Warum Sie bereits im Einkauf auf Industrial Security achten müssen

Inhaltsverzeichnis

    Die steigende Vernetzung von Maschinen und Anlagen im Rahmen der Industrie 4.0 und der einhergehenden Digitalisierung führt dazu, dass Hersteller und Betreiber sich zunehmend mit der Absicherung Ihrer Produktions- und Anlagennetze auseinandersetzen. Nach der initialen Aufnahme des IST-Zustands und ersten Sicherheitsanalysen der Produktions- und Anlagennetze wird schnell klar, dass es viel zu tun gibt. Vor allem mit den vielen Altsystemen in der Bestandsinfrastruktur, die über Jahrzehnte gewachsen ist, muss mit Feingefühl umgegangen werden.

    Damit es für die zukünftigen Systeme gar nicht erst so weit kommt und diese nicht ebenfalls bald zu „schlecht zu sichernden“ Altsystemen mutieren, gilt Ursachenbehandlung statt Symptombehandlung.

    Dies heißt, den Zufluss an schlecht zu sichernden Maschinen und Anlagen in die eigenen Netze zu unterbinden, damit die großen Folgeaufwände auf Seiten der IT und OT gar nicht erst entstehen. Am besten geschieht das bereits während des Einkaufsprozesses und mit Hilfe des Personals, das an der Anlagenplanung beteiligt ist. Hier wird auch wieder einmal deutlich, dass eine nachhaltige Produktionssicherheit kein punktuelles Problem der IT oder der OT ist, sondern eine allgemeine Herausforderung des gesamten Unternehmens.

    „Es gilt: Je früher Security berücksichtigt wird, desto größer die Ersparnis bei späteren Aufwänden.“

    Starten Sie mit einer Analyse des Beschaffungsprozesses

    Im Rahmen einer ersten Analyse sollten Sie sich das Vorgehen der genannten Abteilungen ansehen und in Erfahrung bringen, wie weit das Thema Industrial Security dort bereits berücksichtigt wird.

    Folgende Fragen können hier gut unterstützen:

    • Existiert eine Einkaufsrichtlinie für Automationssysteme mit Bezug auf IT-Sicherheit?
    • Wird die IT-Sicherheit von Lieferanten untersucht? Hier spielen deren Prozesse, Produkte und Dienstleistungsangebote eine Rolle.
    • Werden neue Systeme, Maschinen und Anlagen in ein Asset-Management eingepflegt?
    • Wird vor der konkreten Beauftragung eine sicherheitsrelevante Einschätzung des IT- und Automationspersonals eingeholt?
    • Herrscht bereits ein Überblick über die Bestandsinfrastruktur vor, sodass bei der Einbindung der neuen Systeme auf IT-Sicherheitsrisiken geachtet werden kann?

    Hier muss man stets damit rechnen, dass solche Fragen eher ernüchternde Antworten liefern und man mit großen Augen angeschaut wird. Vor allem ist die Managementunterstützung wichtig mit der klaren Vorgabe, IT-Sicherheit im Beschaffungsprozess zu integrieren, alleine schon aus Kostengründen.

    Dialog zwischen IT und OT mit der Anlagenplanung und dem Einkauf

    In gemeinsamen Gesprächsrunden sollte überlegt werden, wie IT-Sicherheitsanforderungen Stück für Stück bereits im Rahmen der Planungsphase sowie im späteren Einkauf berücksichtigt werden. 

    Hier muss vor allem ein erster Wissensaustausch und eine Sensibilisierung aller Beteiligten stattfinden, damit die gemeinsame Gesprächsbasis stimmt. Ist diese einmal gelegt, geht es um das Etablieren fester Wege, wie solche Sicherheitsanforderungen jetzt und in Zukunft an die richtigen Stellen der Planungs- und Einkaufsphasen gelangen können. Ein bewährter Weg ist, dass dies seitens der IT und OT in Form einer Einkaufsrichtlinie zur IT-Sicherheit geschieht.

    Exemplarische Punkte einer Einkaufsrichtlinie

    Wir haben einige praxistaugliche Punkte zusammengestellt, die sich für die Übernahme in eine Einkaufsrichtlinie anbieten:

    • Fernwartungsfunktionalität erfordert keine nach außen offenen Zugänge
    • Hersteller garantiert langjährige Pflege inklusive Schwachstellen- und Updatemanagement
    • Konkrete Anforderungen für späteren Betrieb und Administration
    • Ausführliche Dokumentation der IT-Komponenten
    • Keine unveränderbaren voreingestellten Passwörter
    • Nachweis über Zertifizierung, z.B. nach ISO 27001 oder IEC 62443

    Eine solche Einkaufsrichtlinie kann je nach Art und Beschaffenheit von Maschinen und Anlagen sehr umfangreich sein. Hier muss, wie immer in der IT-Sicherheit, das richtige Verhältnis zwischen Sicherheit, Wirtschaftlichkeit und Anwendbarkeit beachtet werden.

    Aus diesem Grund gilt: Machen Sie sich Gedanken darüber, welche Sicherheitsanforderungen für Ihren Betrieb gelten müssen und integrieren Sie diese so früh wie möglich in Ihre Geschäftsprozesse.

    Leicht und praxisorientiert – den Fuß in die Tür!

    Eingeschliffene Routinen ändern sich nicht über Nacht. Insbesondere wenn die Planung und der Einkauf von Maschinen und Anlagen seit Jahrzehnten nach den gleichen grundlegenden Prinzipien erfolgt, ist ein kurzfristiger Wechsel nahezu unmöglich. Hier empfiehlt es sich, den Fokus auf den grundlegenden Dialog zu legen und mit einigen oder auch nur einer kleinen Sicherheitsanforderung zu beginnen.

    Gut geeignet ist hier vor allem das Thema Fernwartung – oftmals das Vorzeigethema, zu dem sich alle Beteiligten bereits einmal austauschen mussten. Weiterhin ist die Industrie-Fernwartung ein Thema, dass auch jedem Hersteller und Lieferanten ein bekannter und wichtiger Begriff ist. Damit hat man den ersten grundlegenden Schritt gemacht, um die Relevanz des Themas zu steigern und kann sich um eine anknüpfende Lösung kümmern.

    Bei dem Thema sind die Sicherheitsanforderungen der Fernwartungslösung dringend zu beachten: Passt die Lösung in das bestehende Fernwartungskonzept des Betreibers? Wer hat die Datenhoheit? Wie kann ein Zugriff erfolgen? Sind diese Punkte einmal implementiert, lässt sich einfach darauf aufbauen!

    Praxistipp

    Formulieren Sie eine “5 Punkte – Einkaufsrichtlinie” für das Thema Fernwartung von Industrieanlagen und besprechen Sie diese mit Ihren Anlagenplanern bzw. Ihrem Einkauf.

    Möchten Sie noch mehr Wissen zur Industrial und IIoT Security? Erhalten Sie die wichtigsten Erkenntnisse und Best Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr E-Mail-Postfach.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie den Einstieg in die Industrial Security und profitieren Sie von Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung