Organisation der IT-Sicherheit in der Produktion

In zehn Schritten zur sicheren Produktionsanlage

  • Karl-Heinz Niemann Hochschule Hannover

Abstract

Der folgende Beitrag befasst sich mit der IT-Sicherheit von Produktionsanlagen aus Betreibersicht. Hierbei liegt der Fokus auf den organisatorischen Aspekten der IT-Sicherheit. In einer Bestandsaufnahme werden zunächst die Probleme herausgearbeitet, die entstehen, sofern sich eine Organisation im Wesentlichen auf technische Aspekte der IT-Sicherheit konzentriert. Daraus wird die Notwendigkeit organisatorischer Maßnahmen abgeleitet. Eine Betrachtung von Normen und Standards, welche sich mit den organisatorischen Aspekten der IT-Sicherheit in der Produktion befassen, liefert das Grundgerüst für die Ableitung eines Maßnahmenplan. Der daraus resultierende 10-Punkte-Plan zur Umsetzung der IT-Sicherheit in der Produktion schließt den Beitrag ab.

##submission.authorBiography##

Karl-Heinz Niemann, Hochschule Hannover
Vita Prof. Dr. Karl-Heinz Niemann

Professur für Prozessinformatik und Automatisierungstechnik an der Hochschule Hannover.

 Aktuelle Lehrveranstaltungen:

  • Integrierte Automation
  • Industrielle Bussysteme
  • Prozessinterfacetechniken
  • Labor für Automatisierungstechnik und Prozessinformatik
  • Energieeffizientes Design von Produktionsanlagen

 Gremienarbeit

  • Leitung der Arbeitsgruppe CB/PG3: „Installation Guides“ bei PROFIBUS / PROFINET International.
  • Mitglied in der Arbeitsgruppe CB/PG10 „IT-Security“ bei PROFIBUS / PROFINET International.
  • Mitglied im VDI/VDE-GMA 6.15 „Zuverlässiger Betrieb Ethernet-basierter Bussysteme in der industriellen Automatisierung“.
  • Mitglied im VDI/VDE-GMA AG1 „IT-Security“ im Fachausschuss 5.22 „Security“

 Forschungsthemen

  • IT-Security
  • Energieeffizienz
  • Industrielle Kommunikation
  • Industrie 4.0

 Werdegang

  • Seit März 2005 Professur für Prozessinformatik und Automatisierungstechnik an der Hochschule Hannover.
  • Von Okt. 2002 bis Feb. 2005 Professur für Prozessdatenverarbeitung am Fachbereich Automatisierungstechnik der Fachhochschule Nordostniedersachsen in Lüneburg.
  • 1999-2002: Vice President R&D (Leiter der Entwicklung) Prozessleitsysteme bei der ABB Automation Products GmbH. Leiter des TC4 in der PROFIBUS-Nutzerorganisation. Stellvertretender Leiter des Technischen Ausschuss des FV15 im ZVEI.
  • 1997-1999: Vice President R&D (Leiter der Entwicklung) Prozessleitsysteme bei der Fa. Elsag Bailey / Hartmann und Braun.
  • 1995-1997: Leiter der Entwicklung Prozessleitsysteme bei der Firma Hartmann & Braun AG. Verantwortlich für die Leitsysteme Contronic P, Contronic E, Contronic S und Digimatik.
  • 1990-1995: Tätigkeit als Gruppen- und Abteilungsleiter im Bereich Hardwareentwicklung, CAE bei der Sensycon Gesellschaft für Mess- und Automatisierungstechnik sowie bei der Hartmann & Braun AG.
  • 1985-1990: Wissenschaftlicher Mitarbeiter und Akademischer Rat am Institut für Regelungstechnik der Universität Hannover. Promotion zum Thema: Multiprozessorsysteme für Echtzeitanwendungen.
  • 1978-1985: Studium der Elektrotechnik, Fachrichtung Regelungstechnik

References

  1. Camron, J., Frederiksen S., Glismand, F. (2017). A.P. Møller - Mærsk A/S Interim Report Q2 2017. Abgerufen von: http://investor.maersk.com/node/23456/pdf
  2. Scherschel, F. A. (2018). Nach NotPetya-Angriff: Weltkonzern Maersk arbeitete zehn Tage lang analog. Abgerufen von: https://www.heise.de/newsticker/meldung/Nach-NotPetya-Angriff-Weltkonzern-Maersk-arbeitete-zehn-Tage-lang-analog-3952112.html
  3. Kaspersky Lab. (2017). IT-Sicherheitsvorfall kostet europäische große Unternehmen 1,12 Millionen und kleine Firmen 68,880 Euro. Abgerufen von: https://www.kaspersky.de/about/press-releases/2017_it-sicherheitsvorfall-kostet-europaische-unternehmen
  4. Bundesamt für Sicherheit in der Informationstechnik (BSI). (2017). Cyber-Sicherheits-Umfrage 2017: Cyber-Risiken, Meinungen und Maßnahmen. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/ACS/cyber-sicherheits-umfrage_2017.pdf;jsessionid=E14010AA03E93E3598938DABED390E90.2_cid369?__blob=publicationFile&v=3
  5. Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). IT Grundschutzkatalog G 5.42 Social Engineering. Abgerufen von: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g05/g05042.html
  6. Bundesamt für Sicherheit in der Informationstechnik. (2016). Top 10 Bedrohungen und Gegenmaßnahmen 2016: Industrial Control System Security. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile&v=4
  7. National Cybersecurity and Communications Integration Center. (2016). Year in Review 2016 - Incident Response Pie Charts FY2016. Abgerufen von: https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2016_IR_Pie_Chart_S508C.pdf
  8. Bundesministerium für Wirtschaft und Energie BMWi. (2016). IT-Sicherheit für die Industrie 4.0: Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie. Abgerufen von: https://www.bmwi.de/Redaktion/DE/Publikationen/Studien/it-sicherheit-fuer-industrie-4-0.pdf?__blob=publicationFile&v=4
  9. ISO/IEC 27001:2013 + Cor. 1:2014. (2015). Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme – Anforderungen. DIN: www.beuth.de
  10. [10] Siegwarth, C., Adamzyk, H., Frey, G. (2018). Industrial Security - IEC 62443 in der I4.0 Analyse. In VDI Tagungsband Automation, 2018, Baden-Baden, 369–381.
  11. [11] Bundesministerium für Wirtschaft und Energie BMWi. (2016). IT-Security in der Industrie 4.0: Handlungsfelder für Betreiber. Abgerufen von: http://www.plattform-i40.de/I40/Redaktion/DE/Downloads/Publikation/leitfaden-it-security-i40.pdf?__blob=publicationFile&v=8
  12. [12] Department of Homeland Security 2016). Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies: Recommended Practice. Abgerufen von: https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/NCCIC_ICS-CERT_Defense_in_Depth_2016_S508C.pdf
  13. [13] Knapp, E. D., & Langill, J. T. (2014). Industrial Network Security: Securing critical infrastructure networks for smart grid, SCADA, and other Industrial Control Systems. Syngress.
  14. [14] SANS Institute. (2018). The State of Security in Control Systems Today. Abgerufen von: https://www.sans.org/reading-room/whitepapers/analyst/membership/36042
  15. [15] Kernkraftwerk Gundremmingen (2016). Aktuelle Informationen aus dem Kernkraftwerk Gundremmingen -Betriebsbericht Nr. 4/2016 vom 25.4.2016. Abgerufen von: http://www.kkw-gundremmingen.de/betriebsberichte.php?id=45
  16. [16] Bundesamt für Sicherheit in der Informationstechnik. (2018). Industrial Control System Security: Innentäter. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_061.pdf?__blob=publicationFile&v=3
  17. [17] Mettler, H., Krausz, S., Geiger, R. (2018). Integriertes Vorgehensmodell zur Planung und Umsetzung eines ISMS in der pharmazeutischen Produktion. In VDI Tagungsband Automation, 2018, Baden-Baden, 383–392.
  18. [18] VdS Schadenverhütung GmbH (o. J.). VdS Quick Check für Industrial Control Systems. Abgerufen von: https://www.vds-quick-check.de/der-vds-quick-check-fuer-ics-im-detail/
  19. [19] VDMA - Verband der Maschinen und Anlagenbauer e. V. (2014). VDMA Fragenkatalog Industrial Security. Abgerufen von: http://pks.vdma.org/documents/105969/142443/VDMA%20Fragenkatalog%20Security_2014_final.pdf/29d94802-ae85-4478-b1e5-cc4be852f002
  20. [20] DIN EN ISO/IEC 27002:2017-06. (2017). Informationstechnik - Sicherheitsverfahren - Leitfaden für Informationssicherheitsmaßnahmen (ISO/IEC 27002:2013 einschließlich Cor 1:2014 und Cor 2:2015); Deutsche Fassung EN ISO/IEC 27002:2017. DIN: www.beuth.de
  21. [21] DIN ISO/IEC TR 27019 DIN SPEC 27019. (2015). Informationstechnik – Sicherheitsverfahren – Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC 27002 (ISO/IEC TR 27019:2014), 2015. DIN: www.beuth.de
  22. [22] Kersten, H., Klett, G., Reuter, J., & Schröder, K. W. (2016). IT-Sicherheitsmanagement nach der neuen ISO 27001: ISMS, Risiken, Kennziffern, Controls. Springer-Verlag.
  23. [23] Bundesamt für Sicherheit in der Informationstechnik (BSI). (2008). BSI-Standard 100-1 - Managementsysteme für die Informationssicherheit (ISMS). Abgerufen von: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1001.pdf?__blob=publicationFile
  24. [24] Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). IT-Grundschutz-Kompendium: Edition 2018. Abgerufen von: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2018.pdf?__blob=publicationFile&v=7.
  25. [25] Kobes, P. (2016). Leitfaden Industrial Security: IEC 62443 einfach erklärt. VDE Verlag.
  26. [26] VDMA - Verband der Maschinen und Anlagenbauer e. V. (2016). Leitfaden Security für den Maschinen- und Anlagenbau Der Weg durch die IEC 62443. Abgerufen von: http://pks.vdma.org/documents/105969/15311113/1479910314521_INS%20Security-Leitfaden%20VDMA_v1.0_WEB.pdf/b615dd92-3b84-4e93-afb6-23f54fead723
  27. [27] ISA 62443 2 1 (99.02.01). (2014). Security for industrial automation and control systems Part 2-1: Industrial automation and control system security management system. ISA: www.isa.org
  28. [28] IEC TR 62443-2-3:201. (2015). Security for industrial automation and control systems - Part 2-3: Patch Management in the IACS environment. IEC: www.iec.ch
  29. [29] DIN IEC 62443-2-4:2017-01. (2016). IT-Sicherheit für industrielle Automatisierungssysteme - Teil 2-4: Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme (IEC 62443-2-4:2015 + Cor.:2015). DIN: www.beuth.de
  30. [30] DIN IEC 62443-2-4-100:2017-09. (2017). IT-Sicherheit für industrielle Automatisierungssysteme - Teil 2-4: Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme (IEC 65/637A/CDV:2016). DIN: www.beuth.de
  31. [31] DIN EN 62443-3-2:2018-10. (2018). Sicherheit für industrielle Automatisierungssysteme - Teil 3-2: Sicherheitsrisikobeurteilung und Systemgestaltung (IEC 65/690/CDV:2018); Deutsche und Englische Fassung prEN 62443-3-2:2018, - Entwurf. DIN: www.beuth.de
  32. [32] DIN IEC 62443-3-3:2015-06. (2015). Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme - Teil 3-3: Systemanforderungen zur IT-Sicherheit und Security-Level (IEC 62443-3-3:2013 + Cor.:2014), - Entwurf, 2015. DIN: www.beuth.de
  33. [33] VdS 3473:2015-07. (2015). Informationssicherheit in kleinen und mittleren Unternehmen (KMU). VdS: www.vds.de
  34. [34] Vds 10020. (2018). Cyber Security für kleine und mittlere Unternehmen (KMU) - Leitfaden zur Interpretation und Umsetzung der VdS 3473 für Industrielle Automatisierungssysteme. www.vds.de
  35. [35] BITKOM - Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (2006). IT-Risiko- und Chancenmanagement im Unternehmen: Ein Leitfaden für kleine und mittlere Unternehmen. Abgerufen von: https://www.bitkom.org/Publikationen/2006/Leitfaden/Leitfaden-IT-Risiko-und-Chancenmanagement-fuer-kleine-und-mittlere-Unternehmen/060601-Bitkom-Leitfaden-IT-Risikomanagement-V10-final.pdf.
  36. [36] VDMA - Verband der Maschinen und Anlagenbauer e. V. (2016). Leitfaden Industrie 4.0 Security: Handlungsempfehlungen für den Mittelstand. Abgerufen von: https://industrie40.vdma.org/documents/4214230/15280277/1492501068630_Leitfaden_I40_Security_DE.pdf/836f1356-12e6-4a00-9a4d-e4bcc07101b4
  37. [37] VDI/VDE 2182 Blatt 1:2011-01. (2011). Informationssicherheit in der industriellen Automatisierung - Allgemeines Vorgehensmodell, 2011. VDI: www.beuth.de
  38. [38] NAMUR. (2006). NA115: IT-Sicherheit für Systeme der Automatisierungstechnik: Randbedingungen für Maßnahmen beim Einsatz in der Prozessindustrie. NAMUR: www.namur.net
  39. [39] NAMUR (2015). NE 153: Automation Security 2020 – Design, Implementierung und Betrieb industrieller Automatisierungssysteme. NAMUR: www.namur.net.
  40. [40] Junker, H. (2013). Cyber-Sicherheit zur Chefsache machen: Firmen sind meist ungenügend vor IT-Attacken geschützt. In atp magazin, 2013(7-8), 20–21
  41. [41] Kersten, H., & Klett, G. (2015). Der IT Security Manager: Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden. Springer-Verlag.
  42. [42] Slay, J., & Miller, M. (2007, March). Lessons learned from the maroochy water breach. In International Conference on Critical Infrastructure Protection (pp. 73-82). Springer, Boston, MA.
  43. [43] Department of Homeland Security. (2018). ICS-CERT Alerts. Abgerufen von: https://ics-cert.us-cert.gov/alerts
  44. [44] Siemens AG. (2018). Siemens ProductCERT und Siemens CERT. Abgerufen von: https://www.siemens.com/global/de/home/produkte/services/cert.html
  45. [45] WAGO Kontakttechnik GmbH & Co. KG. (2018). Wago Security - Hinweise Automatisierungskomponenten. Abgerufen von: https://www.wago.com/de/automatisierungstechnik/security
  46. [46] VDI/VDE 2182 Blatt 2.3:2017-09. (2017). Informationssicherheit in der industriellen Automatisierung - Anwendungsbeispiel des Vorgehensmodells in der Fabrikautomation für Maschinen- und Anlagenbauer für Betreiber Presswerk. VDI: www.beuth.de
  47. [47] VDI/VDE 2182 Blatt 3.3:2013-06. (2016). Informationssicherheit in der industriellen Automatisierung Anwendungsbeispiel des Vorgehensmodells in der Prozessautomation für Betreiber LDPE-Anlage, 2013. VDI: www.beuth.de
  48. [48] ISA 62443-3-1: Technical Report Security Technologies for Industrial Automation and Control Systems, , Rev. 2, 2007.
  49. [49] DIN IEC 62443-3-3 (VDE 0802-3-3): Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme - Teil 3-3: Systemanforderungen zur IT-Sicherheit Und Security-Level (IEC 62443-3-3:2013 + Cor.:2014) Entwurf, DIN IEC 62443-3-3 (VDE 0802-3-3), 2015.
  50. [50] SANS Institute. (2016). Analysis of the Cyber Attack on the Ukrainian Power Grid: Defense Use Case. Abgerufen von: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf.
  51. [51] Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). Fernwartung im industriellen Umfeld. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_108.pdf?__blob=publicationFile&v=3
  52. [52] NAMUR. (2011). NA 135: Fernwartung bei Systemen der Automatisierungstechnik in der Prozessindustrie. NAMUR: www.namur.net
  53. [53] Bundesamt für Sicherheit in der Informationstechnik (BSI) (2018). Schutz vor Ransomware - Präventive Maßnahmen zur Absicherung vor Krypto-Trojanern. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_124.pdf?__blob=publicationFile&v=2
  54. [54] Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). IT Grundschutz: CON.3 Datensicherungskonzept. Abgerufen von: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/CON/CON_3_Datensicherungskonzept.html
  55. [55] Niemann, K. (2014). IT-Security-Konzepte für die Prozessindustrie. atp Magazin, 56(07-08), 62-69. Abgerufen am Oktober 22, 2018 von http://ojs.di-verlag.de/index.php/atp_edition/article/view/2256
Veröffentlicht
2018-11-22
Zitieren
NIEMANN, Karl-Heinz. Organisation der IT-Sicherheit in der Produktion. atp magazin, [S.l.], v. 60, n. 11-12, p. 80-89, nov. 2018. ISSN 2364-3137. Verfügbar unter: <http://ojs.di-verlag.de/index.php/atp_edition/article/view/2373>. Date accessed: 18 dez. 2018.