Angesichts der immer komplexer werdenden Bedrohungslage im Cyber-Raum stellt sich die Frage, wie sich Netze und IT-Systeme in Unternehmen, Behörden und anderen Organisationen absichern lassen. Die Antwort auf diese Frage beginnt bei der möglichst genauen Kenntnis der eigenen Betroffenheit. Aber wie gelingt so ein Überblick? Ein pragmatischer Ansatz mit nachvollziehbaren Maßstäben ist die Cyber-Sicherheits-Exposition des Bundesamts für Sicherheit in der Informationstechnik (BSI). Um den zahlreichen unterschiedlichen Anforderungen an netzwerkfähige Industriekomponenten gerecht zu werden, bieten auch nationale und internationale Normen, Standards, Leitfäden und Handlungsempfehlungen Verantwortlichen für IT-Planung und -Betrieb Orientierung.

Cyber-Security für kleine und mittlere Unternehmen (KMU)

Eine moderne IT-Landschaft und der Anschluss an das Internet sind heute Grundvoraussetzungen, um im weltweiten Wettbewerb bestehen zu können. Digitalisierung und Vernetzung bergen jedoch auch neue Gefahren. Diese müssen im Risikomanagement des Unternehmens berücksichtigt werden. Dabei gilt: Je besser die Informationssicherheit, desto geringer die Anzahl der Schwachstellen, der verbleibenden Risiken und der potentiellen Schäden für das Unternehmen. Für die Abwehr neuer Gefahren hat die VdS Schadenverhütung GmbH die Richtlinie 3473 entwickelt: ein auf kleine und mittlere Unternehmen (KMU) zugeschnittenes Verfahren, um eine angemessene Informationssicherheit zu etablieren und aufrechtzuerhalten. Die verschiedenen Anforderungen müssen dabei in jedem Prozess des Unternehmens eingehalten werden. Änderungen an Verordnungen oder Gesetzen können gravierende Auswirkungen auf bestehende Geschäftsprozesse haben und neue Herausforderungen für das Risikomanagement mit sich bringen. Ein organisierter Datenschutz nach der VdS Richtlinie 10010 reduziert die Anzahl an Schwachstellen, verringert das verbleibende Risiko, schützt dadurch die Rechte der Betroffenen und begrenzt potentielle Schäden für das Unternehmen.

Informationssicherheitsmanagementsystem (ISMS) auf Basis der ISO/IEC 27001

Aufgrund der Komplexität eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO/IEC 27001 wird diese Managementnorm derzeit nur in wenigen kleinen und mittelständischen Unternehmen eingesetzt. Daher fehlt auch die darauf basierende Zertifizierung des ISMS nach ISO/IEC 27001.

Die DIN EN ISO/IEC 27001 geht auf ältere britische Standards (BS 7799:1995) zurück. Dieser nationale Standard wurde von der British Standard Institution herausgegeben und durch viele Guidelines ergänzt. In englischer Sprache erschien die ISO/IEC 27001 im Jahr 2005 und existiert seit 2013 in neuer überarbeiteter Fassung. Die deutsche Erstfassung entstand 2008, seit März 2015 liegt die Neufassung auch in deutscher Sprache vor.

Abbildung 1: Normenreihe ISO/IEC 27000 Sektor-/branchenspezifische Normen, Quelle: Sven Müller

Die Normenreihe ISO/IEC 2700 ist sehr umfangreich und wird ständig weiterentwickelt. Außer der Hauptnorm 27001 gibt es die unterstützenden Normen 27002 bis 27007. Sie vertiefen bestimmte Aspekte der Hauptnorm. Daneben gibt es eine umfangreiche Sammlung von Normen zu branchen- und sektorspezifischen Aspekten sowie zu andern Sicherheitsthemen. In Abbildung 1 werden die Titel der Normen nur verkürzt wiedergegeben.

IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik

Der IT-Grundschutz empfiehlt konkrete Maßnahmen zum Sicherheitsmanagement und deckt dabei technische, organisatorische, personelle und infrastrukturelle Aspekte ab. Ursprünglich für Behörden konzipiert, hat sich der IT-Grundschutz seit 1994 für alle Branchen als ein schnelles und wirtschaftliches Instrument für Informationssicherheit erwiesen und steht Instituten jeglicher Art und Größen kostenlos zur Verfügung. Daher ist der IT-Grundschutz im deutschsprachigen Raum zu einer Art „offiziellen Messlatte“ für Informationssicherheit geworden. Teilweise wird sogar in Regularien, wie etwa den Mindestanforderungen für das Risikomanagement (MaRisk) der Bundesanstalt für Finanzaufsicht (BaFin), explizit auf den IT-Grundschutz verwiesen. Deutsche Behörden verlangen bei vielen Projekten mit Dienstleistern aus der Privatwirtschaft die Einhaltung des IT-Grundschutzes. Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist in zwei große Bereiche aufgeteilt: den BSI-Standards und die IT-Grundschutz-Kataloge.

Derzeit gibt es vier BSI-Standards zur Informationssicherheit:

Hier werden die allgemeinen Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) definiert.

In diesem Standard zur IT-Grundschutz-Vorgehensweise wird Schritt für Schritt beschrieben, wie ein Managementsystem für Informationssicherheit in der Praxis aufgebaut und beschrieben werden kann.

In diesem Standard wird eine Methodik für Risikoanalyse vorgestellt, falls in der Institution nach IT-Grundschutz gearbeitet wird.

Dieser Standard beschreibt den Aufbau und die Aufgaben eines Notfallmanagementsystems.

IT-Grundschutz-Kompendium vom BSI

Das IT-Grundschutz-Kompendium ist in Bausteine gegliedert, die jeweils ein spezifisches organisatorisches, technisches oder infrastrukturelles Thema behandeln. Diese können zum Beispiel Schutzmaßnahmen für eine konkrete technische Plattform, Anforderungen an Schulungsmaßnahmen oder Sicherheitsaspekte für einen Serverraum sein. In jedem Baustein wird die Thematik zunächst inhaltlich umrissen. Dann werden Gefährdungen aufgezeigt, die die Sicherheit des betrachteten Objektes beeinträchtigen können. Schließlich wird auf Maßnahmen verwiesen, die den Gefährdungen entgegenwirken.

Branchenspezifische Sicherheitsstandards (B3S)

Für Betreiber kritischer Infrastrukturen (KRITIS) sieht das Bundesamt für Sicherheit in der Informationstechnik eine Registrierung beim BSI vor. Das BSI teilt dem registrierten Unternehmen im Gegenzug sämtliche es betreffenden Informationen zu Gefahren für die IT-Sicherheit mit. Die betroffenen Unternehmen müssen dafür sorgen, dass die Systeme, Komponenten und Prozesse ihrer kritischen Infrastruktur organisatorisch und technisch gesichert sind. Dabei soll der Stand der Technik eingehalten werden. Die Definition dieser Sicherheitsstandards kann von KRITIS-Betreibern selbst oder von ihren Branchenverbänden für ihre Branche vorgeschlagen werden. Das BSI prüft diese auf Antrag und entscheidet, ob diese Branchenspezifischen Sicherheitsstandards (B3S) den gesetzlichen Anforderungen entsprechen/genügen.

Aktuelle Branchenspezifische Sicherheitsstandards (B3S) deren Eignung durch das Bundesamt für Sicherheit in der Informationstechnik sichergestellt wurde:

  • B3S Wasser/Abwasser (Sektor: Wasser; Branche: Wasserversorgung, Abwasserbeseitigung)
  • B3S Ernährung (Sektor: Ernährung; Branche: Lebensmittelhandel)
  • B3S IT und TK (Sektor: IT und TK; Branchen: Informationstechnik)
  • B3S Fernwärme (Sektor: Energie)

B3S, die sich in der Erstellung bzw. im Verfahren der Vorabeignungsprüfung befinden:

  • Anlage oder Systeme zur Steuerung/Bündelung elektrischer Leistungen (Sektor Energie)
  • Lebensmittelindustrie (Sektor Ernährung)
  • Sicherer IT-Betrieb Variante Banken und Versicherungen (Sektor Finanz- und Versicherungswesen)
  • Luftverkehr (Sektor Transport und Verkehr)

Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme

Die Normenreihe IEC 62443 befasst sich mit den IT-Sicherheitsanforderungen an Integratoren und Instandhaltungsdienstleister industrieller Automatisierungssysteme. Der Begriff industrielles Automatisierungssystem umfasst alle Bestandteile, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind. Das sind auf der einen Seite vernetzte Komponenten, die eine Automatisierungslösung realisieren, wie Gateways. Dazu gehören auch alle Softwarekomponenten und Applikationen, die zur Automatisierung einer Produktionsanlage eingesetzt werden. Obwohl die Norm ursprünglich von der Automatisierungstechnik in der Prozessindustrie getrieben wurde, deckt ihr Anwendungsbereich nahezu alle Industriebereiche ab: die diskrete Fertigung, die Gebäudeautomation, verteilte Versorgungssysteme für Energie und Wasser sowie Pipelines und die Öl- und Gas-Produktion. Auch andere Branchen, die automatisierte oder ferngesteuerte Einrichtungen einsetzen, fallen in den Anwendungsbereich der IEC 62443.

Zusammenhang zwischen funktionaler Sicherheit und Informationssicherheit

Die Anwendungsregel VDE-AR-E 2802-10-1 „Zusammenhang zwischen funktionaler Sicherheit und Informationssicherheit am Beispiel der Industrieautomation Teil 1: Grundlagen“ gibt Empfehlungen zur systematischen Harmonisierung der Themen Informationssicherheit und funktionale Sicherheit für Systeme vor allem in der Industrieautomation (DIN EN 61508 (VDE 0803)(alle Teile)sowie der Normenreihe DIN EN 62443 (VDE 0802)). Sie unterstützt Hersteller, Integratoren und Betreiber. Nach derzeitigem Stand sind im Rahmen der Anwendungsregel VDE-AR-E 2802-10 die folgenden vier Teile geplant:

  • Teil 1: Grundlagen
  • Teil 2: Referenzarchitektur
  • Teil 3: Risiko- und Anforderungsanalyse, Entwicklung von Maßnahmen und Nachweisbarkeit
  • Teil 4: Anwendungsbeispiele.

Die Anwendungsregel hilft dabei, systematisch Anforderungen zu ermitteln und effiziente Lösungen zu gestalten, um funktionale Sicherheit zu erreichen. Gleichzeitig dient sie als Grundlage für weitere Diskussionen.

Datenmodelle, Schnittstellen und Informationsaustausch für Planung und Betrieb von Energieversorgungsunternehmen –Daten- und Kommunikationssicherheit

In der DIN EN 62351-3 wird festgelegt, wie Vertraulichkeit, Integritätsschutz und Authentifizierung auf Nachrichtenebene für SCADA und Fernwirkprotokolle, die TCP/IP als Nachrichtentransportschicht nutzen, vorgesehen werden kann, wenn im Netz Datensicherheit erforderlich ist.

Die Internationale Norm DIN EN 62351-7 definiert Datenobjektmodelle für Netzwerk- und Systemmanagement (NSM), welche spezifisch für Betriebsabläufe von Systemen der Energietechnik sind. Die NSM-Datenobjekte werden für die Überwachung des Befindens von Netzwerken und Systemen verwendet, um mögliche Störungen der Sicherheit zu erkennen und das Betriebsverhalten und die Zuverlässigkeit der Informationsinfrastruktur zu steuern.

Der Teil 11 der Normenreihe IEC 62351 legt Schemata, Verfahren und Algorithmen zur Gewährleistung der Sicherheit von XML-Dokumenten im Anwendungsbereich der IEC fest. Auf diesen Teil soll in anderen Normen Bezug genommen werden, wenn ein sicherer Datenaustausch erforderlich ist, es sei denn, die Parteien haben sich auf andere anerkannte sichere Austauschmechanismen geeinigt.

Fazit

Der P-D-C-A Zyklus, ob auf Basis der ISO/IEC 27001 oder des IT-Grundschutz vom BSI, stellt sicher dass immer der aktuelle Stand der Technik erreicht wird. Dadurch wird sichergestellt das immer eine angemessene organisatorische und technische Vorkehrung zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihres informationstechnischen Systems, Komponenten oder Prozesse treffen zu können.

Gerade als KMU fällt der Einstieg ins das Thema industrielle IT-Sicherheit nicht leicht. Hier kommt es auf pragmatische Best-Practices an. Wünschen Sie sich Informationen zu einem bestimmenten Thema? Dann schreiben Sie uns gerne und wir versuchen es in unsere Content-Roadmap aufzunehmen!

PS: Haben Sie schon einen Blick in unser Whitepaper „7 Schritte Richtung Industrial Security“ geworfen?