT@VDE – die erste IT-Sicherheitsplattform in Deutschland für Industrieunternehmen.

DKE Arbeitsfeld Cybersecurity

Cybersecurity
DKE

Cybersecurity befasst sich mit der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der IT-Security wird bei Cybersecurity auf den gesamten Cyber-Raum ausgeweitet. Durch eine global zunehmende Digitalisierung und Vernetzung nimmt die Bedeutung von Cybersecurity vor allem in Bereichen wie z. B. der Industrieautomatisierung oder der Energieversorgung deutlich zu.

Innerhalb der DKE wird Cybersecurity interdisziplinär bearbeitet. Ein Hauptziel ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen zu verankern.

Icon bitte beachten

Was ist das Ziel von Normen und Standards im Bereich Cybersecurity?

Icon bitte beachten

Industrie, Energie, Verkehr, privates Umfeld: Die Infrastrukturen wachsen zusammen – und der Enabler für diese revolutionäre Entwicklung ist die Informationstechnik. Aufgrund der vielfältigen Kommunikationsschnittstellen zwischen den verschiedenen Systemen sind eine ganze Reihe von Bedrohungen der Informationssicherheit und des Datenschutzes zu betrachten. Viele der hierfür bereits bestehenden Lösungen sind derzeit noch proprietär, es mangelt an Interoperabilität. Der Bedarf an Normen und Standards ist leicht erkennbar.

Normen und Standards sorgen im Bereich Cybersecurity für die erforderliche Standardisierung von Anforderungen und Umsetzungsvarianten, damit Systeme sicher miteinander interagieren und letztendlich auch branchenübergreifend koordiniert werden können.

Ziel ist es, das allgemeine Sicherheitsniveau in Systemen und Netzwerken der Informationstechnik unternehmensintern und unternehmensübergreifend zu erhöhen, und die Entwicklung zukunftsweisender Technologien zu befördern.

Kontakt
Andreas Harner
Icon Zahnrad

Wo setzen Normen und Standards in diesem Bereich an und wie profitieren wir davon?

Icon Zahnrad

Sicherheitsstandards schaffen beispielweise die Grundlage für die Datensicherheit und den Datenschutz im Smart Grid. Sie sorgen für ein dediziertes Sicherheitsniveau auf technischer, organisatorischer und prozesstechnischer Ebene. Dieses ist unter anderem für Elektrofahrzeuge von hoher Wichtigkeit, da durch deren Kommunikation im Smart Grid Unmengen an Datenströmen entstehen.

Gleiches gilt für die Informationsströme im Smart Home, in dem sämtliche Geräte miteinander vernetzt sind und kommunizieren. Die gestiegene Komplexität des Gesamtsystems hat zu einer großen Angriffsfläche geführt. Im Kontext zunehmender Cyber-Kriminalität ist die hohe Bedeutung der Cybersecurity somit unbestreitbar.

Sichere Identitäten sind der Ausgangspunkt für die Sicherheitskette, die die Datenströme auf Hardware-, Software- und Prozessebene absichert. Normen und Standards sorgen dafür, dass jede Maschine, jedes Stück Hardware eine eigene, unverwechselbare Identität hat, die gleichzeitig den Anforderungen an den Privatsphärenschutz entspricht. Wenn es einem Angreifer gelingt, unberechtigt eine Identität anzunehmen, laufen alle darauf aufbauenden Schutzmaßnahmen – etwa der Zugriffsschutz – ins Leere.

Damit die Usability von Systemen unter all den Sicherheitslösungen nicht leidet, implementieren Normen und Standards außerdem eine Cybersecurity, die Technologien und Anwender vor Gefahren schützt, IT-Systeme dabei aber nutzbar und akzeptabel für den Nutzer lässt.

Relevante News und Hinweise zu Normen


Was bedeutet Cybersecurity für die DKE?

Cybersecurity in der DKE

Cybersecurity in der DKE

| DKE

Cybersecurity befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Security (Information Technology = IT) wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. Das heisst durch die zunehmende Digitalisierung und Vernetzung nimmt die Bedeutung von Cybersecurity in Bereichen wie z. B. der Industrieautomatisierung oder der Energieversorgung deutlich zu.

Innerhalb der DKE wird das Thema Cybersecurity interdisziplinär bearbeitet. Ein Hauptziel ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen zu verankern. Eine große Herausforderung besteht in diesem Kontext, dass bekannte und etablierte Lösungsansätze aus der IT nicht für Anwendungen einer industriellen Umgebung (Operational Technology = OT) 1:1 übertragbar sind. Dort eingesetzte Kleinstcomputer („Embedded Systems“) müssen harte Echtzeitanforderungen erfüllen und den Anforderungen der Funktionalen Sicherheit genügen. Die damit einhergehende Umpriorisierung der Cybersecurity-Schutzziele hat zur Folge, dass die „Verfügbarkeit“ und nicht die „Vertraulichkeit“ höchstes Schutzziel im industriellen Umfeld ist.

Cybersecurity im Kontext von

Industry

Herausforderung: Vernetzung durch Internetprotokoll und Fernzugriff erhöhen Angriffsvektoren

„Industrial Automation and Control Systems“ (IACS) sind mit der IT vernetzt, gehören aber zur Operational Technology (OT). Sie überwachen Hard- und Softwarekomponenten, verarbeiten Sensordaten und steuern die organisatorischen und physikalischen Prozesse für den Betrieb von Produktionsanlagen.

Mittlerweile ersetzen in vielen IACS IP-basierte Protokolle bisher proprietäre Netzwerkprotokolle. Die Konvergenz zwischen IT- und OT-Systemen mittels der IP-Technologie haben die Angriffsvektoren für Cyberkriminelle erhöht. Daten fließen zur Steuerung über das Firmennetzwerk und über externe, häufig mobile Endgeräte bei Kunden, Lieferanten und Produktionsplanern. Das Cybersecurity-Risiko für industrielle Automatisierungssysteme ist so erheblich gestiegen. Ein gezielter Cyberangriff auf IT und OT kann die Integrität und Verfügbarkeit einer Produktionsanlage beschädigen, zu Datenverlust und Produktionsausfällen führen.

Lösungen: IEC 62443 definiert grundlegende Cybersecurity-Maßnahmen und Gefahrenabwehr über den Lebenszyklus

Die Normenreihe IEC 62443 „Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme“ stellt Lösungen für den sicheren Betrieb von IACS bereit. Sie verfolgt einen ganzheitlichen Ansatz und beschreibt sowohl technische als auch prozessorale Aspekte. IEC 62443 adressiert verschiedene Akteure wie Betreiber, Integratoren sowie Hersteller. Sie besteht aus mehreren Normteilen und definiert darin Reifegrad- und Security-Modelle sowie Grundkonzepte für IACS.

„Defense in Depth“ beispielsweise definiert über mehrere Ebenen ähnlich wie bei einer mittelalterlichen Festungsanlage Sicherheitsvorkehrungen über das gesamte System. Ergänzt wird die Normenreihe durch mehrere Technical Specification (TS) und Publicly Available Specification sowie Technical Reports. Sie vertiefen die IEC 62443 mit einem Glossar, Implementierungsanleitungen und beispielsweise Konkretisierungen für die Patch-Verwaltung in IACS-Systemen.

DIN CLC IEC/TR 63069 VDE 0802-69:2021-05 wiederum enthält Leitlinien für die gemeinsame Anwendung der IEC 61508 (Funktionale Sicherheit von Steuerungssystemen) und der IEC 62443 in dem Bereich der industriellen Prozess-Leittechnik, Steuerungs- und Automatisierungstechnik.

Die Normenreihe befindet sich in ständiger Weiterentwicklung durch IEC/TC 65. Das nationale Spiegelgremium in der DKE ist das UK 931.1.

Energy

Herausforderung: Rollenbasierte Zugriffssteuerung für Leit- und Fernwirksysteme

Energie- und Unternehmen der öffentlichen Daseinsvorsorge werden immer wieder Opfer von Cyber-Kriminalität. Der Grund: Mangelndes Know-how über IT-Sicherheit sowie fehlende Sicherheitskonzepte für die Rollenverwaltung und Zugriffsrechtevergabe. Zu viele Berechtigungen können ein Konto zum leichten Angriffsziel machen. Wenn die Berechtigungen nicht ausreichen, können Mitarbeitende nicht effizient arbeiten.

Mit Einführung des IT-Sicherheitsgesetzes zum Schutz kritischer Infrastrukturen im Jahr 2015 wurden Betreiber von Grundversorgungsnetzen (Strom, Gas, Wasser) verpflichtet, ihre Leit- und Fernwirkinfrastruktur gegenüber Cyber-Attacken zu härten. Neben der Soft- und Hardware wurde die Kommunikation, beispielsweise über mobile Endgeräte, als Angriffsziel identifiziert. Die eingesetzten Kommunikationsprotokolle stellten bis dahin keine eigenen Sicherheitsmechanismen bereit, mit denen die Kommunikation hinreichend geschützt werden konnte.

Lösungen: IEC 62351 definiert Cybersecurity-Anforderungen für die Kommunikation in der Energieversorgung

Für die Netzleittechnik definiert IEC/TC 57 Kommunikationsprotokolle in den Normenreihen IEC 60870-5, IEC 60870-6, IEC 61850, IEC 61970 und IEC 61968. Die Cybersecurity dieser Kommunikationsprotokolle wurde in der Normenreihe IEC 62351 beschrieben. Sie ist damit die wichtigste Norm für digitale Strom- und Versorgungsnetze. IEC 62351 beschreibt Technische Spezifikationen zur Absicherung der Prozessdatenkommunikation.

Vor allem seit der rasanten Zunahme an dezentralen Energieerzeugungseinrichtungen kommen neue Anforderungen an die Automatisierung und Prozessdatenkommunikation zu. Deshalb enthält IEC 62351 technische Vorgaben für die Implementierung einer Ende-zu-Ende-Absicherung. Sie definiert die Nutzung von Authentisierungsverfahren, die Unterstützung von rollenbasierten Zugriffsrechten und enthält außerdem Vorgaben für das Management kryptographischer Schlüssel über den gesamten Lebenszyklus. Die Spezifikationen von IEC 62351 berücksichtigen die Bedingungen einer sicheren Prozessdatenkommunikation wie beispielsweise Echtzeitanforderungen, niedrige Latenzen, Datenmengen.

Auf nationaler Ebene engagiert sich der gemeinschaftliche Arbeitskreis von DKE, VDE ETG und VDE ITG „Informationssicherheit in der Netz- und Stationsleittechnik“. Der Arbeitskreis hat Anwendungshinweise zusammengestellt und als „VDE SPEC 90002 – Informationssicherheit in der Netz- und Stationsleittechnik V1.0“ veröffentlicht.

Mobility

Herausforderung: Verfügbarkeit der vernetzten Mobilitätsysteme auf Schiene und Straße gewährleisten

Die BSI-KritisV legt unter anderem fest, dass die Versorgung der Allgemeinheit mit Leistungen zum Transport von Personen und Gütern wegen ihrer Bedeutung für das Funktionieren des Gemeinwesens eine kritische Dienstleistung im Sinne des BSI-Gesetzes ist. Für den Sektor Transport und Verkehr ordnet die BSI-KritisV Anlagen oder Teile davon Kategorien zu und definiert Schwellwerte für diese.

Um den Personen- und Güterverkehr zu optimieren und zu überwachen, werden zuvor getrennte Systeme im Zuge der Digitalisierung in große Netzwerkarchitekturen angeschlossen. Auf Straßen und Schienen sorgen Signalanlagen für die Regelung des Verkehrs. Sie sind mit Verkehrsleitzentralen über Netzwerke verbunden. Durch diese Vernetzung ergeben sich Einfallstore.

Neben den Signalanlagen spielen insbesondere Ladeinfrastrukturen eine hohe Rolle für die Mobilität der Zukunft. Hierbei gilt es neben der Verfügbarkeit auch die Bezahlsysteme, Vernetzung der Elektrofahrzeuge mit Energiemanagementsystemen sicher zu gestallten.

Lösungen: Um Anforderungen und Empfehlungen für eine einheitliche Handhabung der Cybersecurity im Bahnsektor bereitzustellen, wurde von CLC/TC 9X die Technische Spezifikation CLC/TS 50701 entwickelt. National wird diese vom Gremium DKE/K 351 betreut.

DIN VDE V 0831 regelt elektrische Bahn-Signalanlagen, um das Risiko von Bedrohungen auf Grund von böswilligen Angriffen beherrschbar zu machen. Die Norm IEC 50159 enthält Anforderungen für die sicherheitsrelevante Kommunikation in Übertragungssystemen von Signaltechnik. IEC 63119 regelt den Informationsaustausch für Roaming-Ladedienste. Bei der Norm IEC 63110 „Management von Lade- und Entladeinfrastrukturen“ besteht der Regelungszweck in der Integration von E-Fahrzeugen in das Smart Grid sowie dem Einsatz neuer Dienste.

Health

Herausforderung: IT-Netzwerke im Gesundheitsbereich und dessen Geräte brauchen höchstes Sicherheitslevel

Geräte für die Medizintechnik sind auf besonders sichere IT-Netzwerke angewiesen. Apparate sind alle Medizinprodukte, die Ärzte bei der Diagnose, der Behandlung und Pflege sowie Dokumentation unterstützen. An ihre Hard- und Software sowie die Netzwerktechnik werden höchste Anforderung gestellt, um zuverlässig, fehlerfrei, effektiv und ausfallsicher zu funktionieren. Immerhin geht es häufig um Leben und Tod, immer um Datensicherheit sowie eine effiziente Erbringung medizinischer Dienstleistungen.

Die Medizinprodukte-Betreiberverordnung (MPBetreibV) schreibt daher ein besonderes Risikomanagement vor. Betreiber müssen für die Einrichtung, Installation, Programmierung sowie der Betrieb vernetzter Geräte besonderen Sicherheitsanforderungen entsprechen und Fachpersonal beauftragen, dass die dafür notwendige Ausbildung besitzt. Unter anderem ist eine regelmäßige Durchführung von sicherheits- und messtechnischen Kontrollen vorgeschrieben.

Lösungen: Definieren von Prozessen und Verantwortlichkeiten für effektives Risikomanagement

Wie das Risikomanagement in Gesundheitseinrichtungen im Detail ausgestaltet werden muss, schreibt die MPBetreibV jedoch nicht vor. Hier setzen IEC 80001-1 sowie die Technical Reports von IEC 80001-2 von 1 bis 9 an.

Die Anwendung dieser internationalen Normenreihe ist für die Betreiber zwar gesetzlich nicht vorgeschrieben. Sie ergibt sich aber aus der MPBetreibV als Standard, dem sich kein medizinischer Betrieb versagen kann. Die Grundnorm regelt Verantwortlichkeiten und Prozesse. Sie liegt bei der Klinik-Leitung, die einen Risikomanager berufen muss. Er hat eine Rolle als Vermittler zwischen den Fachabteilungen, der IT sowie den technischen Dienstleistern. Er muss dafür sorgen, dass die drei Schutzziele der Norm, Sicherheit, Effektivität und Datensicherheit, jederzeit gewährleistet sind. Dabei unterstützen ihn die Technical Reports mit konkreten Handlungsanweisungen und Leitfäden.

Die Norm und Technical Reports werden von IEC/TC 62 und vom Gremium DKE/AK 811.3.3 stetig entlang der technischen Entwicklung fortgeschrieben. Weiterhin beschreibt der Technische Report DIN IEC/TR 60601-4-5 detaillierte technische Empfehlungen bezüglich der Merkmale der IT-Sicherheit von Medizinprodukten, die in medizinischen IT-Netzwerken verwendet werden.

Home & Building

Herausforderung: Sichere Vernetzung von Haus- und Überwachungstechnik im Smart Home immer wichtiger.

Immer mehr Funktionen in einem Gebäude werden vernetzt. Im Smart Home steuern Bewohner die Haus- und Überwachungstechnik via Smartphone. Sie erwarten davon neben einem Komfortgewinn auch ein höheres Sicherheitsniveau. Dieses bedarf deutlich erhöhter Anforderungen an die Informations- und Kommunikationssicherheit dieser Geräte. Denn mit der Vernetzung steigen auch die Angriffsflächen für Cyber-Kriminelle.

Durch ungeregelte oder wenig gesicherte Zugriffsrechte sowie mangelhaft programmierte Schnittstellen steigen die Gefahren eines unbefugten Zugriffs. Vor allem öffnen sich neue Angriffsflächen durch die Fernsteuerung der Bewohner über öffentliche Netze.

Lösungen: VDE Vornormen für Gefahren- und Meldeanlagen und Anwendungsregel für die IT-Sicherheit in Heim und Gebäude

Den gestiegenen Sicherheitsanforderungen an die Heim- und Gebäudetechnik haben die internationalen Normungsgremien sowie VDE und DKE Rechnung getragen.

Die DIN EN 62676-1-2 (VDE 0830-7-5-12):2016 definiert Mindestanforderungen an die grundlegende IP-Vernetzung von Videoübertragungsgeräten. Noch detaillierter regelt die Vornorm DIN VDE V 0826-1:2019 Planung, Einbau, Betrieb, Instandhaltung, Geräte- und Systemanforderungen. Sie definiert die grundsätzlichen Anforderungen im Kontext der Sicherungs- und Sicherheitstechnik im Smart Home. Weiterhin werden grundsätzliche Geräte- und Systemanforderungen beschrieben.

Die Vornorm verweist für die Anforderungen an die Kommunikations- und Informationssicherheit auf die VDE Anwendungsregel VDE-AR-E 2849-1. Dabei hat die Anwendungsregel VDE-AR-E 2849-1 das Ziel, Anwendern eine differenzierte Betrachtung der IT-Sicherheitsanforderungen und des Datenschutzes im Heim und Gebäude zu ermöglichen.


Fachinfos zum DKE Arbeitsfeld Cybersecurity

Wir bewegen gemeinsam Großes. Für eine lebenswerte Zukunft.

Mit positiver Energie vernetzen wir Menschen und Technologien.

Die All Electric Society steht am Horizont aller Überlegungen einer erfolgreichen Energiewende und beschreibt die Vision einer CO2-neutralen und nachhaltigen Welt. Sonne, Wind, Wasser und Biomasse decken den Energiebedarf; auf fossilen Energieträgern basierende Technologien werden elektrifiziert. Die DKE hat sich dem Zukunftsbild einer All Electric Society verschrieben. Unsere Normungsgremien leisten hierbei eine wesentliche Grundlage für sichere, interoperable und vernetzte Technologien.

Mehr zur All Electric Society

Normungsroadmaps: Wie wollen wir Technologie zukünftig gestalten?

Mit Roadmap ans Ziel - Bild

Die Zukunft ist noch nicht geschrieben. Deshalb ist es wichtig, sich mit technologischen Fragestellungen auseinanderzusetzen und gemeinsam Empfehlungen für die nächsten Jahre zu erarbeiten. Das Ergebnis: Eine Normungsroadmap. Verständlich geschrieben, sodass alle Interessierten einfach und jederzeit auf Informationen zur aktuellen Normungslage in einem bestimmten Bereich zurückgreifen können. Denn nur so lässt sich Technologie für die Zukunft gestalten!

Alle Normungsroadmaps auf einen Blick

Aktuelle Projekte


Die Arbeit der DKE im Bereich Cybersecurity

Gremien

Weiterführende Informationen und Services innerhalb unserer VDE Gruppe