In vielen Projekten wird Sicherheit als Zustand betrachtet. Ein System wird geplant, gebaut, abgesichert und dann betrieben. In Industrial Control Systems ist diese Sichtweise falsch.
Eine Anlage ist kein statisches System. Sie verändert sich kontinuierlich. Software wird aktualisiert, Komponenten werden ersetzt, Netzwerke erweitert, Schnittstellen hinzugefügt, externe Systeme angebunden. Und genau in diesen Veränderungen entstehen die meisten Sicherheitsrisiken. Lifecycle Management ist deshalb keine organisatorische Disziplin. Es ist ein zentraler Bestandteil der technischen Sicherheit. Ein System ist nur so sicher wie seine Fähigkeit, kontrolliert verändert zu werden.
Der erste entscheidende Punkt ist die Verbindung zum Asset Management. Ohne vollständige Transparenz über Komponenten, Firmwarestände und Softwareabhängigkeiten ist Lifecycle Management nicht möglich. Lifecycle Management baut direkt auf Asset Management und CMDB auf. Wenn nicht bekannt ist:
Welche Komponenten existieren
Welche Versionen aktiv sind
Welche Abhängigkeiten bestehen
dann kann keine sichere Veränderung durchgeführt werden. Hier zeigt sich die erste Verbindung. Asset Management schafft Transparenz. Lifecycle Management steuert Veränderung. Der zweite zentrale Zusammenhang besteht zum Patch Management. In klassischen IT Umgebungen werden Patches regelmäßig eingespielt. In ICS Umgebungen ist das komplexer. Ein Patch kann:
Zykluszeiten verändern
CPU Last erhöhen
Kommunikationsverhalten beeinflussen
Inkompatibilitäten erzeugen
Deshalb ist Patch Management in ICS immer ein Lifecycle Thema. Ein Patch wird nicht einfach installiert.
Er wird bewertet, getestet, freigegeben und geplant ausgerollt. Lifecycle Management definiert genau diesen Prozess. Ohne Lifecycle Management entsteht entweder Stillstand oder Chaos. Entweder Systeme werden nie aktualisiert oder Änderungen erfolgen unkontrolliert. Beides ist kritisch. Der dritte wichtige Zusammenhang besteht zum Cyber Resilience Act. Der CRA fordert:
Updatefähigkeit über den Lebenszyklus
Vulnerability Handling
Dokumentation von Änderungen
Nachvollziehbarkeit
Das bedeutet konkret, dass ein Betreiber in der Lage sein muss zu zeigen:
Welche Änderungen durchgeführt wurden
Warum sie durchgeführt wurden
Welche Auswirkungen bewertet wurden
Welche Version aktuell aktiv ist
Lifecycle Management wird damit regulatorisch relevant. Ein weiterer kritischer Punkt ist das Thema wesentliche Änderung. In vielen Anlagen werden über Jahre Anpassungen vorgenommen.
Neue Schnittstellen
Neue Softwaremodule
Neue Remote Zugänge
Neue Datenflüsse
Irgendwann stellt sich die Frage, ist das noch das ursprüngliche System oder ein neues System mit neuen Risiken? Eine wesentliche Änderung kann bedeuten:
Neue Risikoanalyse erforderlich
Neue Sicherheitsbewertung notwendig
Neue Dokumentation notwendig
Ohne Lifecycle Management wird diese Grenze nicht erkannt. Das führt direkt in regulatorische Probleme. Ein weiterer wichtiger Aspekt ist die Projektperspektive. Nicht jede Anlage entsteht gleich. Greenfield bedeutet, ein System wird komplett neu aufgebaut. Hier kann Security von Anfang an integriert werden. Grayfield bedeutet, bestehende Systeme werden erweitert. Hier entstehen Schnittstellen zwischen alter und neuer Welt. Brownfield bedeutet, bestehende Systeme werden weiterbetrieben. Hier dominieren Legacy Komponenten und eingeschränkte Änderungsmöglichkeiten. Lifecycle Management muss für alle drei Szenarien funktionieren. In einem Greenfield Projekt bedeutet das:
Strukturierte Planung
Integration von Security in Architektur und Prozesse
In einem Grayfield Projekt bedeutet das:
Kontrollierte Integration neuer Komponenten
Bewertung von Schnittstellenrisiken
In einem Brownfield Projekt bedeutet das:
Dokumentation bestehender Systeme
Einführung von kompensierenden Maßnahmen
Kontrollierte Modernisierung
Ein häufig unterschätzter Punkt ist die Geschwindigkeit von Veränderungen. Viele Sicherheitsprobleme entstehen nicht durch große Änderungen, sondern durch viele kleine.
Ein neuer Benutzer
Ein zusätzlicher Zugriff
Ein kleines Softwareupdate
Ein temporärer Wartungszugang
Einzeln betrachtet unkritisch, in Summe strukturell riskant. Lifecycle Management sorgt dafür, dass diese Veränderungen sichtbar bleiben. Ein weiterer entscheidender Punkt ist die Verbindung zur Architektur. Zonenkonzepte, Conduits und Security Levels sind keine statischen Konstrukte. Wenn sich Systeme verändern, müssen diese Konzepte angepasst werden.
Eine neue Verbindung kann eine Zone verändern. Ein neuer Zugriff kann einen Conduit erweitern. Ein neues System kann den Target Security Level beeinflussen. Lifecycle Management sorgt dafür, dass Architektur und Realität synchron bleiben. Am Ende lässt sich Lifecycle Management auf einen einfachen Satz reduzieren:
Sicherheit ist kein Zustand, sondern ein Prozess.
Ein System, das einmal sicher war, kann durch unkontrollierte Änderungen unsicher werden. Ein System, das strukturiert weiterentwickelt wird, kann langfristig sicher bleiben. Und genau hier liegt der Unterschied zwischen kurzfristiger Compliance und nachhaltiger Sicherheit.
Im nächsten Artikel gehen wir in das Thema Software Akkreditierung und zeigen, wie Softwarestände kontrolliert freigegeben werden und warum ungeprüfte Updates eines der größten Risiken in ICS darstellen.
Weitere Artikel
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 11 – Integrität von Steuerungssystemen
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 10 – MQTT in ICS
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 7 – OPC UA und MQTT
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 3 – Wann wird eine industrielle Anlage regulatorisch zu einem Produkt und was bedeutet das für Betreiber