elektro AUTOMATION: Corona gilt als ‚Brandbeschleuniger‘ der Digitalisierung. Was hat sich durch Pandemie sowie Homeoffice bei der Zusammenarbeit der Mitarbeiter in Ihrem Unternehmen und mit den Kunden geändert? Inwieweit kann der Remote-Service bei Maschinen und Anlagen den Vorortservice ersetzen?
Nils Bücker (Pilz): Corona hat in der Tat die bereits begonnene Digitalisierung am Arbeitsplatz und in der Zusammenarbeit mit Kunden und Partnern nochmals beschleunigt. Deutlich wird dies sowohl bei klassischen Remote-Services etwa für Wartungszwecke als auch im Bereich Factory Acceptance Test (FAT) und Site Acceptance Test (SAT) für Maschinen. Hier ist der Bedarf an Zugriffen aus der Ferne enorm gestiegen. Neben vielen Vorteilen, wie der Reduzierung von Reisezeiten oder der schnellere Zugriff durch Experten, steigen jedoch gleichermaßen die Anforderungen. Dabei geht es nicht nur um die technische Umsetzung allein, sondern auch darum, die Verwaltung externer Dienstleister mit einem entsprechenden Rechtmanagement zu realisieren. Dafür gibt es bereits unterschiedliche Lösungen am Markt. Externe Dienstleister müssen dabei in der Lage sein, die vom Betreiber eingesetzte Lösung zu unterstützen. Externe Dienstleister bzw. Maschinenbauer müssen sich mit dem Betreiber auf eine Lösung einigen. In der Praxis müssen jedoch meist unterschiedliche Systeme bedient werden.
Dr. Lucian Dold (Omron Europe): Mit den Virtual Assistance Services bietet Omron seinen Kunden seit Dezember 2020 eine Remote-Support-Lösung an. Im Mittelpunkt stehen hierbei die einfache, schnelle und sichere technische Unterstützung und Beratung. Kunden können über eine Augmented-Reality-Verbindung unmittelbar mit erfahrenen Omron-Ingenieuren kommunizieren. Damit lässt sich eine Vielzahl von Maschinenproblemen beheben, ohne dass Reisekosten und Wartezeiten anfallen. Zweites Anwendungsgebiet ist die Beratung: Gerade bei einfachen Maschinen und Anlagen kann ein Besuch vor Ort gut durch Remote-Sessions ersetzt werden. Je nach Komplexität eines Projekts wird aber auch zukünftig nicht jeder Ortstermin wegfallen, aber wir arbeiten daran, das Angebot an Alternativen auszubauen – auch weil Augmented Reality sich gerade rasant weiterentwickelt.
IT-Sicherheit für kritische Komponenten
Bernd Gehring (VDMA): Corona hat dazu geführt, dass kollaborative Plattformen sowohl für die unternehmensinterne Kommunikation als auch für die externe Beratung (Meetings, Besprechungen, Seminare) optimiert wurden. Für das tägliche Business ist dieser Status quo in vielen Anwendungsbereichen zufriedenstellend und völlig ausreichend. Im Kontext der Cybersecurity wird der Remote-Service bei Maschinen und Anlagen den Vorortservice nie vollständig ersetzen. Der Vorortservice wird beispielsweise auch deshalb benötigt, weil kritische Komponenten per remote nicht erreichbar sein dürfen, weil forensische Untersuchungen zur Beweismittelsicherung nach einem Hackerangriff nur vor Ort gemacht werden können oder weil Begehungen von Anlagen zur Beurteilung der physischen Sicherheit die Präsenz des Prüfers erforderlich machen.
Frank Geißler (Kontron AIS): Remote-Service ist ein adäquates Mittel, wenn es darum geht, Vorortservice zu ersetzen. Gerade zur Fehler- und Problemanalyse ermöglicht Remote-Service erste Einblicke – ohne an der Maschine oder Anlage zu sein. Die EquipmentCloud der Kontron AIS bietet sowohl Remote-Service als auch Monitoring und wurde daher gerade in der aktuellen Pandemie erfolgreich eingeführt. In Kombination mit geschultem Personal an der Maschine können somit auch Wartungsarbeiten ausgeführt werden.
Dr. Robert Harms (5thIndustry): Grundsätzlich sehen wir durch die Pandemie ein deutlich höheres Engagement im Bereich der Digitalisierung. Auch Verantwortliche in der Produktion haben erkannt, dass die Digitalisierung Fahrt aufnehmen muss. Fragestellungen wie Echtzeit-Transparenz über den Status von Aufträgen, Maschinen und Anlagen von überall sind genauso im Fokus wie die Möglichkeit der reibungslosen digitalen Kollaboration über die fertigungsrelevanten Funktionen hinweg. Das muss sowohl auf dem Shopfloor als auch von unterwegs oder im Homeoffice möglich sein. Hier sehen wir branchenübergreifend eine starke Nachfrage nach modularen, flexiblen und zugleich intuitiv bedienbaren Lösungen für den Shopfloor.
Marcel Hug (ZVEI): Bis zur Pandemie war es eine Option, digital mit den Kunden zu konferieren und Anlagen über Fernwartungsmechanismen zu überwachen und gegebenenfalls auch einzugreifen. Das hat sich verändert. Das Gespräch mit dem Kunden erfolgt jetzt notgedrungen über Videokonferenzen, und Unternehmen, deren Maschinen fernwartbar sind, können schneller und einfacher im Störfall die Fehler beheben. Auch nach 1,5 Jahren Pandemie haben wir noch starke Reiserestriktionen in den Hauptmärkten China und USA, sodass immer mehr Anlagen befähigt werden, über das Internet gewartet zu werden.
Gateways geben Einblick in das Echtzeitdatenbild einer Maschine
Wolfgang Popp (Bosch Rexroth): Seit Beginn der Pandemie finden Besprechungen der Mitarbeiter, aber auch Gespräche mit Kunden, verstärkt online statt. Das gilt auch für viele Tätigkeiten, die früher mit langen, aufwändigen Dienstreisen verbunden waren. Wir haben neue digitale Wege beschritten, um die Zusammenarbeit intern und extern zu gestalten.
Michael Vetter (Phoenix Contact): Corona hat einen wesentlichen Einfluss auf den Service vor Ort. Die mit der Pandemie einhergehenden Reise- und Kontaktbeschränkungen haben insbesondere in der Industrie die Handlungsfähigkeiten des Servicepersonals deutlich eingeschränkt und erschwert. Durch sichere Fernwartungslösungen kann dies in vielen Fällen ohne persönliche Präsenz vor Ort realisiert werden: Der Servicetechniker greift aus dem Homeoffice weltweit auf Maschinen und Anlagen zu und behebt oftmals bereits Fehler oder unterstützt die Servicekräfte vor Ort. Ist ein Vor-Ort-Einsatz trotzdem unumgänglich, lassen sich die Einsatzzeiten durch einen vorbereitenden Fernzugriff besser planen und erheblich reduzieren. Aber auch der grundsätzliche Austausch mit Kunden hat sich verändert: Durch Online-Besprechungen und -Präsentationen wird die Kommunikation deutlich effizienter und flexibler.
Klaus-Dieter Walter (SSV Software Systems): Auf jeden Fall haben Videokonferenzen sowohl im Kollegenkreis als auch mit Kunden einen vollständig anderen Stellenwert erhalten – ich würde sie inzwischen als Alltagsinstrument für die B2B-Kommunikation einstufen. Vorort-Serviceaktivitäten waren allerdings auch schon vor der Pandemie zumindest im Maintenance-Bereich aus Kostengründen stark rückläufig. Durch Corona hat sich aus meiner Perspektive nun auch etwas mehr Wachstum für technisch anspruchsvolle virtuelle Inbetriebnahmen ergeben. Letztendlich lassen sich über hochentwickelte Remote-Access-Gateways im Zusammenspiel mit Video- und Audiokommunikationstechnik die Experten eines Maschinenbauers mit den Technikern des Kunden vor Ort mit einer Videokonferenzsoftware zusammenschalten und dabei allen Beteiligten gleichzeitig einen Einblick in das Echtzeitdatenbild der Maschine präsentieren.
VDMA veröffentlicht Leitfaden IEC 62443 für Industrial Security
elektro AUTOMATION: Mit der Zunahme des digitalen Datenverkehrs gewinnen auch die Security-Themen an Bedeutung. Reichen die bisher bewährten Maßnahmen der IT-Security wie Firewalls, Zonenkonzepte, Zugangsberechtigungen, etc. aus bzw. kann die Cyber-Security allein mit sicherheitstechnischen Komponenten erfüllt werden. Welche Maßnahmen sind zukünftig für die Security von Maschinen und Anlagen bzw. die gesamte Infrastruktur erforderlich?
Nils Bücker: Aktuell wird die Security von Produktionsanlagen häufig durch Security-Komponenten wie Firewalls und VPN-Gateways realisiert. Die steigende Anzahl an Kommunikationsbeziehungen zwischen den Automatisierungskomponenten untereinander und mit externen Systemen führt jedoch zu einem wachsenden Aufwand bei der Verwaltung externer Security-Lösungen. Eine weitere Herausforderung ist, dass es sich bei Security um ein ‚bewegliches Ziel‘ handelt: Eine Automatisierungskomponente wie etwa eine SPS kann zwar zum jetzigen Zeitpunkt als ‚secure‘ eingestuft werden, doch morgen kann sich die Bedrohungslage ändern und damit auch die Angriffssicherheit des Geräts. Das bedeutet, dass die Maßnahmen gegen Cyberbedrohungen ständig aktualisiert werden müssen. Die Verantwortung dafür liegt in erster Linie bei den Anlagenbetreibern, für die Datensicherheit zugleich Investitionsschutz bedeutet. Umgekehrt sind Maschinenbauer und auch Komponentenhersteller in der Pflicht, die Betreiber sofort über neue Sicherheitsprobleme zu informieren und Updates bereitzustellen. Das erfordert jedoch, dass beide Seiten über den gesamten Lebenszyklus der Produkte hinweg eng zusammenarbeiten.
Dr. Lucian Dold: Insbesondere die Ausweitung des IIoT stellt Unternehmen vor neue Herausforderungen: wachsende Datenmengen müssen nicht nur sinnvoll verarbeitet sondern eben auch wirkungsvoll geschützt werden. Die Sicherheitsrisiken, die durch IIoT in der Fertigung entstehen, lassen sich in drei Gruppen einteilen: erstens die Geräte, die mit Maschinen und Fertigungslinien verbunden sind. Zum zweiten Daten, die gesammelt und ausgetauscht werden. Und drittens der Faktor Mensch, also alle Personen, die auf Geräte und Daten zugreifen. Omron begegnet diesen Risiken mit einer dreigegliederten Sicherheitsstrategie. Steuerungen und SPS gewähren den Zugriff vor Ort oder remote nur nach umfassender Authentifizierung des Nutzers. Darüber hinaus werden alle Daten konsequent verschlüsselt sowie Zugriffsversuche unautorisierter Geräte blockiert und automatisch gemeldet.
Bernd Gehring: Durch die zunehmende Komplexität und Vernetzung im industriellen Umfeld kann die Cybersecurity nur durch das Zusammenspiel von Betreibern, Maschinenbauern und deren Zulieferern sichergestellt werden. Jeder dieser Akteure hat seinen Beitrag zu leisten, um das komplexe Endprodukt, die Anlage oder Maschine (die aus vielen Einzelkomponenten besteht und von vielen Lieferanten stammt) sicher zu machen. Alle Akteure müssen dabei mit Hilfe des risikobasierten Ansatzes die vorhandenen Bedrohungen ermitteln, diese bewerten und dann entsprechende Maßnahmen zur Abschwächung implementieren. Technische und organisatorische Ansätze müssen mit prozessualen Lösungen gekoppelt werden, z.B. müssen Zugangsberechtigungen technisch eingerichtet werden, und per Prozess müssen die Daten laufend auf dem aktuellen Stand gehalten werden. Dies ist aber nur dann möglich, wenn alle Komponenten, die in einer Maschine verbaut sind, die Authentifizierung und Autorisierung ermöglichen. Die dafür notwendigen prozessualen und technischen Voraussetzungen, die von allen Akteuren berücksichtigt werden müssen, beschreibt die Norm IEC 62443.
Frank Geißler: Für die Akzeptanz von digitalem Datenverkehr ist Datensicherheit unverzichtbar. Für eine Auswahl der notwendigen Maßnahmen ist neben dem Einsatz von aktuellen Sicherheitsmaßnahmen eine Analyse des gesamten Umfelds nötig, da es oft kleine ‚Schlupflöcher‘ gibt, die ein Gefahrenpotential haben und somit größere Anwendungen gefährden.
Dr. Robert Harms: Die aktuellen Vorfälle wie Ransomware-Attacken haben gezeigt, dass auch bzw. gerade On-Premise-Systeme nicht vor Cyberattacken gefeit sind. Speziell kleine und mittlere Unternehmen sind oft im Irrglauben, dass sie ihre Daten nur auf lokalen Systemen mit eigenen Ressourcen wirksam schützen können. Hier sollte ein Umdenken erfolgen: Cloud-Services verfügen über hochwirksame und durch die Anbieter professionell implementiere Sicherheitsmechanismen, die einfach zu nutzen sind, um unternehmenskritische Daten zu schützen. Zudem ermöglichen Cloudsysteme vielfach eine sehr effiziente und zugleich sichere Integration in die vorhanden IT-Landschaft. Gerade für produzierende Unternehmen bietet die Cloud in Kombination mit Software-as-a-Service-Modellen nicht nur einen Sicherheitsgewinn, sondern auch handfestes Kosteneinsparungspotenzial.
Marcel Hug: Die Grenzen zwischen den Domänen verschwimmen zunehmend, eine reine Konzentration auf klassische IT-Security wird kaum noch ausreichen, es muss immer stärker das ganze Bild, auch über die jeweiligen Domänengrenzen hinweg in den Blick genommen werden. Ein solcher holistischer Ansatz erfordert zunehmend eine kombinierte Betrachtung von OT und IT, aber auch von relativ neuen Entwicklungen, wie dem vermehrten Einsatz von Cloud-Diensten. Es müssen IT-Security, OT-Security und Produkt-Security in den Blick genommen und etwaige Verständigungsprobleme adressiert und behoben werden. Eine Kernaussage der Cybersicherheit bleibt bestehen: Ein höheres Security-Niveau kann nur gemeinsam über die Übernahme geteilter Verantwortung entsprechend der jeweiligen Rolle adressiert werden. Klassisch, z. B. aus der IEC 62443 kennt man hier die Aufteilung in Hersteller, Integrator und Betreiber, es wird perspektivisch aber geprüft werden müssen, inwieweit diese Unterscheidung und die zugewiesenen Rollen auch zukunftsfest sind. Zumal zunehmend auch übergreifende Dienste und Produkte zum Einsatz kommen.
Dr. Lutz Jänicke (Phoenix Contact): Die bewährten Maßnahmen bleiben unverzichtbar, werden aber nicht ausreichen. Vielmehr muss die Security-Qualität der eingesetzten Software – egal ob Betriebssystem, Applikation oder Firmware eines Embedded-Systems – deutlich gesteigert werden. Schwachstellen wie zuletzt im Exchange Server, die zum Zeitpunkt verfügbarer Patches bereits ausgenutzt wurden, oder dem Windows-Druckerspooler, für den mangels Patches nur die Empfehlung gegeben werden konnte, den Druckdienst abzuschalten, zeigen, dass das Herumarbeiten um unsichere Produkte schlicht nicht genügt. Zusätzlich wird sich auch die Security-Qualität im Betrieb erhöhen müssen. Alle Systeme in einem Netzwerk sind nach Security-Gesichtspunkten zu betreiben, also Passwörter durch Multi-Faktor-Authentifizierung abzulösen und viele weitere Maßnahmen umzusetzen.
Wolfgang Popp: Die reine physische Absicherung der IT-Infrastruktur reicht schon lange nicht mehr aus. Bestehende Maßnahmen der IT-Security werden seit Jahren konsequent ausgebaut und kontinuierlich, auch unter Implementierung künstlicher Intelligenz, verbessert, sowie bestehende Abwehrsysteme gestärkt. Doch auch der Faktor Mensch trägt durch sein eigenes umsichtiges Verhalten wesentlich zur Sicherheit des digitalen Datenverkehrs bei. Regelmäßige Sensibilisierungen unserer Mitarbeiter stellen sicher, dass das Bewusstsein für Risiken durch z.B. Cyber-Angriffe, Phishing-Attacken, uvm. aufrechterhalten bleibt. Um digitale Angriffe auf die Infrastruktur des Unternehmens rechtzeitig zu erkennen und vollumfänglich abwehren zu können, arbeiten die Experten der Bereiche Unternehmenssicherheit und IT-Security eng zusammen.
IT-Security bekommt deutlich größere Aufmerksamkeit in der Öffentlichkeit
Klaus-Dieter Walter: Das einzig Positive an den zahlreichen Cyberangriffen der letzten Monate ist, dass dieses Thema inzwischen eine deutlich größere Aufmerksamkeit in der Öffentlichkeit bekommt. Meines Erachtens ist zunächst einmal ein breites Problembewusstsein erforderlich, um die Erfolgsquote der Angriffe zu reduzieren. Firewalls, Zonenkonzepte, Zugangsberechtigungen usw. sind Standardbausteine. Sie reichen bei weitem nicht aus, um Angriffe abzuwehren. Viel wichtiger ist noch mehr Aufklärung hinsichtlich der Cybergefahren. Dabei denke ich in erster Linie nicht an den Datenschutz, sondern an die Dinge, die letztendlich sogar Sach- und Personenschäden verursachen können. Aber die größte Schwachstelle ist bekanntlich immer noch ein Mitarbeiter, der nicht die elementaren Gefahrenquellen kennt und mit einem Notebook oder einem Smartphone, mit dem er kurz zuvor noch im Internet unterwegs war, lokal auf eine Maschine zugreift.
elektro AUTOMATION: Die IEC 62443 liefert Vorgaben und Empfehlungen für den Aufbau und den Betrieb industrieller Systeme und Kommunikationsnetze. Welche Aufgabe erfüllt diese Norm einerseits für die Anbieter von Automatisierungstechnik aber andererseits auch für die Konstrukteure und Betreiber von Maschinen und Anlagen? Welche Bedeutung hat dabei die Zertifizierung?
Nils Bücker: Security spielt in der klassischen IT schon lange eine zentrale Rolle. Die Anforderungen lassen sich jedoch wegen der unterschiedlichen Prioritäten mit Blick auf Vertraulichkeit und Verfügbarkeit nicht ohne Weiteres auf die Automatisierung übertragen. Mit der IEC 62443 ‚Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme‘ gibt es inzwischen eine internationale Normenreihe, die in Teilen schon verabschiedet wurde und die IT-Sicherheit in der Automatisierung umfassend behandelt. Das Themenspektrum reicht von der Risikoanalyse über Best Practices (bewährte Verfahren) bis hin zur sicheren Entwicklung von Produkten (Security by Design). Dadurch bietet die IEC 62443 die derzeit beste Orientierungshilfe für Anlagenbetreiber und Gerätehersteller, um Security effektiv umzusetzen.
Dr. Robert Harms: Die Normen wie die IEC 62443 bieten entscheidende Leitlinien für gute Praxis. In der Umsetzung empfehlen wir, dies aber pragmatisch zu reflektieren und mit Sachverstand umzusetzen. Es muss eine gesunde und fachlich fundierte Balance gefunden werden bei den Sicherheitskonzepten, die aber nicht zu Innovations- und Digitalisierungshemmnissen werden sollten.
Marcel Hug: Die IEC 62442 hat sich ihre Rolle als bedeutender Bezugspunkt durch ihren Umfang und ihre Ausführlichkeit definitiv verdient. Die verschiedenen Normenteile der IEC 62443 adressieren dabei jeweils unterschiedliche Security-Aspekte, welche entlang der genannten Rollen (Hersteller, Integrator, Betreiber) bearbeitet werden können. Sie hilft dabei den tatsächlichen Security-Bedarf auch zwischen den Akteuren zu ermitteln und hierüber in Austausch zu treten. Zertifizierungen können dabei einen sinnvollen Nachweis darstellen, aber Zertifizierung ist kein Selbstzweck. Wichtiger ist, die Gewährleistung des erforderlichen Informationsaustausches bzw. die Kommunikation zwischen den Beteiligten. Eine unreflektierte Konzentration auf ein möglichst hohes Security Level von einzelnen Komponenten ist dabei nicht zielführend, um Risiken adäquat zu adressieren. Es kommt vielmehr darauf an, dass die Auswahl der Komponenten entsprechend einer Risikoanalyse, der entsprechende Systementwurf und der sichere Betrieb sinnvoll ineinandergreifen. Hierin liegt auch eine große Stärke der IEC 62443, sie sorgt dafür, dass eine gleiche Sprache gesprochen wird, auf deren Basis Anforderungen und die Darstellung ihrer Erfüllung zielführend ermittelt (Risikoanalyse), aufgezeigt und kommuniziert werden.
Dr. Lutz Jänicke: Die Norm liefert Vorgaben, an denen sich die Beteiligten orientieren können. So beschreibt der Teil IEC 62443-4-1 den sicheren Entwicklungsprozess, der die Security-Qualität der Angebote sicherstellen soll. Der Teil IEC 62443-2-4 erläutert Anforderungen an einen Integrator und der Teil IEC 62443-2-1 (in Überarbeitung) Anforderungen an sichere Betriebsprozesse. Die drei Teile bilden die Fundamente für die Security-Qualität, die dann durch technische Anforderungen ergänzt werden. Die technischen Rahmenbedingungen allein sind weniger relevant, obwohl sie in Bestellanforderungen oder Produktbeschreibungen einfach aussehen. In einer Zertifizierung bestätigt eine unabhängige Stelle, dass die versprochene Qualität eingehalten wird und man sich nicht selbst oder andere täuscht.
Peter Schmidt (VDMA): Klassischerweise sind Anbieter von Automatisierungstechnik im Sinne der Norm IEC 62443 als Hersteller tätig. Die damit verbundenen Aufgaben werden in den Norm-Kapiteln IEC 62443-4-1 und -4-2 adressiert. Unternehmen, die im Anlagen- und Maschinenbau angesiedelt sind, sind im Sinne der Norm als Integrator tätig; mit ihren Aufgaben beschäftigt sich die Norm in den Kapiteln IEC 62443-2-4, -3-3 und -3-2. Die Betreiber von Anlagen werden im Norm-Kapitel IEC 62443-2-1 und -2-4 behandelt. Letztere Kapitel haben eine hohe Ähnlichkeit zur ISO 27001. Unsere Berater, die die Umsetzung der Norm in Unternehmen begleiten, haben die Erfahrung gemacht, dass die Anzahl der Lieferanten-Audits aktuell immer mehr zunimmt. Damit wächst der Druck zur Zertifizierung sowohl für Komponentenhersteller als auch für Maschinenbauer. Ganz besonders betroffen sind davon Komponentenhersteller für kritische Infrastrukturen, denen das IT-Sicherheitsgesetz 2.0 ganz konkrete Vorschriften macht. Die IEC 62443 empfiehlt die Implementierung von Security gemäß dem Defense-in-Depth-Modell. Ein weiterer wichtiger Security-Baustein der Norm ist auch der Security-by-Design-Ansatz. Um über den gesamten Produkt-Lebenszyklus hinweg sichere Produkte herstellen zu können, ist es wichtig, in jeder Entwicklungsphase die entsprechenden Security-Praktiken anzuwenden. In der Design-Phase geschieht dies über die Threat-and-Risk-Analyse (TARA), während der Implementierung mit Hilfe von sicheren Design- und Architektur-Maßnahmen. In der Validierungs- und FAT-Phase nutzt man z.B. Penetrationstests oder Schwachstellen-Scans zur Absicherung des vorgegebenen Security-Niveaus. Und während der Kommissionierungs- und Betriebsphase helfen u.a. die Umsetzung der Security-Empfehlungen aus dem Security-Manual des Herstellers, eine sichere Integration der Maschine ins Netzwerk des Betreibers und das regelmäßige Einspielen von Security-Patches.
Endress+Hauser nach ISO 27001 und nach IEC 62443-4-1 zertifiziert
Der Aufbau eines Cyber Security Management Systems (CSMS) spielt für Unternehmen beim Thema Security eine zentrale Rolle: das Management erhält hiermit ein Steuerungsinstrument, um die Ziele der Informationssicherheit für digitale Produkte umzusetzen und das Unternehmensrisiko zu minimieren; zudem werden auch die regulatorischen Anforderungen erfüllt. Die hier genannten Security-Konzepte können umso effektiv wirken, je stärker innerhalb der gesamten Lieferkette zu jedem Zeitpunkt und für alle technischen und organisatorischen Maßnahmen ein vergleichbares Security-Niveau gewährleistet werden kann. Die IEC 62443 gibt allen Partnern innerhalb der Lieferkette ein gemeinsames Verständnis für ihre eigenen Security-Aufgaben und die der anderen Kooperationspartner. Um einem Vertragspartner möglichst schnell einen Einblick in die umgesetzten Security-Maßnahmen bei Organisation, Prozessen und Technik zu geben, ist eine Zertifizierung äußerst empfehlenswert. Dabei ermöglicht die IEC 62443 die Zertifizierung von Prozessen wie auch von Produkten.
Klaus-Dieter Walter: Eine Norm wie die IEC 62443 wird sicherlich zu einer Reduzierung der Cyberangriffe auf industrielle Kommunikationsnetzwerke führen, da unzählige Anlagen bisher nahezu ungeschützt waren bzw. es zum Teil auch immer noch sind. Die Anzahl erfolgreicher Angriffe auf Unternehmen, auch auf solche, die IEC-62443-konforme Netzwerke betreiben, wird sich aber trotz allem weiterhin deutlich erhöhen. Die Methoden der IEC 62443 sind aber auf jeden Fall eine hilfreiche Orientierung für alle Beteiligten. Sie bieten darüber hinaus auch die lange überfällige Grundlage für Security-relevante C-Level-Managemententscheidungen. Die aktuell praktizierten IEC-62443-Zertifizierungen halte ich allerdings auf Grund der hohen Kosten für nicht zielführend und für den erfolgreichen IEC-62443-Praxiseinsatz sogar kontraproduktiv.
elektro AUTOMATION: Die ISO/IEC 27000 berücksichtigt nicht nur einzelne Anwendungen, sondern stellt die Aktivitäten eines Unternehmens in Zusammenhang. Wie lassen sich beispielsweise eine sichere Implementierung von Software, das Erstellen und Aufspielen von Security-Updates sowie die Dokumentation über den Lebenszyklus organisieren? Empfohlen wird dazu ein Security-Management-System. Was muss ein solches System beinhalten?
Nils Bücker: Orientiert man sich bei der Entwicklung von Komponenten oder Systemen an der IEC 62443-4-1 so erfüllt man bereits weitestgehend die Anforderungen aus der ISO 270001 ‚IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen‘ bezüglich. der Erstellung von Software. Die IEC 62443-4-1 enthält auch eine Anforderung bzgl. der Security der Entwicklungsumgebung. Diese Anforderung lässt sich ohne den Einsatz eines Informations-Sicherheits-Management-System (ISMS) nur schwer erreichen bzw. aufrechterhalten, sodass die Anwendung der ISO 27001 hier sehr hilfreich ist. Sowohl die ISO 27001 als auch die IEC 62443-4-1 formulieren Anforderungen bzgl. der Supply-Chain. Hier besteht also ein Potential für Synergien.
Industrial Security durch IEC 27000 und -62443
Frank Geißler: Die Entwicklung nach IEC 27000 ermöglicht eine gezielte und ganzheitliche Betrachtung auch im Hinblick auf Datensicherheit. Bei der Entwicklung unserer Service- und After-Sales-Lösung EquipmentCloud haben wir gezielt auf eine Zertifizierung nach ISO 27001:2013 hingearbeitet und diese auch erfolgreich abgeschlossen. Inwieweit eine Einführung von Security-Management-Systemen sinnvoll ist, muss sicherlich von Fall zu Fall betrachtet werden. Grundlegend ist eine unternehmensweite Sensibilisierung notwendig, um nachhaltig Security-Updates etc. zu managen.
Dr. Robert Harms: Moderne Cloud-basierte DevOps-Technologien (Development, Entwicklung und Operations) wie Git bieten leistungsfähige Möglichkeiten, sichere Implementierungspipelines mit Dokumentation und Versionskontrolle für die Softwareentwicklung aufzusetzen, die gleichzeitig hochgradig agiles Arbeiten ermöglichen. Die Prinzipien des Least-Privileged-Access müssen wie bei allen anderen IT-Systemen natürlich berücksichtigt werden, damit die jeweiligen Mitarbeiter nur die Rechte besitzen, die sie auch für die tägliche Arbeit benötigen.
Marcel Hug (ZVEI): Der Lebenszyklus von Produkten und das Erfordernis von Maßnahmen zum Cybersecurity-Risk-Management wird auch immer stärker regulatorisch in den Blick genommen, beispielhaft für letzteres können hier die Überlegungen und Entwürfe zur kommenden NIS-2-Richtlinie genannt werden. Es besteht dabei jedoch die Gefahr, dass erfolgreiche bzw. bewährte Verfahren der Zusammenarbeit nicht ausreichend berücksichtigt werden. So sollten bewährte Regelungen auf vertragsrechtlicher Basis gerade im B2B-Bereich, z. B. hinsichtlich des Umgangs mit (Security-)Updates, nicht negativ beeinträchtigt werden. Wichtig ist nach den tatsächlichen Erfordernissen zu schauen, nicht immer muss es ein vollständiges Security Management System sein. Initial ist es immer wichtig zu betrachten, was die Kern-Assets sind – was dringend geschützt werden muss. Dann kann von dieser Risikobetrachtung ausgegangen und verglichen werden, welche Anforderungen dringend umgesetzt werden müssen und welche (Unternehmens-)Prozesse möglicherweise bereits existieren, die direkte Anknüpfungspunkte für Security-Prozesse bieten. Security sollte dabei nicht als losgelöstes Add-On betrachtet werden, sondern in bestehende Prozessen eingebunden und mitbedacht werden. Dabei kann bzw. sollte auch geprüft werden, inwieweit die Etablierung eines dedizierten Security-Management-Systems sinnvoll bzw. gesetzlich erforderlich ist. Ein solches sollte in das allgemeine Risikomanagement des Unternehmens eingebunden sein. Neben der ISO/IEC-27000-Reihe lohnt sich für den Aufbau eines Cyber-Security-Managementsystems auch hier der Blick in den einschlägigen Norm-Teil 2-1 (bzw. für eine schlankere Adressierung in den Teil 2.4) der IEC 62443.
Dr. Lutz Jänicke: Die ISO 27001 für das Gesamtunternehmen ergibt hier zusammen mit der noch in Erarbeitung befindlichen zweiten Version der IEC 62443-2-1 ein gutes Gesamtpaket zum Security-Management. Die wichtigsten Elemente sind dabei wahrscheinlich die Vorgaben und Unterstützung durch die Geschäftsführung, die Budget und Ressourcen für die Security bereitstellen muss. Ist dies sichergestellt, kann der Aufbau des Security-Managements sehr gut anhand der Normen erfolgen.
Peter Schmidt: Die IEC 27001 hat den Anspruch, die Informationssicherheit in Unternehmen zu regeln. Sie gibt rudimentäre Handlungsempfehlungen zur Software-Entwicklung im Kontext der Informationssicherheit. Um die Produkt-Security im gesamten Lebenszyklus sicherzustellen, dient die IEC 62443 mit dem Normkapitel 4-1 als gute Grundlage. Letztlich lässt sich aus der Norm auch der Aufbau eines Security Managementsystems ableiten. Über ein Security Management System werden Regeln, Verfahren und Maßnahmen definiert, mit denen die Security im Produkt-LifeCycle kontrolliert, gesteuert, sichergestellt und optimiert werden kann. Neben den Security-Maßnahmen, die im eigenen Unternehmen gelebt werden müssen (z.B. die Implementierung sicherer Software und das Erstellen und Ausliefern von Security-Updates), stehen auch solche Maßnahmen im Fokus, die über das eigene Unternehmen hinausgehen. So muss sich z.B. der Maschinenbauer (noch vor dem Vertragsabschluss) mit dem Betreiber über das notwendige Security-Niveau der Anlage verständigen und dies festlegen. Des Weiteren wird er daraus ableiten, welche Komponenten ihm helfen, den geforderten Security-Level des Betreibers zu erreichen oder ob weitere Maßnahmen (z.B. die Implementierung einer zusätzlichen Firewall) notwendig sind. Der Maschinenbauer wird dem Betreiber bei der Inbetriebnahme der Anlage alle notwenigen Security-Dokumente übergeben, eine Schulung der Mitarbeiter durchführen und abstimmen, ob das künftige Einspielen von Security-Updates vom Betreiber selbst vorgenommen wird oder ob der Maschinenbauer dafür beauftragt wird und die Leistung im Rahmen eines Service-Vertrags erbringen darf. In ähnlicher Weise müssen dann die Security-Anforderungen zwischen Maschinenbauer und Komponentenlieferant geklärt werden.
Klaus-Dieter Walter: Eine Norm wie die IEC 27000 ist natürlich der sinnvollere Weg, um die IT-Sicherheit einer Organisation zu verbessern. Im Gegensatz zur IEC 62443, die sich nur punktuell um einen Teilbereich kümmert, bietet die IEC 27000 einen gesamtheitlichen Ansatz. Allerdings ist diese Norm eine hochkomplexe und aufwändige Angelegenheit, die Veränderungen im gesamten Unternehmen und immer wiederkehrende Aufgaben zur Folge hat. Man kann die Vorgehensweise in etwa mit Einführung und Aufrechterhaltung eines unternehmensweiten Qualitätsmanagementsystems nach ISO 9001 vergleichen. Das bedeutet auch Veränderungen für jede Abteilung. Ein Information Security Management System nach ISO 27000 enthält im Übrigen, analog zur ISO 9001, ebenfalls das bewährte Plan-Do-Act-Check-Modell. In diesem Kontext würde ich jedem Unternehmen auch den Einsatz Künstlicher Intelligenz zur Erkennung möglicher Cyberangriffe empfehlen.
Weitere Informationen bietet auch das BSI:
