Vertrauen muss man sich erarbeiten, heißt es. Das gilt umso mehr, wenn ein erhöhtes Sicherheitsbedürfnis besteht, wie es im Industrieumfeld der Fall ist. Die Notwendigkeit für robuste und sichere IT-Infrastrukturen steigt nicht nur aufgrund der zunehmenden Gefahren durch Cyberangriffe. In der Produktion und in anderen vernetzten Bereichen versprechen Industrie 4.0-Anwendungen Optimierungen, die die Unternehmensergebnisse wesentlich beeinflussen können. Die Basis für einen nachhaltigen Einsatz innovativer Technologien besteht in einer widerstandsfähigen Infrastruktur.
Betreiber fordern daher von Herstellern, verlässliche Partner in puncto Security zu sein und sichere Produkte zu liefern. Für Hersteller wird ihre Security-Kompetenz zunehmend zu einer Frage der Wettbewerbsfähigkeit.
Security-Kompetenz auf der Agenda
Security ist eine Gemeinschaftsaufgabe, für die alle Beteiligten im Anlagenlebenszyklus ihren Teil beitragen müssen. Hersteller stehen dabei vor besonderen Herausforderungen.
Incident Response – es geht um Vertrauen, aber nicht nur
Eine hundertprozentige Sicherheit gibt es nicht, Sicherheitslücken können in jedem Produkt auftreten. Das wissen die Marktteilnehmer. Worauf es aber ankommt, wenn ein Hersteller Kenntnis von einer Schwachstelle erhält, ist der professionelle Umgang damit.
Hat jemand, der eine Sicherheitslücke in Ihrem Produkt findet, schon Probleme damit, überhaupt einen zuständigen Ansprechpartner in Ihrem Unternehmen zu finden, dann ist die Chance vertan. Pentester, Whiteheads oder Ihre eigenen Kunden platzieren die Meldung dann vielleicht anderswo, möglicherweise als Kommentar unter Ihrer Werbung auf einer Social-Media-Plattform. Das kostet nicht nur Reputation, sondern auch wertvolle Zeit, die eine Person, die Ihrem Unternehmen nicht wohlgesonnen ist, in ihrem Sinne nutzen kann.
Auf bekannt gewordene Sicherheitslücken nicht angemessen zu reagieren, kann außerdem Auswirkungen auf Haftungsfragen haben. Wenn sich daraus Schadenslagen ergeben, können etwaige Versicherungsleistungen empfindlich eingeschränkt oder gar ausgeschlossen werden.
Expertise zur einschlägigen Regulierung
Der Gesetzgeber reagiert auf die sich verschärfende Gefahrenlage. Das IT-Sicherheitsgesetz nimmt Hersteller in die Pflicht, deren Produkte in KRITIS-Betrieben wesentlich für die Funktionsfähigkeit der Anlagen sind. Hersteller kritischer Komponenten müssen dem Betreiber eine Garantieerklärung zu ihrer Vertrauenswürdigkeit liefern. Darin muss aufgeführt werden, wie der Hersteller sicherstellt, dass sein Produkt über keine technischen Eigenschaften verfügt, die missbräuchlich für sicherheitsrelevante Zwecke verwendet werden können. (§9b BSIG).
Auch auf europäischer Ebene gibt es einschlägige Vorgaben, wie die NIS2-Richtlinie, an derem Vorgänger (NIS) sich das deutsche IT-Sicherheitsgesetz orientiert. Der EU Cyber Resilience Act (CRA), der zurzeit in Arbeit ist, hat Cybersecurity für Produkte mit digitalen Elementen im Fokus. Hersteller sollen dazu verpflichtet werden, Security über den gesamten Lebenszyklus als wichtigen Faktor eines Produktes zu berücksichtigen.
Und auf dem Weltmarkt gibt es außerdem zahlreiche lokale Regularien.
Im Unternehmen braucht es ein fundiertes Wissen darüber, welche der vielen gesetzlichen Vorgaben, die auch regelmäßig angepasst werden, für die Geschäftstätigkeit Ihres Unternehmens in Ihren Zielmärkten verpflichtend sind. Umso besser, wenn Sie außerdem verstehen, welche Vorgaben Ihre Kunden auf Betreiberseite einzuhalten haben und Sie eine gemeinsame Herangehensweise für einen konstruktiven Umgang damit finden.
Security als Marktanforderung in vernetzten Lieferketten
Weil Betreiber Security gewährleisten müssen, müssen Hersteller Security liefern.
In vernetzten Lieferketten vergrößern sich die Angriffsflächen. Ein Vorfall in einem Unternehmen kann schnell zum massiven Problem für viele werden. Die eigene Gefährdungslage drängt sich durch aktuelle Beispiele für Supply Chain Attacken, die durch die Presse gehen, stark ins Bewusstsein. Viele Betreiber reagieren, indem sie das Thema Absicherung auf ihre Lieferanten auslagern, auch weil kleineren und mittleren Betreibern oftmals das Know-how und die Ressourcen für weitreichende Maßnahmen im eigenen Unternehmen fehlen.
Immer häufiger ist die Security-Kompetenz auf Herstellerseite Bestandteil in Ausschreibungen. Dort werden dann Sicherheitsereignis- und Reaktions-Teams oder ein Produktentwicklungsprozess nach IEC 62443 gefordert.
Produktsicherheit und ein kompetenter Umgang mit Sicherheitslücken ist in Zeiten komplex vernetzter Lieferketten in globalen Märkten kein „Nice-to-have“ mehr. Vielmehr wird Security-Kompetenz zunehmend zu einer Voraussetzung, um auf dem Markt bestehen zu können.
PSIRT und CERT – handlungsfähige Expertenteams
Damit Sie als Hersteller auf eine eingehende Meldung über eine Schwachstelle in Ihrem Produkt adäquat reagieren können, brauchen Sie eine kompetente handlungsfähige Instanz. Diese muss sowohl die Kritikalität als auch mögliche Auswirkungen bewerten und wirksame Maßnahmen ableiten.
PSIRT – Product Incident Response Team – das Produkt im Fokus
Weil die Folgen von Schwachstellen in einem Produkt weitreichend sein können und unterschiedliche Maßnahmen erfordern, sind beim Thema Produktsicherheit viele Verantwortungsbereiche bis hin zur Geschäftsleitung involviert. Damit ergeben sich komplexe Kommunikationswege, zahlreiche Themenbereiche und noch mehr Ansprechpartner. Das macht ein koordiniertes Vorgehen unter Zeitdruck zur Herausforderung.
Es stellt die zentrale Anlaufstelle für eingehende Meldungen dar und führt sowohl notwendige externe als auch die interne Kommunikation.
Dafür muss sich das Team aus Mitarbeitern der Abteilungen zusammensetzen, deren Mitwirkung beim praktischen Umgang mit Sicherheitslücken erforderlich ist. Dazu gehören beispielsweise Produktmanagement, Produktentwicklung, Qualitätssicherung, Rechtsabteilung, Vertrieb und Support.
Damit die Gruppe das nötige Gewicht für ihr Vorgehen bekommt, muss eine entsprechende organisatorische Verankerung im Unternehmen gegeben sein.
Die Mehrwerte eines PSIRT
Mit einem PSIRT im Unternehmen erfüllen Sie nicht nur formal die Marktanforderung nach Security-Kompetenz, von der Ihre Kunden möglicherweise die Auftragsvergabe abhängig machen (müssen).
Aussagefähig zu sein, wenn Interessenten, Kunden, Behörden oder Partner nach Security fragen und proaktiv ein professionelles Vorgehen vorweisen zu können, das stärkt das Vertrauen im Markt. Genau das kann ein entscheidender Wettbewerbsvorteil sein.
Nachweisliche Security-Kompetenz kann außerdem Auswirkungen auf Versicherungskonditionen haben, und weil Security auch immer mit Kosten verbunden ist, sind finanzielle Vorteile, die sich ergeben, durchaus erwähnenswert.
CERT – Computer Emergency Response Team – der Fokus auf IT
Ein Computer Emergency Response Team besteht aus IT-Experten, die als zentrale Anlaufstelle präventiv und reaktiv auf IT-Sicherheitsvorfälle reagieren.
Für Hersteller, die ein PSIRT im eigenen Unternehmen unterhalten, kann es sinnvoll sein, sich zusätzlich die Expertise eines unternehmensübergreifenden CERT zu sichern. Für die Bewertung von Schwachstellen und beim Verfassen von Advisories, also der Beschreibung der bekannt gewordenen Schwachstelle und der Herstellerempfehlung zur Bewältigung der Gefährdungslage, ist dabei die Expertise vieler Unternehmen hilfreich, die Mitglied beispielsweise beim CERT@VDE sind.
In Fällen, die die Einbeziehung des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfordern, übernimmt das CERT die Kommunikation mit dem BSI, das gemeldete Sicherheitslücken und Schwachstellen öffentlich verfügbar macht.
Mit Jens Sparmann von WAGO konnten wir im Rahmen unseres Live-Interviews ausführlich praxisnahe Aspekte zur Arbeitsweise eines PSIRT erörtern. WAGO arbeitet auch mit einem unternehmensübergreifenden CERT zusammen. Die Aufzeichnung des Interviews finden Sie hier:
Die Relevanz der IEC 62443 für Hersteller
Wenn es um Produktsicherheit geht, dann kommt der internationalen Normenreihe IEC 62443 eine besondere Rolle zu. Sie ist der wichtigste Leitfaden für IT-Sicherheit in Industrieumgebungen.
Wofür die IEC 62443 steht
Die IEC 62443 steht für einen ganzheitlichen Security-Ansatz in der Industrie. Sie beschreibt Anforderungen und Vorgehensweisen für die Rollen des Herstellers, des Integrators und des Betreibers über den gesamten Anlagenlebenszyklus hinweg. Die Sicherung der Anlagenverfügbarkeit wird durch einen sicheren professionellen Betrieb und das Zusammenwirken aller beteiligter Instanzen erreicht.
Besonders für Betreiber Kritischer Infrastrukturen ist die IEC 62443 relevant, weil mit ihr der Nachweis des im IT-Sicherheitsgesetz geforderten „Stand der Technik“ für die Absicherung der Systeme unterstützt werden kann.
Produktsicherheit nach der IEC 62443
Für die Rolle des Herstellers liefert die IEC 62443 mit dem Bereich 4-1 eine komplexe Dokumentation zu technischen und prozessualen Aspekten einer sicheren Produktentwicklung.
Der Bereich 4-2 beinhaltet Anforderungen für die Sicherheit von Komponenten.
Die Anwendung der relevanten Bereiche der IEC 62443 empfiehlt sich auch für Unternehmen, die ein ganzheitliches Security-Konzept umsetzen möchten, die aber nicht notwendigerweise eine Zertifizierung anstreben. Dabei ist wichtig, sich auf die Ableitung solcher Maßnahmen zu konzentrieren, die für die individuelle Kritikalität der eigenen Systeme angemessen und praktisch umsetzbar sind, auch im Hinblick auf wirtschaftliche Aspekte.
Praxistauglicher Aufbau eines PSIRT
Auch wenn die Etablierung und die Wirkungsweise eines PSIRT komplex sind, so ist der Start in die Umsetzung vergleichsweise einfach zu bewerkstelligen.
Eine zentrale Anlaufstelle und jeder soll sie finden
Der erste Schritt zum Aufbau eines PSIRT kann eine Telefonnummer oder eine E-Mail-Adresse sein, die Sie im Unternehmen für Anfragen und Meldungen zu Sicherheitslücken und -Vorfällen einrichten. Sorgen Sie dafür, dass diese Kontaktstelle sichtbarer Teil Ihres Unternehmensauftritts nach innen und nach außen wird!
Machen Sie Produktsicherheit intern zum Thema
Der Aufbau eines PSIRT braucht Aufmerksamkeit und Ressourcen innerhalb der Organisation. Dafür muss Awareness bei allen Führungsebenen vorhanden sein und von dort aus in die einzelnen Bereiche getragen werden. Der Zweck und das Ziel müssen klar vom Management kommuniziert und erforderliche Ressourcen freigegeben werden. Ein PSIRT läuft nicht irgendwie nebenher.
Dem Thema die nötige Priorisierung zu geben und die Umsetzung beim Aufbau konsequent zu betreiben, stellt eine besondere Herausforderung dar. Immerhin lassen sich messbare Ergebnisse bei einem PSIRT erst einmal nicht ableiten. Und im Arbeitsalltag kommen ständig neue Dringlichkeiten dazwischen.
Bringen Sie Kollegen an einen Tisch, die zum PSIRT werden
Definieren und delegieren Sie Verantwortlichkeiten für die relevanten Bereiche. Bringen Sie zuständige Kollegen zusammen, um sich in das Thema einzuarbeiten, Bedarfe zu diskutieren und Aufgaben aus aktuellen Anforderungen abzuleiten. Die Entwicklung eines erforderlichen Prozesses ist damit bereits initiiert.
Sprechen Sie mit Ihren Kunden über Security
In vielen Fällen sind Anknüpfungspunkte in der alltäglichen Kundenkommunikation gegeben. Das Thema kommt auf den Tisch, wenn Kunden beispielsweise Fragen zu Architektur und Netzwerkinfrastruktur für eine Konzepterstellung an Sie als Hersteller adressieren. Oder wenn im Rahmen von Ausschreibungen Security-relevante Begrifflichkeiten geklärt werden müssen. Nutzen Sie diese Gelegenheiten, um die individuelle Situation beim Betreiber und die besonderen Security-Anforderungen zu verstehen.
Bringen Sie das Thema Security proaktiv zur Sprache und kommunizieren Sie den Aufbau Ihres PSIRT an Ihre Kunden, für die Security genauso relevant und wichtig ist, wie für Sie. Ihre Zusammenarbeit wird nachhaltig davon profitieren!
Fazit
Wie es Jens Sparmann von WAGO zum Abschluss unseres Interviews so treffend formulierte: „Security lebt vom Mitmachen!“ Der Aufbau eines PSIRT stärkt die Position Ihres Unternehmens bei Ihren Kunden und Partnern. Das schafft Vertrauen, und gleichzeitig werden Sie damit den Anforderungen an Security-Kompetenz gerecht, die im Markt immer mehr Verbindlichkeit erhalten.
IEC 62443 Guide: Besser diskutieren mit Herstellern
CEO & Founder
Die IEC 62443 nimmt weiter mehr Fahrt auf und wird immer öfters auch von Herstellern, Lieferanten und auch Betreibern referenziert.
In unserem Guide helfen wir Ihnen als Betreiber, wie sie die IEC 62443 zur besseren Diskussion mit Ihren Lieferanten und Komponentenherstellern nutzen können.
