ISO / IEC 62443: Cyber­security in der Industrieautomatisierung

Die IEC 62443-Serie wurde entwickelt, um industrielle Kommunikationsnetze und Industrielle Automatisierungs- und Steuerungssysteme (IACS) durch einen systematischen Ansatz zu sichern.

Sie umfasst derzeit neun Normen, Technische Berichte (TR) und Technische Spezifikationen (TS), wobei vier Teile noch in der Entwicklung sind. IACS finden sich in immer mehr Bereichen und Branchen, viele davon, wie z. B. Energieversorgung und -verteilung, Transportwesen, Fertigung usw. sind von zentraler Bedeutung für kritische Infrastrukturen (PH 9.860.2: Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen).

Zu den IACS gehören auch Supervisory Control and Data Acquisition (SCADA)-Systeme, welche häufig von Organisationen eingesetzt werden, welche in Branchen mit kritischer Infrastruktur tätig sind, wie z. B. Stromerzeugung, -übertragung und -verteilung, Gas- und Wasserversorgungsnetze. Die Sicherstellung von Risikominderung und Ausfallsicherheit ist daher unerlässlich.

Verhinderung von illegalem oder unangemessenem Zugriff

In den Veröffentlichungen der IEC 62443 wird “der Begriff ‘Sicherheit’ als Verhinderung des illegalen oder unerwünschten Eindringens, der absichtlichen oder unabsichtlichen Störung des ordnungsgemäßen und beabsichtigten Betriebs oder des unangemessenen Zugriffs auf vertrauliche Informationen in Integriertes Verwaltungs- und Kontrollsystem (InVeKoS) betrachtet.”

Sicherheit “umfasst Computer, Netzwerke, Betriebssysteme, Anwendungen und andere programmierbare, konfigurierbare Komponenten des Systems”.

Die IEC 62443-Normen decken alle Aspekte der Cybersicherheit in allen Phasen ab und sind ein Eckpfeiler eines “Secure-by-Design”-Ansatzes.

Daher ist ein breiter Überblick über die IEC 62443-Publikationen notwendig, da sie für alle industriellen Kommunikationsnetze und IACS-Anwender relevant sind, einschließlich Anlagenbesitzer, Systemintegratoren, Gerätehersteller, Lieferanten, Anlagenbetreiber, Wartungsfachleute und alle privaten und staatlichen Organisationen, welche mit der Cybersicherheit von Steuerungssystemen zu tun haben oder davon betroffen sind (IEC / TS 62443-1-1 Industrielle Kommunikationsnetze, Netzwerk- und Systemsicherheit – Teil 1-1: Terminologie, Konzepte und Modelle).

Die Normenreihe IEC 62443 ist in vier Teile gegliedert, welche Folgendes abdecken:

  • Allgemeines (IEC 62443-1.* – ein Teil von vier veröffentlicht)
    Die allgemeinen Dokumente geben einen Überblick über den industriellen Sicherheitsprozess und stellen wesentliche Konzepte vor.
  • Richtlinien und Verfahren (Policies & Procedures) (IEC 62443-2.* – drei Teile von vier veröffentlicht)
    Die Dokumente zu Policies & Procedures heben die Bedeutung von Richtlinien hervor – selbst die beste Sicherheit ist nutzlos, wenn die Mitarbeiter/innen nicht geschult und verpflichtet sind, sie zu unterstützen.
  • System (IEC 62443-3.* – alle drei Teile veröffentlicht)
    Da Sicherheit nur als integriertes System verstanden werden kann, bieten die Dokumente zum Thema “System” wichtige Anleitungen zum Entwurf und zur Implementierung sicherer Systeme.
  • Komponenten (IEC 62443-4.* – beide Teile veröffentlicht)
    Da man ein solides Gebäude nicht aus schwachen Ziegeln bauen kann, beschreiben die Komponentendokumente die Anforderungen, welche für sichere Industriekomponenten erfüllt werden müssen.

Informationstechnik (IT) und Betriebstechnik (OT)

Internationale IEC-Normen wie ISO / IEC 27001 und IEC 62443 sind zusammen mit der Prüfung und Zertifizierung (Konformitätsbewertung) wichtige Werkzeuge für ein erfolgreiches und ganzheitliches Cybersicherheitsprogramm. Ein solcher Ansatz erhöht das Vertrauen der Stakeholder, indem er nicht nur den Einsatz von Sicherheitsmaßnahmen auf Basis von Best Practices nachweist, sondern auch, dass eine Organisation die Maßnahmen effizient und effektiv umgesetzt hat. Dies muss in eine übergreifende Strategie eingebunden werden, welche Menschen, Prozesse und Technologie umfasst. Dabei werden nicht nur die technischen Maßnahmen an sich betrachtet, sondern auch die Organisation rund um diese Maßnahmen, welche sicherstellt, dass Cyber-Angriffe rechtzeitig erkannt werden.

Herausforderungen bei der Implementierung

Obwohl die IEC 62443 viele Vorzüge und Vorteile hat, bringt die Implementierung der Norm auch einige Herausforderungen mit sich.

Die Norm ist jedoch nicht vollständig. Einige der Spezifikationen in der Norm sind noch nicht veröffentlicht worden.

Jedoch ist die Norm sehr umfangreich: Mit einem Gesamtumfang von bisher mehr als 800 Seiten und weiteren Spezifikationen, welche sukzessive veröffentlicht werden, ist ein erheblicher Zeit- und Arbeitsaufwand erforderlich, um den kompletten Standard zu lesen und zu verstehen.

Mit unserem Prüfungsstandard nach IDW PS 860 (IT-Prüfung außerhalb der Abschlussprüfung) stellen wir die Erfüllung gesetzlicher oder regulatorischer Anforderungen. Die Prüfungshinweise sind vorgesehen für

  • Cloud / Cybersecurity
  • Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (PH 9.860.1)
  • Prüfung bei Betreibern kritischer Infrastrukturen (PH 9.860.2)
  • Konformität GoB Vorgaben

Einhaltung von Industriestandards und anerkannter IT-Frameworks

  • PCI-DSS
  • ISO Normen
  • COSO, COBIT oder ITIL

Mit unserer Bescheinigung stellen wir sicher, dass die Mechanismen, die implementierten Maßnahmen und Kontrollen einer Angemessenheitsprüfung (Zeitpunktbetrachtung) unterzogen werden und die Kriterien geeignet sind. Wir prüfen die Implementierung der Kontrollen und Maßnahmen zur Gewährleistung von Cyber-Sicherheit und unterziehen diese einer Wirksamkeitsprüfung (Zeitraumbetrachtung) und stellen somit sicher, dass die Kontrollen und Maßnahmen im Zeitraum wirksam waren.

/von

REMOTE ARBEITEN – Cybersicher vor Bedrohungen

Durch die Pandemie wurde für viele Ihrer Kollegen das Zuhause zum neuen Arbeitsort. Eine vertraute Umgebung, aber ist sie sicher?

Die Arbeit wird größtenteils über Home Internet Service Provider (ISPs), also über ungesicherte Router verrichtet. Nachbarn können Ihre Telefonate mithören und dabei sensible Informationen erhaschen. Vielleicht nutzt der Lebenspartner / die Lebenspartnerin auch noch das gleiche Arbeitsgerät und nutzt es für anderweitig geschäftliches. Kurz gesagt: es gibt keinen anderen beliebten Ort, wie das zu Hause Ihrer Mitarbeiter/innen für Cyber-Attacken.

Fast täglich werden durch Hacker altbekannte Methoden wie Phishing-Mails verwendet. Dabei gehen die Betrüger mit der Zeit mit und nutzen die Pandemie schamlos aus. Sie lotsen Ihre Mitarbeiter/innen auf Webseiten, um angeblich Mund-Nasen-Bedeckungen, medizinische Gesichtsmasken sowie partikelfiltrierende Halbmasken (FFP) zu verkaufen oder führen das „Opfer“ auf Webseiten, um die neuesten Nachrichten lesen zu lassen (z. B. wie man sich von dem Virus erholen kann). Hacker haben sogar eine App entwickelt, welche sich als „Weltgesundheitsorganisation WHO“ ausgab. Diese Applikation war dem Original zum Verwechseln ähnlich. Sie war (be-)trügerisch und zog dem Anwender Informationen direkt vom Mobiltelefon ab. Altbekannte Sicherheitsvorkehrungen – wie Firewalls – kommen damit an ihre Grenzen, um Cyberbedrohungen dieser Art zu stoppen.

Was aber tun? Wir müssen die Themen rund um Cybersicherheit neu überdenken, damit Mitarbeiter/innen aus der Ferne sicher arbeiten können.
Cyber-Attacken vollständig aus dem Weg zu gehen ist leider nicht möglich. Jedoch ist nicht jede Bedrohung per se eine große Gefahr. Wichtig ist, dass Ihre Mitarbeiter/innen sensibilisiert werden, damit sie etwaige Maßnahmen zeitnah ergreifen können, um die gefährlichsten Cyberangriffe zu verhindern. Das macht den Unterschied zwischen einer erfolgreichen Remote-Belegschaft und einer anfälligen Belegschaft aus. Dem Unternehmen ist geraten eine „Home-Office-Policy“ zu erstellen, denn Unternehmen sind in der Nachweispflicht. Unternehmen brauchen ein klares Prozedere bei Datenpannen und IT-Problemen.

Um irreparable und möglicherweise teure Datenschutzverletzungen (nach DSGVO und / oder BDSG) zu verhindern, empfehlen wir folgende Handlungsmöglichkeiten:

Arbeitsdaten bleiben Arbeitsdaten

  • Laptops / Arbeitsgeräte außerhalb der Arbeitszeit ausschalten
  • Bildschirm sperren, sobald man den Arbeitsplatz verlässt (auch wenn nur für den Gang zur Toilette und wieder zurück)
  • Nicht gesperrter Bildschirm vor unbefugten Dritten (Mitbewohner/innen, Familienmitglieder/innen, Freunde etc.) schützen

Nicht nachlassen bei Passwörtern

  • Es wird empfohlen, mindestens zwölf Zeichen zu verwenden (einschließlich Sonderzeichen und Zahlen)
  • Es wird empfohlen, das Kennwort regelmäßig (alle 30 Tage) zu wechseln

Neustart

  • Dies ist wichtig, damit die Antivirensoftware sich regelmäßig aktualisiert
  • Dieser Vorgang minimiert die Anfälligkeit der (mobilen) Endgeräte

Obacht vor verdächtigen E-Mails

  • Kennen Sie den Absender?
  • Sieht die Nachricht nach Spam aus?
  • Mitarbeiter/innen sollten Phishing-Versuche sofort löschen und melden

Die beste Offensive gegen Cyberangriffe ist eine gute Verteidigungsstrategie. Diese beginnt damit, dass eine IT-Analyse durchgeführt wird. So wappnet sich ihr Unternehmen vor Datenschutzverletzungen:

  1. Für alle Endgeräte wie Laptops, muss die erforderliche Antivirensoftware vom Arbeitgeber zur Verfügung gestellt werden
  2. Alle Mitarbeiter/innen welche remote arbeiten, müssen an den regelmäßigen (alle zwölf Monate) Schulungen zur Informations- und Cybersicherheit teilnehmen. Über aktuelle Bedrohungslagen müssen die Mitarbeiter/innen zeitnah informiert werden
  3. Wir empfehlen eine mehrstufige Authentifizierung, um sicherzustellen, dass Mitarbeiter/innen ihre Identität über ihre Telefone bestätigen, bevor Sie auf vertrauliche Dateien zugreifen.
  4. Richten Sie eine verschlüsselte VPN-Verbindung ein, um den Zugang zu sicheren Informationen zu gewährleisten
  5. Ernennen Sie einen Datenschutzbeauftragten / Informationssicherheitsbeauftragten (Information Security Officer), um potenzielle Cyberangriffe melden zu können
/von