Obwohl das Bewusstsein für die Gefahren, die aus dem Cyber-Raum drohen, hoch ist, gibt es in vielen Produktionsanlagen (OT) nach wie vor keinen Hauptverantwortlichen für dieses Thema. Dabei bräuchte es gerade im Zusammenhang mit Cyber Security eine zentrale Anlaufstelle, die alle (an)laufenden sicherheitsspendenden Einzelmaßnahmen von IT und OT zu einem stimmigen Gesamtkonzept vereint. Vielfach wird versucht, mit einfachen, relativ kostengünstigen Mitteln eine „gefühlte Sicherheit“ zu kreieren. Bei einer realen Bedrohung bringt dies aber meist nur wenig. Die IEC 62443 – eine Normenreihe, die sich mit der IT-Security sogenannter „Industrial Automation and Control Systems“ (IACS) befasst – empfiehlt für die Umsetzung eines ganzheitlichen Defense-in-Depth-Konzepts den koordinierten Einsatz unterschiedlichster Sicherheitsmaßnahmen. Dabei geht es nicht nur um die Implementierung technischer Sicherheitsmaßnahmen, sondern auch um Organisatorisches. Denn der „Angreifer“, egal ob tatsächlich bewusst Schaden anrichten wollend oder aus Unachtsamkeit einen ebensolchen verursachend, befindet sich oftmals im unmittelbaren Umfeld. Laut einer aktuellen KPMG-Studie zielen 60 % aller Angriffe auf die „Schwachstelle Mensch“.
Die 5 Schritte zur Risikominimierung
Identify – Protect – Detect – Respond – Recover
Eine 100%ige Sicherheit gibt es leider nicht. Dennoch können wir einiges dafür tun, uns bestmöglich zu schützen. Das National Institute of Standards and Technology (NIST) empfiehlt in seinem Cybersecurity Framework ein strategisches Vorgehen in fünf Schritten: Zuerst geht es im Rahmen einer umfassenden Risikoanalyse darum, etwaige Schwachstellen in der vorhandenen Netzwerkinfrastruktur und – ganz wichtig! – in der gelebten „Sicherheitspolitik“, Stichwort Security Policies and Procedures, zu identifizieren (Identify). Dann sollte eine Bewertung der entdeckten Risiken und zumindest an besonders kritischen Stellen eine entsprechende Absicherung erfolgen (Protect). Beim dritten Punkt – Detect – ist das Erkennen einer Attacke Thema. Denn vielfach bleiben Trojaner oder andere unerwünschte Eindringlinge monate- oder sogar jahrelang unentdeckt. Wichtig ist natürlich auch, zu wissen bzw. zu klären, wie im Ernstfall reagiert werden soll (Respond): Wer ist wofür zuständig? Wie kann die Abschaltung einzelner Netzwerksegmente realisiert werden, um Schäden zu minimieren? Welche Backup-Szenarien stehen zur Verfügung? Und last but not least muss im laut NIST-Framework fünften Schritt der ursprüngliche Zustand wiederhergestellt werden (Recover) – und das so rasch wie möglich.
Industrial Security beinhaltet also weitaus mehr als „bloße“ Netzwerksicherheit. Das Lösungsangebot von Rockwell Automation baut auf den Eckpfeilern der sogenannten CIA-Triade – Vertraulichkeit (Confidentiality), Integrität (Integrity), Verfügbarkeit (Availability) – auf und umfasst neben secure entwickelten Produkten auch entsprechende Beratungsdienstleistungen sowie ganzheitlichen Support bei der Realisierung physisch, elektronisch und verfahrenstechnisch sicherer Anlagendesigns. Vor kurzem zeigten wir in Frankfurt auf der Achema unsere Antworten auf aktuelle Herausforderungen wie Manipulationserkennung, Zugriffssteuerung, Patch-Management oder Cyberangriff-Abwehr, Ende August folgt ein Auftritt auf der Schweizer Technologiemesse SINDEX und am 3. Oktober beim IoT-Fachkongress von Austrian Standards International. Bei diesen beiden Veranstaltungen werden wir ebenfalls unser weitreichendes Portfolio an Industrial Security-Solutions und -Services in den Blickpunkt stellen. Ich hoffe wir sehen uns?!
