Gute und schlechte Spielanleitungen
Regeln existieren in fast allen Lebensbereichen. Und sie treten auf unterschiedliche Weise in Erscheinung. So beispielsweise als ein Gesetz, eine Norm oder aber auch als kulturelle Regeln.
Staatliche Gesetze – zum Schutz der Schwachen
Staatliche Gesetze regeln und erleichtern ein gütliches Zusammenleben in einer großen Gemeinschaft. Sie legen fest, was man tun muss, tun darf oder nicht tun darf. Im Großen und Ganzen sind Gesetze also ein Schutz. Nehmen wir das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) als Beispiel. Das TTDSG schafft mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt. Das Gesetz wird voraussichtlich zusammen mit dem neuen Telekommunikationsgesetz am 1. Dezember 2021 inkrafttreten.
Normen – das Vertrauen steigern
Normen sind von Experten erarbeitete Regeln für diverse Themengebiete im heutigen modernen Wirtschafts- und Alltagsleben. Sie begegnen uns täglich. Sie können ziemlich spezifisch sein, z. B. in Bezug auf eine bestimmte Art von Produkten. Sie können dagegen aber auch sehr allgemein sein, z. B. bei Managementverfahren. „Normen sollen für die Menschen, die gemeinsame Erwartungen an ein Produkt oder eine Dienstleistung teilen, eine zuverlässige Basis darstellen.“ (Quelle: BSI Group)
So beispielsweise die Norm ISO/IEC 27001:2013. Sie ist der internationale Standard für die Realisierung eines wirksamen Informationssicherheit-Managementsystems (ISMS). Und sie bildet die strukturelle Basis zum Schutz von vertraulichen Daten, für die Sicherstellung ihrer Integrität sowie zur Verbesserung der Verfügbarkeit von Informationen.
Die Norm ISO/IEC DIS 27002:2021, derzeit noch in einem Draft International Standard (DIS) und damit als „Entwurf“ vorliegt, beschreibt technische- und organisatorische Maßnahmen. Deren Zweck ist es, bestehende Risiken in der informationstechnischen Landschaft von Unternehmen zu behandeln.
Kulturelle Regeln – gewohnte Abläufe und Routinen des Unternehmensalltags
Bedingt durch die Entstehungsgeschichte und auch die Eigentümerstruktur des Unternehmens, haben diese ihre individuellen impliziten Regeln, nirgendwo verschriftlicht. Sie treten in den gewohnten Abläufen und Routinen des Unternehmensalltags zutage und sind dort quasi gelagert. Jedes Unternehmen verfügt über einen charakteristischen Habitus. Somit kann man Unternehmen als hochkomplexe soziale Strukturen bezeichnen. Ihre mächtigste Begründung: „Das haben wir schon immer so gemacht“.
Digitale Ökosysteme – smart, hochdynamisch und weltweit vernetzt
Die heutigen neuen digitalen Formen des Produzierens, Smart Manufacturing, und industriellen Services, Smart Maintenance, oder des Arbeitens, Smart Work, lösen starre, fest definierte Wertschöpfungsketten ab. Wir befinden uns mitten in einer flexiblen, hochdynamischen Welt inklusive weltweit vernetzter Wertschöpfungsnetzwerke mit neuen Business-Modellen. Verfügbarkeit, Transparenz und Zugang zu Daten in Echtzeit sind in der vernetzten Ökonomie zentrale Erfolgsfaktoren und definieren maßgeblich die Wettbewerbsfähigkeit.
Erfolgskritische Spielregeln in den digitalen Ökosystemen
Wir sprechen heute über Digitalisierungsprojekte, bei denen die Wertschöpfungsnetzwerke zunehmend auch über unsere Unternehmensgrenzen hinweg gehen. Infolgedessen gilt in puncto digitale industrielle Wertschöpfungs-Infrastruktur, dass diese cybersecurity-sicher sein muss. Damit die Unternehmen diesen Cybersecurity-Anforderungen gerecht werden können, müssen Veränderungen in mehreren Dimensionen und in unterschiedlichen Organisationseinheiten stattfinden.
Gute und schlechte Spielanleitungen – Policies & Procedures
Die OT/IT-Landschaft in Unternehmen aus der Prozessindustrie ist recht heterogen und komplex. Um souverän die digitale Transformation umsetzen zu können, sind innerhalb eines Unternehmens umfassende, klare Richtlinien und Verfahrensweisen erforderlich. Denn das sind die Faktoren, welche die Konzeption und Umsetzung einer einheitlichen Cybersecurity-Strategie bestimmen.
Feingranularer Spielablauf
Cybersecurity ist herausfordernd und hat enorme Implikationen auf die Geschäftskontinuität. So kann zum Beispiel der Ausfall von Hardware oder Software oder gar des kompletten Netzwerks einen kompletten Anlagenausfall verursachen. Oder es können sensitive Unternehmensdaten, exemplarisch Rezepturen von chemischen Produkten, gestohlen werden und so an die Öffentlichkeit gelangen. Gesetzliche Vorgaben, sowohl OT-Richtlinien als auch Verfahrensdokumente bieten hier technisch elegante, effiziente und praxistaugliche Cybersecurity-Spielanleitungen.
- IEC 62443
Die internationale Normenreihe IEC 62443 befasst sich mit der Cybersecurity von „Industrial Automation and Control Systems”, kurz IACS. Dabei verfolgt sie einen holistischen Ansatz für Betreiber, Integratoren und Hersteller. Unter den Begriff IACS fallen alle Systeme, Komponenten und Prozesse, die für den sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind. Ebenso Softwarekomponenten, Anwendungen und organisatorische Teile. Diese Norm ist sehr umfangreich und befindet sich teilweise noch in Ausarbeitung.
Grundlegendes Basiswissen in puncto Cybersecurity wird in dem ersten Block dieser Normreihe übermittelt. Cybersecurity-Begriffe und Abkürzungen werden erklärt. Die Bedeutung des Cybersecurity Lifecycles in der Welt der „Industrial Automation and Control Systems” wird erläutert und Use Cases werden demonstriert. Ein anderer Bereich definiert die konkreten grundlegenden Security-Anforderungen wie beispielsweise für die unterschiedlichen Security-Levels. Abschließend werden noch Konformitätskriterien sowie mögliche Konformitätsnachweise beschrieben. - ISO/IEC 27001
Die internationale Norm für Informationssicherheits-Managementsysteme (ISMS), ISO/IEC 27001, bietet Organisationen klare Faustregeln für die Planung, Umsetzung, Überwachung und Verbesserung ihrer Informationssicherheit. Regelmäßige „Plan-Do-Check-Act“-Zyklen sorgen dafür, dass die Ist-Situation angezeigt und kontinuierliche Verbesserungen frühzeitig erfolgen. ISO/IEC 27001 gehört zu einer der wichtigsten Cybersecurity-Zertifizierungen. Auch hier folgt man der Maxime: Resiliente Infrastruktur für eine permanente Geschäftskontinuität.
Das letzte Unterkapitel der ISO 27001 (10.2 Continual improvement) imponiert mit dem Satz, das „Die Organisation muss die Eignung, Angemessenheit und Wirksamkeit ihres ISMS fortlaufend verbessern“. Wichtig: Ein ISMS ist kein One Shot. Es gilt, eine kontinuierliche Verbesserung umzusetzen und auf Veränderungen frühzeitig zu reagieren. - National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF)
Das National Institute of Standards and Technology (NIST) ist eine eigenständige Behörde in den USA. Dies treibt in vielen Bereichen die Vereinheitlichung von Regeln voran. Schwerpunkt liegt auf Informationstechnologien. NIST Cybersecurity Framework (CSF) bietet einen Rahmen aus Standards, Richtlinien und bewährte Methoden zur Verwaltung von Cybersecurity-Risiken. - Bundesamt für Sicherheit in der Informationstechnik, BSI
Das BSI ist die Cybersecurity-Behörde Deutschlands. Sie zeichnet verantwortlich für die digitale Informationssicherheit von Staat, Wirtschaft und Gesellschaft. Sie gehört zum Geschäftsbereich des Innenministeriums. In dem Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes sind die Aufgaben des BSI definiert. Eine Hauptaufgabe des Bundesamts ist u.a., dass die IT-Sicherheit in der Gesellschaft, der öffentlichen Verwaltung und in der Wirtschaft als eine signifikante Thematik wahrgenommen wird. Die Institution arbeitet „Mindeststandards” für den praktischen Einsatz sowie „Handlungsempfehlungen” aus, die auf bestimmte Zielgruppen ausgerichtet sind.- 8a – BSI-Gesetz (BSIG) Sicherheit in der Informationstechnik Kritischer Infrastrukturen Betreiber kritischer Infrastrukturen (KRITIS) müssen gemäß §8a BSIG nachweisen, dass ihre IT-Sicherheit auf dem aktuellen Stand der Technik ist. Das BSI nimmt Betreiber in die Pflicht, kritische Infrastrukturen bestmöglich abzusichern. Die BSI-Kritis-Verordnung (BSI-KritisV) beschreibt, welche Anlagen in den jeweiligen Sektoren als kritisch gelten und fordert von den jeweiligen Betreibern einen Nachweis über den Schutz ihrer Informationstechnik.
Kritische Infrastruktur in Deutschland: Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur. Erweiterung um den Sektor der Entsorgung mit dem IT-Sicherheitsgesetz 2.0 .– IT-Sicherheitsgesetz 2.0
Der zweite Referentenentwurf zum IT-SiG 2.0 konkretisiert den bereits im ersten Entwurf vorgestellten ganzheitlichen Ansatz. Zudem enthält sie Maßnahmen zum Schutz der Bürger, zur Stärkung des Staates, zum Schutz der öffentlichen Informationstechnik und für eine informationstechnisch robuste Wirtschaft.
Das SiG 2.0 sieht vor, dass in Bezug auf kritische Infrastrukturen nur noch Komponenten verbaut werden dürfen, die über ein BSI-Sicherheitskennzeichen verfügen. Damit werden auch Dienstleister von KRITIS-Unternehmen stärker eingebunden und die gesamte Lieferkette rückt in den Fokus der Betrachtung. Hersteller von Komponenten, die im KRITIS-Bereich zum Einsatz kommen, müssen in Zukunft die Vertrauenswürdigkeit ihrer gesamten Lieferkette sicherstellen und eine entsprechende Vertrauenswürdigkeitserklärung abgeben.
In diesem Zusammenhang ist mit der Einführung eines IT-Sicherheitskennzeichens zu rechnen. Dieses soll die IT-Sicherheit von Produkten und Systemen für Unternehmen, aber auch für Verbraucher sichtbar machen. Zukünftig können Hersteller das Kennzeichen freiwillig beantragen, wenn die IT-Sicherheit ihres Produktes dem vom BSI festgelegten Stand der Technik entspricht. - NAMUR – NA 115; NA 135; NE 153; NA 163; NE 177
NAMUR ist die Abkürzung für „Normenarbeitsgemeinschaft für Mess- und Regeltechnik in der chemischen Industrie”. Als die „Interessengemeinschaft Automatisierungstechnik der Prozessindustrie“ werden die Bedürfnisse von Anwenderunternehmen auf dem Gebiet der Automatisierungstechnik repräsentiert. Die formulierten NAMUR Empfehlungen (NE) und NAMUR Arbeitsblätter (NA) dienen als Handwerkszeug und definieren Anforderungen an Geräte und Systeme fest. Eine NE oder NA fungiert oftmals auch als Basis für spätere Normungsvorhaben. Die NAMUR Open Architecture (NOA) zielt darauf ab, Produktionsdaten simpel als auch sicher für Anlage- und Asset-Überwachung (Monitoring) und Optimierungen nutzbar zu machen. IIoT-Technologien ermöglichen das automatische Sammeln von Daten mithilfe verschiedener Funktionen. Innerhalb der klassischen Automatisierungspyramide sind diese Daten jedoch für den Nutzer kaum zugänglich.Das NOA-Konzept behält die traditionelle Automatisierungsstruktur als Basis und komplettiert das Ganze mit einem zusätzlichen zweiten Kanal in dem rückwirkungsfrei die erforderlichen Daten übertragen werden können. Der Charme hierbei ist, dass somit auch bestehende Anlagen, Brownfield, in das Smart Manufacturing-Zeitalter transferiert werden können. Dank der Fortentwicklungen in der Automatisierung wie zum Beispiel Advanced Physical Layer (APL) oder der modulare Ansatz (MTP) macht NOA auch für Neuinstallationen, Greenfield, zukunftssicher. Das NOA-Konzept beinhaltet u.a. folgende Bausteine: NE 175 („NAMUR Open Architecture – NOA Konzept“), NE 176 („NAMUR Open Architecture – NOA Informationsmodell“), NE 177 („NAMUR Open Architecture – NOA Security Zonen und NOA Security Gateway“). Diese drei sind bereits publiziert, zwei weitere sind in der Pipeline.NE 177 „NAMUR Open Architecture – NOA Security Zonen und NOA Security Gateway
Im Smart Manufacturing Zeitalter ist die Komponente Cybersecurity genauso lebenswichtig wie funktionale Sicherheit, um einen langfristigen stabilen und zuverlässigen Betrieb von Prozessanlagen zu gewährleisten. Im Sinne der IEC 62443 definiert die NE 177 Security-Zonen und konkretisiert diese dann mit den notwendigen Security-Schutzprofilen. Signifikant dabei ist, dass eben Daten und Informationen aus der Kernautomatisierung in den Monitoring- und Optimierungs-Bereich fließen können, ohne jedoch ein Risiko im Kernautomatisierungs-Bereich darzustellen. Diese Brücke übernimmt das NOA Security Gateway, das insbesondere einen unidirektionalen Datenfluss ohne jegliche Rückwirkung sicherstellt. Und auch die Mechanismen zur Datenabfrage und -bereitstellung bestimmt.
Spielhinweis zum Schluss
Abschließend noch ein Appell an alle “Player”, die sich im digitalen Ökosystem bewegen: Cybersecurity muss ganzheitlich betrachtet und mit allen Anforderungen des digitalen Ökosystems in Einklang gebracht werden. Wenn Ihnen nicht sofort klar ist, wie und wo Sie mit Cybersecurtiy am besten starten sollten, dann kontaktieren Sie uns einfach. Wir helfen Ihnen gerne im Rahmen eines unverbindlichen Erstgesprächs, in dem wir unser Cybersecurity-Management-Konzept vorstellen.