Cyber-Security: «Ein gutes Schutzkonzept ist wie eine Ritterburg»
Durch die IT-OT-Konvergenz nimmt das Bedrohungspotenzial für produzierende Unternehmen weiter zu. Mit einem Managementsystem für Informationssicherheit können diese jedoch Risiken erkennen, bewerten und auf einem akzeptablen Niveau halten. Im Gespräch mit Dr. Christopher Tebbe vom Security Technology Management bei Wago Contact in Minden.
Autor: Markus Back, Chefredaktor Print
E-Mail / LinkedIn-Profil
Dr. Tebbe, für was braucht es ein Managementsystem für Informationssicherheit, kurz ISMS?
Ein ISMS ist das Rahmenwerk, das die Informationssicherheit in einem Unternehmen regelt. Es umfasst alle Massnahmen, Vorgehensweisen und Richtlinien, die für die Aufrechterhaltung der Informationssicherheit benötigt werden und stellt deren Funktionalität und Pflege sicher.
Wer muss sich mit diesem Thema befassen beziehungsweise ist ein ISMS verpflichtend?
In manchen Bereichen ist es bereits verpflichtend, in Deutschland beispielsweise für Unternehmen der kritischen Infrastrukturen. In der Schweiz wird indes eine verpflichtende Einführung für den Stromsektor gefordert. Aber auch darüber hinaus ist es für Unternehmen wichtig. Es dient dazu, die mit der Informationssicherheit verbundenen Risiken zu erkennen, zu bewerten und auf einem akzeptablen Niveau zu halten. Deshalb empfiehlt es sich selbst für kleinere Unternehmen, ein ISMS einzuführen. Hierzu müssen diese nicht alles auf einmal umsetzen, sondern können Schritt für Schritt Vorgehen.
Wie sollten Unternehmen vorgehen, die das hierfür benötigte Personal nicht in ihren Reihen haben?
Dies sind aus meiner Erfahrung in aller Regel kleinere Unternehmen. Diese können sich beispielsweise mit der Hinzunahme eines externen Beraters behelfen. Wir als Wago sind aktuell dabei, entsprechende Unterstützungsangebote zu formulieren. Darüber hinaus gibt es für kleinere Unternehmen leichtgewichtigere ISMS, die zu den grossen ISMS wie der ISO 27001 dennoch kompatibel sind. Beispiele sind die VdS 10000 für den Unternehmensbereich oder die VdS 10020 für industrielle Anlagen.
Die Rollen in der IEC 62443
Die ISO/IEC 27001, sagen Sie, geht nicht auf die besonderen Belange industrieller Anlagen ein. Können Sie das anhand eines Beispiels erklären?
Die ISO/IEC 27001 wurde bewusst generisch entwickelt, damit sie auf Unternehmen beliebiger Art angewendet werden kann. Etabliert hat sie sich vor allem im Bereich der Unternehmens-IT. Die ISO/IEC 27019 ergänzt ausserdem ein paar Punkte für den Energiesektor, bleibt aber ebenfalls abstrakt.
Die Besonderheiten von industriellen Anlagen gegenüber der normalen IT werden deshalb nicht betrachtet und die Betreiber haben es so schwerer, die Massnahmen, umgangssprachlich Controls genannt, für ihre Anlagen zu ermitteln und umzusetzen. Deshalb wurde die IEC 62443 entwickelt, die versucht, möglichst viel Hilfestellung zu geben, um ein ISMS für Industrieanlagen einzuführen und zu betreiben.
Die IEC 62443 beschreibt den Lebenszyklus einer Anlage und ihrer Komponenten aus den verschiedenen Rollen von Hersteller, Integrator und Betreiber. Was ist die Idee hinter dieser Rollenbeschreibung?
Durch die Unterscheidung der Rollen lässt sich in der IEC 62443 sehr gut darstellen, welche Aufgaben und Verantwortlichkeiten wo liegen. Der Betreiber verantwortet so beispielsweise den sicheren Betrieb und die Einhaltung der Schutzmassnahmen. Kommt es zu Änderungen oder soll eine neue Anlage gebaut werden, ist dagegen der Integrator verantwortlich. Der Hersteller stellt indes die dafür benötigten Komponenten mit den benötigten Security-Funktionen bereit.
Dabei ist zu beachten, dass die Anforderungen vom Betreiber zum Integrator und vom Integrator zum Hersteller weitergegeben werden, da sie diese Anforderungen aufgrund ihrer Rolle selbst nicht erfüllen können. Gleichzeitig muss der Hersteller dem Integrator nachweisen, dass er die benötigten Security-Funktionen implementiert hat. Gleiches gilt für die Beziehung zwischen Integrator und Betreiber.
Man muss sich zudem bewusst sein, dass ein Unternehmen durchaus mehrere Rollen innehaben kann. Ein Betreiber kann also auch Integrator sein, wenn er selbst seine Anlage erweitert. Auch Wago hat nicht nur die Rolle eines Hersteller, sondern ist mit seiner Business Unit Solutions auch als Integrator aktiv. Es ist also wichtig, die Rollen aufgrund ihrer Abhängigkeiten nicht zu vermischen.
Wie man Angriffsversuche erkennen kann
Gerade kleinere KMU dürften mit der Risikoanalyse überfordert sein. Welche Tipps haben Sie für diese Unternehmen?
Die IEC 62443-3-2 beschreibt das genaue Vorgehen für eine Risikoanalyse, die je nach Anlage tatsächlich sehr komplex sein kann. Da diese Aufgabe dem Integrator zugeordnet ist, kann es für diesen durchaus sinnvoll sein, externe Hilfe hinzu zu ziehen. Alternativ kann er sich mit Weiterbildungen auf diese Aufgabe vorbereiten.
Integratoren, die direkt starten wollen, empfehle ich, zunächst mit einem kleinen Bereich wie einer Produktionslinie zu starten. Das vereinfacht und beschleunigt die Durchführung einer Risikoanalyse, zudem kann man sich mit der Thematik vertraut machen.
Im Zusammenhang mit der ISMS wird auch von Defense-in-Depth-Konzepten gesprochen. Was hat man sich darunter vorstellen?
Ein Defense-in-Depth-Konzept verbindet verschiedene Schutzmassnahmen mit dem Ziel, potenziellen Angreifern den Zugriff ins eigene Netzwerk so schwer als möglich zu machen. Diese Massnahmen lassen sich gut mit einer Ritterburg vergleichen, die mit verschiedenen Schutzmassnahmen versucht, Angreifer draussen zu halten. Da ist zunächst der Burggraben, dann kommen das Tor und die Mauern und dahinter warten Ritter und Bogenschützen. So ist das auch bei den Security-Massnahmen. Firewall, Endpoint-Protection, Anomalieerkennung, Log-Auswertung und so weiter werden so geplant, dass sie zusammen einen möglichst grossen Schutz ergeben. Das klingt komplizierter als es ist und wird in der IEC 62443 ausgiebig behandelt.
Was für Möglichkeiten gibt es, Angriffsversuche zu erkennen?
Diese Möglichkeiten sind vielfältig. Eine Möglichkeit ist es sicherlich, Log-Daten von Clients, Servern und Netzwerkgeräten auszuwerten. Auch Firewalls sind mittlerweile in der Lage, Angriffe zu erkennen und zu verhindern. In Produktionsanlagen setzen sich zudem Network Intrusion Detection Systeme, kurz NIDS, durch. Diese überwachen die Netzwerkkommunikation und melden sich selbstständig bei Anomalien. Diese Anomalien müssen dann von einem Experten bewertet werden, ob es sich wirklich um einen Angriff handelt oder es einen anderen Grund für diese Anomalie gibt. Ganz ohne menschlichen Eingriff kommen wir also auch zukünftig nicht aus, auch wenn die Automatisierung zunimmt.
Weitere Artikel, die Sie interessieren könnten
Impressum
Textquelle: Wago / Markus Back
Bildquelle: Wago
Redaktionelle Bearbeitung: Technik und Wissen
Informationen
Wago Contact SA
www.wago.com
Weitere Artikel
Veröffentlicht am: