Vertrauen muss man sich erarbeiten, heißt es. Das gilt umso mehr, wenn ein erhöhtes Sicherheitsbedürfnis besteht, wie es im Industrieumfeld der Fall ist. Die Notwendigkeit für robuste und sichere IT-Infrastrukturen steigt nicht nur aufgrund der zunehmenden Gefahren durch Cyberangriffe. In der Produktion und in anderen vernetzten Bereichen versprechen Industrie 4.0-Anwendungen Optimierungen, die die Unternehmensergebnisse wesentlich beeinflussen können, aber die Umsetzung kann nur auf Basis einer widerstandsfähigen Infrastruktur erfolgen.
Betreiber fordern daher von Herstellern, verlässliche Partner in puncto Security zu sein und sichere Produkte zu liefern. Für Hersteller wird ihre Security-Kompetenz zunehmend zu einer Frage der Wettbewerbsfähigkeit.
Der Aufbau von Security-Kompetenz gehört bei Herstellern auf die Agenda
Security ist eine Gemeinschaftsaufgabe, für die alle Beteiligten im Anlagenlebenszyklus ihren Teil beitragen müssen. Hersteller stehen dabei vor besonderen Herausforderungen.
Incident Response – es geht um Vertrauen, aber nicht nur
Weil es eine hundertprozentige Sicherheit nicht gibt, können Sicherheitslücken in jedem Produkt auftreten und das wissen die Marktteilnehmer. Worauf es aber ankommt, wenn ein Hersteller Kenntnis von einer Schwachstelle erhält, ist der professionelle Umgang damit.
Haben Personen, die Sicherheitslücken in Produkten finden, wie beispielsweise Pentester, Whiteheads oder Ihre eigenen Kunden, schon Probleme damit, überhaupt einen zuständigen Ansprechpartner in Ihrem Unternehmen zu finden, dann ist die Chance vertan und die Meldung wird anderswo platziert, möglicherweise als Kommentar unter Ihrer Werbung auf einer Social-Media-Plattform. Das kostet nicht nur Reputation, sondern auch wertvolle Zeit, die jemand, der Ihrem Unternehmen nicht wohlgesonnen ist, in seinem Sinne nutzen kann.
Auf bekannt gewordene Sicherheitslücken nicht angemessen zu reagieren, kann außerdem Auswirkungen auf Haftungsfragen haben. Wenn sich daraus Schadenslagen ergeben, können etwaige Versicherungsleistungen empfindlich eingeschränkt oder gar ausgeschlossen werden.
„Kein großer Hersteller für OT-Produkte kann es sich leisten, keinen Prozess für den Umgang mit Sicherheitslücken zu haben!“
(Jens Sparmann, WAGO)
Regulation durch den Gesetzgeber
Der Gesetzgeber reagiert auf die sich verschärfende Gefahrenlage: Die neue Fassung des IT-Sicherheitsgesetzes schreibt in §9b (BSIG) vor, dass beim Einsatz kritischer Komponenten in kritischen Infrastrukturen Hersteller dem Betreiber eine Garantieerklärung zur Vertrauenswürdigkeit liefern müssen. Darin muss aufgeführt werden, wie der Hersteller sicherstellt, dass sein Produkt über keine technischen Eigenschaften verfügt, die missbräuchlich für Zwecke verwendet werden können, die sicherheitsrelevant sind.
Kritische Komponenten, das sind nach dem IT-Sicherheitsgesetz „IT-Produkte“, deren Ausfall die Funktion der KRITIS-Anlage wesentlich beeinträchtigen kann. Der Kreis der Unternehmen, die vom IT-Sicherheitsgesetz nun betroffen sind, erweitert sich mit der Senkung der Schwellenwerte und der Aufnahme eines neuen Sektors (Siedlungsabfallentsorgung) sowie den „Unternehmen von besonderem öffentlichem Interesse“.
Auch auf europäischer Ebene gibt es einschlägige Vorgaben, wie die NIS-Richtlinie, an der sich das deutsche IT-Sicherheitsgesetz orientiert, und auf dem Weltmarkt gibt es zahlreiche lokale Regularien.
Im Unternehmen braucht es ein fundiertes Wissen darüber, welche der zahlreichen gesetzlichen Vorgaben, die regelmäßig angepasst werden, für die Geschäftstätigkeit Ihres Unternehmens in Ihren Zielmärkten verpflichtend sind. Umso besser, wenn Sie außerdem verstehen, welche Vorgaben Ihre Kunden auf Betreiberseite einzuhalten haben und Sie eine gemeinsame Herangehensweise für einen konstruktiven Umgang damit finden.
Security-Kompetenz als Marktanforderung in vernetzten Lieferketten
Weil Betreiber Security gewährleisten müssen, müssen Hersteller Security liefern.
Aber auch die Vergrößerung der Angriffsfläche durch vernetzte Lieferketten, wo der Vorfall bei einem Unternehmen schnell zum massiven Problem für viele werden kann (Supply Chain Attacken), drängt sich durch aktuelle Beispiele, die durch die Presse gehen, stark ins Bewusstsein. Viele Betreiber reagieren, indem sie das Thema Absicherung auf ihre Lieferanten auslagern, auch weil kleineren und mittleren Betreibern oftmals das Know-how und die Ressourcen für weitreichende Maßnahmen im eigenen Unternehmen fehlen.
Immer häufiger ist die Security-Kompetenz auf Herstellerseite Bestandteil in Ausschreibungen, wenn Sicherheitsereignis- und Reaktions-Teams oder ein Produktentwicklungsprozess nach IEC 62443 gefordert werden.
Produktsicherheit inklusive eines kompetenten Umgangs mit Sicherheitslücken ist in Zeiten komplex vernetzter Lieferketten in globalen Märkten kein „Nice-to-have“ mehr, sondern wird zunehmend zur Grundlage, um auf dem Markt bestehen zu können.
PSIRT und CERT – handlungsfähige Expertenteams beim Hersteller
Damit Sie als Hersteller auf eine eingehende Meldung über eine Schwachstelle in Ihrem Produkt adäquat reagieren können, brauchen Sie eine kompetente handlungsfähige Instanz, die Auswirkungen und Kritikalität bewerten und wirksame Maßnahmen ableiten kann.
PSIRT – Product Incident Response Team – das Produkt im Fokus
Weil die Folgen von Schwachstellen in einem Produkt weitreichend sein können und unterschiedliche Maßnahmen erfordern, sind beim Thema Produktsicherheit viele Verantwortungsbereiche bis hin zur Geschäftsleitung involviert. Damit ergeben sich komplexe Kommunikationswege, zahlreiche Themen und noch mehr Ansprechpartner. Das macht ein koordiniertes Vorgehen unter Zeitdruck zur Herausforderung.
Das PSIRT ist ein Expertenteam, das die Bewertung von Sicherheitsmeldungen für eigene Produkte vornimmt, reaktive Schutzmaßnahmen ableitet und deren Umsetzung koordiniert. Es stellt die zentrale Anlaufstelle für eingehende Meldungen dar und führt sowohl notwendige externe als auch die interne Kommunikation.
Dafür muss sich das Team aus Mitarbeitern der Abteilungen zusammensetzen, deren Mitwirkung beim praktischen Umgang mit Sicherheitslücken erforderlich ist, wie beispielsweise aus dem Produktmanagement, der Produktentwicklung, der Qualitätssicherung, aus der Rechtsabteilung, aus Vertrieb und Support.
Damit die Gruppe das nötige Gewicht für ihr Vorgehen bekommt, muss eine entsprechende organisatorische Verankerung im Unternehmen gegeben sein.
Die Mehrwerte, die ein PSIRT liefert
Mit einem PSIRT im Unternehmen erfüllen Sie nicht nur formal die Marktanforderung nach Security-Kompetenz, von der Ihre Kunden möglicherweise die Auftragsvergabe abhängig machen (müssen).
Aussagefähig zu sein, wenn Interessenten, Kunden, Behörden oder Partner nach Security fragen und proaktiv ein professionelles Vorgehen vorweisen zu können, das stärkt das Vertrauen im Markt und kann ein entscheidender Wettbewerbsvorteil sein.
Nachweisliche Security-Kompetenz kann außerdem Auswirkungen auf Versicherungskonditionen haben, und weil Security auch immer mit Kosten verbunden ist, sind finanzielle Vorteile, die sich ergeben, durchaus erwähnenswert.
CERT – Computer Emergency Response Team – mit Fokus auf IT
Ein Computer Emergency Response Team besteht aus IT-Experten, die als zentrale Anlaufstelle präventiv und reaktiv auf IT-Sicherheitsvorfälle reagieren.
Für Hersteller, die ein PSIRT im eigenen Unternehmen unterhalten, kann es sinnvoll sein, sich zusätzlich die Expertise eines unternehmensübergreifenden CERT zu sichern. Für die Bewertung von Schwachstellen und beim Verfassen von Advisories, also der Beschreibung der bekannt gewordenen Schwachstelle und der Herstellerempfehlung zur Bewältigung der Gefährdungslage, ist dabei die Expertise vieler Unternehmen hilfreich, die Mitglied beispielsweise beim CERT@VDE sind.
In Fällen, die die Einbeziehung des BSI (Bundesamt für Sicherheit in der Informationstechnik) erfordern, übernimmt das CERT die Kommunikation mit dem BSI, das gemeldete Sicherheitslücken und Schwachstellen öffentlich verfügbar macht.
Mit Jens Sparmann von WAGO konnten wir im Rahmen unseres Live-Interviews ausführlich praxisnahe Aspekte zur Arbeitsweise eines PSIRT erörtern. WAGO arbeitet auch mit einem unternehmensübergreifenden CERT zusammen. Die Aufzeichnung des Interviews finden Sie hier:
Die Relevanz der Industrienormenreihe IEC 62443 für Hersteller
Wenn es um Produktsicherheit geht, dann kommt der internationalen Normenreihe IEC 62443 als wichtigstem Leitfaden für IT-Sicherheit in Industrieumgebungen eine besondere Rolle zu.
Wofür die IEC 62443 steht
Die IEC 62443 steht für einen ganzheitlichen Security-Ansatz in der Industrie. Sie beschreibt Anforderungen und Vorgehensweisen für die Rollen des Herstellers, des Integrators und des Betreibers über den gesamten Anlagenlebenszyklus hinweg. Die Sicherung der Anlagenverfügbarkeit wird durch einen sicheren professionellen Betrieb und das Zusammenwirken aller beteiligter Instanzen erreicht.
Besonders für Betreiber kritischer Infrastrukturen ist die IEC 62443 relevant, weil durch ihre Anwendung der im IT-Sicherheitsgesetz geforderte „Stand der Technik“ für die Absicherung der Systeme nachgewiesen werden kann.
Sichere Produktentwicklung und Produktsicherheit nach der IEC 62443
Für die Rolle des Herstellers liefert die IEC 62443 mit dem Bereich 4-1 eine komplexe Dokumentation zu technischen und prozessualen Aspekten einer sicheren Produktentwicklung.
Der Bereich 4-2 beinhaltet Anforderungen für die Sicherheit von Komponenten.
Die Anwendung der relevanten Bereiche der IEC 62443 empfiehlt sich auch für Unternehmen, die ein ganzheitliches Security-Konzept umsetzen möchten, die aber nicht notwendigerweise eine Zertifizierung anstreben. Dabei ist wichtig, sich auf die Ableitung solcher Maßnahmen zu konzentrieren, die für die individuelle Kritikalität der eigenen Systeme angemessen und praktisch umsetzbar sind, auch im Hinblick auf wirtschaftliche Aspekte.
PSIRT: Die praktische Umsetzung für mehr Produktsicherheit
Auch wenn die Etablierung und die Wirkungsweise eines PSIRT komplex sind, so ist der Start in die Umsetzung vergleichsweise einfach zu bewerkstelligen.
Eine zentrale Anlaufstelle und jeder soll sie finden
Der erste Schritt zum Aufbau eines PSIRT kann eine Telefonnummer oder eine E-Mail-Adresse sein, die Sie im Unternehmen für Anfragen und Meldungen zu Sicherheitslücken und -Vorfällen einrichten. Sorgen Sie dafür, dass diese Kontaktstelle sichtbarer Teil Ihres Unternehmensauftritts nach innen und nach außen wird!
Machen Sie Produktsicherheit intern zum Thema
Der Aufbau eines PSIRT braucht Aufmerksamkeit und Ressourcen innerhalb der Organisation. Dafür muss die Awareness bei allen Führungsebenen bestehen und von dort aus in die einzelnen Bereiche getragen werden. Der Zweck und das Ziel müssen klar vom Management kommuniziert und erforderliche Ressourcen freigegeben werden. Ein PSIRT läuft nicht irgendwie nebenher.
Dem Thema die nötige Priorisierung zu geben und die Umsetzung beim Aufbau konsequent zu betreiben, stellt eine besondere Herausforderung dar, denn messbare Ergebnisse lassen sich aus einem PSIRT erst einmal nicht ableiten. Und im Arbeitsalltag kommen ständig neue Dringlichkeiten dazwischen.
Bringen Sie Kollegen an einen Tisch, die zum PSIRT werden
Definieren und deligieren Sie Verantwortlichkeiten für die relevanten Bereiche. Bringen Sie zuständige Kollegen zusammen, um sich in das Thema einzuarbeiten, Bedarfe zu diskutieren und Aufgaben aus aktuellen Anforderungen abzuleiten. Die Entwicklung eines erforderlichen Prozesses ist damit bereits initiiert.
Sprechen Sie mit Ihren Kunden über Security
In vielen Fällen sind Anknüpfungspunkte in der alltäglichen Kundenkommunikation gegeben. Das Thema kommt auf den Tisch, wenn Kunden beispielsweise Fragen zu Architektur und Netzwerkinfrastruktur für eine Konzepterstellung an Sie als Hersteller adressieren oder im Rahmen von Ausschreibungen Security-relevante Begrifflichkeiten mit Ihnen klären. Nutzen Sie diese Gelegenheiten, um die individuelle Situation beim Betreiber und die besonderen Security-Anforderungen zu verstehen.
Bringen Sie das Thema Security proaktiv zur Sprache und kommunizieren Sie den Aufbau Ihres PSIRT an Ihre Kunden, für die Security genauso relevant und wichtig ist, wie für Sie. Ihre Zusammenarbeit wird nachhaltig davon profitieren!
Fazit
Wie es Jens Sparmann von WAGO zum Abschluss unseres Interviews so treffend formulierte: „Security lebt vom Mitmachen!“ Der Aufbau eines PSIRT stärkt die Position Ihres Unternehmens bei Ihren Kunden und Partnern, weil es die Basis für Vertrauen legt und gleichzeitig den Anforderungen an Security-Kompetenz gerecht wird, die im Markt immer mehr Verbindlichkeit erhalten.
IEC 62443 Guide: Besser diskutieren mit Herstellern
CEO & Founder
Die IEC 62443 nimmt weiter mehr Fahrt auf und wird immer öfters auch von Herstellern, Lieferanten und auch Betreibern referenziert.
In unserem Guide helfen wir Ihnen als Betreiber, wie sie die IEC 62443 zur besseren Diskussion mit Ihren Lieferanten und Komponentenherstellern nutzen können.
