Relevante Sicherheitsstandards für Industrie 4.0

blue arrow and white target

Praktisch jede Studie zu Industrie 4.0 enthält zurzeit einen „Ja, aber…“-Absatz: die IT-Sicherheit. Nach einer Analyse der Deutschen Telekom haben 90% der Entscheider Sicherheitsbedenken (Cyber Security Report 2015), beim VDE sehen 70% der Befragten die IT-Sicherheit gefährdet (2) und einer Bitkom-Untersuchung nach sind mehr als 50 Prozent der Studienteilnehmer (3) besorgt wegen Datenschutz und Datensicherheit. Die Bedenken sind begründet. Schließlich entstehen mit dem vernetzten Zugang zu Produktions- und Prozessleittechnik sehr reale Gefahren für Leib und Leben der Mitarbeiter und für die Produktion an sich. Doch es gibt auch heute schon genügend etablierte Standards und Frameworks, um IT-Sicherheit bis auf die Produktionsumgebung hinunter einzurichten. Viele der Initiativen gehen auf US-amerikanische Organisationen zurück, aber auch das deutsche Bundesamt für Sicherheit in der Informationstechnik widmet sich dem Thema mit mehreren Publikationen und mit Software.

Einen ausführlichen Einstieg mit konkreten Handlungsempfehlungen bietet unter anderem das Dokument 800-82(v2) des National Institute of Standards and Technology (NIST). Der „Guide to Industrial Control Systems (ICS) Security“ führt allgemein in das Thema ICS ein, behandelt spezifische Probleme bei der Netzwerkarchitektur in ICS und nutzt viele Elemente aus klassischen ISMS, wie beispielsweise das Controls-Konzept aus ISO2700X. Mit vielen Beispielen und einer sehr ausführlichen Literaturliste im Anhang ist der NIST 800-82 ein gutes (und kostenloses) Framework, das sowohl Sicherheitseinsteiger mit ICS-Vorbildung anspricht als auch Sicherheitspraktiker auf die Besonderheiten der ICS-Absicherung vorbereitet. Ohne die zahlreichen Anhänge ist das Framework knapp 100 Seiten lang und damit auch für viel beschäftigte Administratoren und Techniker überschaubar. Für ISO-Profis gibt es auch ein sehr hilfreiches Mapping zwischen NIST und ISO-Gemeinsamkeiten. Der Annex D des 800-82 Frameworks enthält noch dazu eine sehr ausführliche Liste von Sicherheitsframeworks für spezifische Branchen wie Öl und Gas oder große Energieerzeuger.

Was in den USA als ISA99 bekannt ist, heißt in Europa IEC62443. Der IEC 62443 verfolgt einen ganzheitlichen Ansatz, da sowohl das Managementsystem CSMS als auch das System und die Komponenten für industrielle Umgebungen adressiert werden. Vereinfacht gesagt, nutzt IEC 62443 ein Zoning- und Conduit-Konzept, dass Komponenten des IACS von anderen Komponenten getrennt betrachtet. Die Trennung der Zonen muss auf verschiedenen Ebenen durchgesetzt werden, sie kann räumlich, also physikalisch erfolgen oder auf logischer Ebene stattfinden. Leider ist die Normenreihe nicht kostenfrei verfügbar, die IEC-Normen können beim VDE-Verlag bezogen werden, die IEC-Entwürfe beim DKE-Schriftstück-Service.

Noch nicht ganz so umfangreich, dafür sogar mit kostenloser Softwareunterstützung, fällt hingegen das Angebot des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus. Neben der Top-10 Liste der ICS-Bedrohungen gibt es ein ICS Security-Kompendium, sowohl für die Betreiber als auch für die Hersteller von ICS. Wer sich bei der Implementierung von Sicherheitsmaßnahmen helfen lassen will, findet in Light and Right Security (LARS) einen einfachen aber effektiven Helfer. Natürlich lassen sich auch die IT-Grundschutz-Kataloge als Anleitung für ein ISMS heranziehen. Viele Bereiche der Grundschutz-Kataloge sind produkt- und herstellerunabhängig, sie befassen sich mit organisatorischen Aspekten, die auch im industriellen Umfeld gültig sind.

Neben den drei angesprochene Normen und Frameworks existieren noch mindestens ein Dutzend weiterer Dokumente und Informationsreihen zur ICS-Sicherheit, zum Beispiel von ISACA oder SANS. Die meisten davon stehen im Internet zum Download bereit, alles was der Anlagenbetreiber braucht ist etwas Zeit, um sich in die Thematik einzulesen. Und die ist allemal besser investiert, als sich nur Sorgen um Datenschutz und IT-Sicherheit in der Fabrikhalle zu sorgen.