Organisation der IT-Sicherheit in der Produktion
In zehn Schritten zur sicheren Produktionsanlage
DOI:
https://doi.org/10.17560/atp.v60i11-12.2373Schlagworte:
IT-Sicherheit, Organisatorische Aspekte, VorgehensmodellAbstract
Der folgende Beitrag befasst sich mit der IT-Sicherheit von Produktionsanlagen aus Betreibersicht. Hierbei liegt der Fokus auf den organisatorischen Aspekten der IT-Sicherheit. In einer Bestandsaufnahme werden zunächst die Probleme herausgearbeitet, die entstehen, sofern sich eine Organisation im Wesentlichen auf technische Aspekte der IT-Sicherheit konzentriert. Daraus wird die Notwendigkeit organisatorischer Maßnahmen abgeleitet. Eine Betrachtung von Normen und Standards, welche sich mit den organisatorischen Aspekten der IT-Sicherheit in der Produktion befassen, liefert das Grundgerüst für die Ableitung eines Maßnahmenplan. Der daraus resultierende 10-Punkte-Plan zur Umsetzung der IT-Sicherheit in der Produktion schließt den Beitrag ab.
Literaturhinweise
Camron, J., Frederiksen S., Glismand, F. (2017). A.P. Møller - Mærsk A/S Interim Report Q2 2017. Abgerufen von: http://investor.maersk.com/node/23456/pdf
Scherschel, F. A. (2018). Nach NotPetya-Angriff: Weltkonzern Maersk arbeitete zehn Tage lang analog. Abgerufen von: https://www.heise.de/newsticker/meldung/Nach-NotPetya-Angriff-Weltkonzern-Maersk-arbeitete-zehn-Tage-lang-analog-3952112.html
Kaspersky Lab. (2017). IT-Sicherheitsvorfall kostet europäische große Unternehmen 1,12 Millionen und kleine Firmen 68,880 Euro. Abgerufen von: https://www.kaspersky.de/about/press-releases/2017_it-sicherheitsvorfall-kostet-europaische-unternehmen
Bundesamt für Sicherheit in der Informationstechnik (BSI). (2017). Cyber-Sicherheits-Umfrage 2017: Cyber-Risiken, Meinungen und Maßnahmen. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/ACS/cyber-sicherheits-umfrage_2017.pdf;jsessionid=E14010AA03E93E3598938DABED390E90.2_cid369?__blob=publicationFile&v=3
Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). IT Grundschutzkatalog G 5.42 Social Engineering. Abgerufen von: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g05/g05042.html
Bundesamt für Sicherheit in der Informationstechnik. (2016). Top 10 Bedrohungen und Gegenmaßnahmen 2016: Industrial Control System Security. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile&v=4
National Cybersecurity and Communications Integration Center. (2016). Year in Review 2016 - Incident Response Pie Charts FY2016. Abgerufen von: https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2016_IR_Pie_Chart_S508C.pdf
Bundesministerium für Wirtschaft und Energie BMWi. (2016). IT-Sicherheit für die Industrie 4.0: Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie. Abgerufen von: https://www.bmwi.de/Redaktion/DE/Publikationen/Studien/it-sicherheit-fuer-industrie-4-0.pdf?__blob=publicationFile&v=4
ISO/IEC 27001:2013 + Cor. 1:2014. (2015). Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme – Anforderungen. DIN: www.beuth.de
Siegwarth, C., Adamzyk, H., Frey, G. (2018). Industrial Security - IEC 62443 in der I4.0 Analyse. In VDI Tagungsband Automation, 2018, Baden-Baden, 369–381.
Bundesministerium für Wirtschaft und Energie BMWi. (2016). IT-Security in der Industrie 4.0: Handlungsfelder für Betreiber. Abgerufen von: http://www.plattform-i40.de/I40/Redaktion/DE/Downloads/Publikation/leitfaden-it-security-i40.pdf?__blob=publicationFile&v=8
Department of Homeland Security 2016). Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies: Recommended Practice. Abgerufen von: https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/NCCIC_ICS-CERT_Defense_in_Depth_2016_S508C.pdf
Knapp, E. D., & Langill, J. T. (2014). Industrial Network Security: Securing critical infrastructure networks for smart grid, SCADA, and other Industrial Control Systems. Syngress.
SANS Institute. (2018). The State of Security in Control Systems Today. Abgerufen von: https://www.sans.org/reading-room/whitepapers/analyst/membership/36042
Kernkraftwerk Gundremmingen (2016). Aktuelle Informationen aus dem Kernkraftwerk Gundremmingen -Betriebsbericht Nr. 4/2016 vom 25.4.2016. Abgerufen von: http://www.kkw-gundremmingen.de/betriebsberichte.php?id=45
Bundesamt für Sicherheit in der Informationstechnik. (2018). Industrial Control System Security: Innentäter. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_061.pdf?__blob=publicationFile&v=3
Mettler, H., Krausz, S., Geiger, R. (2018). Integriertes Vorgehensmodell zur Planung und Umsetzung eines ISMS in der pharmazeutischen Produktion. In VDI Tagungsband Automation, 2018, Baden-Baden, 383–392.
VdS Schadenverhütung GmbH (o. J.). VdS Quick Check für Industrial Control Systems. Abgerufen von: https://www.vds-quick-check.de/der-vds-quick-check-fuer-ics-im-detail/
VDMA - Verband der Maschinen und Anlagenbauer e. V. (2014). VDMA Fragenkatalog Industrial Security. Abgerufen von: http://pks.vdma.org/documents/105969/142443/VDMA%20Fragenkatalog%20Security_2014_final.pdf/29d94802-ae85-4478-b1e5-cc4be852f002
DIN EN ISO/IEC 27002:2017-06. (2017). Informationstechnik - Sicherheitsverfahren - Leitfaden für Informationssicherheitsmaßnahmen (ISO/IEC 27002:2013 einschließlich Cor 1:2014 und Cor 2:2015); Deutsche Fassung EN ISO/IEC 27002:2017. DIN: www.beuth.de
DIN ISO/IEC TR 27019 DIN SPEC 27019. (2015). Informationstechnik – Sicherheitsverfahren – Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC 27002 (ISO/IEC TR 27019:2014), 2015. DIN: www.beuth.de
Kersten, H., Klett, G., Reuter, J., & Schröder, K. W. (2016). IT-Sicherheitsmanagement nach der neuen ISO 27001: ISMS, Risiken, Kennziffern, Controls. Springer-Verlag.
Bundesamt für Sicherheit in der Informationstechnik (BSI). (2008). BSI-Standard 100-1 - Managementsysteme für die Informationssicherheit (ISMS). Abgerufen von: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1001.pdf?__blob=publicationFile
Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). IT-Grundschutz-Kompendium: Edition 2018. Abgerufen von: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2018.pdf?__blob=publicationFile&v=7.
Kobes, P. (2016). Leitfaden Industrial Security: IEC 62443 einfach erklärt. VDE Verlag.
VDMA - Verband der Maschinen und Anlagenbauer e. V. (2016). Leitfaden Security für den Maschinen- und Anlagenbau Der Weg durch die IEC 62443. Abgerufen von: http://pks.vdma.org/documents/105969/15311113/1479910314521_INS%20Security-Leitfaden%20VDMA_v1.0_WEB.pdf/b615dd92-3b84-4e93-afb6-23f54fead723
ISA 62443 2 1 (99.02.01). (2014). Security for industrial automation and control systems Part 2-1: Industrial automation and control system security management system. ISA: www.isa.org
IEC TR 62443-2-3:201. (2015). Security for industrial automation and control systems - Part 2-3: Patch Management in the IACS environment. IEC: www.iec.ch
DIN IEC 62443-2-4:2017-01. (2016). IT-Sicherheit für industrielle Automatisierungssysteme - Teil 2-4: Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme (IEC 62443-2-4:2015 + Cor.:2015). DIN: www.beuth.de
DIN IEC 62443-2-4-100:2017-09. (2017). IT-Sicherheit für industrielle Automatisierungssysteme - Teil 2-4: Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme (IEC 65/637A/CDV:2016). DIN: www.beuth.de
DIN EN 62443-3-2:2018-10. (2018). Sicherheit für industrielle Automatisierungssysteme - Teil 3-2: Sicherheitsrisikobeurteilung und Systemgestaltung (IEC 65/690/CDV:2018); Deutsche und Englische Fassung prEN 62443-3-2:2018, - Entwurf. DIN: www.beuth.de
DIN IEC 62443-3-3:2015-06. (2015). Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme - Teil 3-3: Systemanforderungen zur IT-Sicherheit und Security-Level (IEC 62443-3-3:2013 + Cor.:2014), - Entwurf, 2015. DIN: www.beuth.de
VdS 3473:2015-07. (2015). Informationssicherheit in kleinen und mittleren Unternehmen (KMU). VdS: www.vds.de
Vds 10020. (2018). Cyber Security für kleine und mittlere Unternehmen (KMU) - Leitfaden zur Interpretation und Umsetzung der VdS 3473 für Industrielle Automatisierungssysteme. www.vds.de
BITKOM - Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (2006). IT-Risiko- und Chancenmanagement im Unternehmen: Ein Leitfaden für kleine und mittlere Unternehmen. Abgerufen von: https://www.bitkom.org/Publikationen/2006/Leitfaden/Leitfaden-IT-Risiko-und-Chancenmanagement-fuer-kleine-und-mittlere-Unternehmen/060601-Bitkom-Leitfaden-IT-Risikomanagement-V10-final.pdf.
VDMA - Verband der Maschinen und Anlagenbauer e. V. (2016). Leitfaden Industrie 4.0 Security: Handlungsempfehlungen für den Mittelstand. Abgerufen von: https://industrie40.vdma.org/documents/4214230/15280277/1492501068630_Leitfaden_I40_Security_DE.pdf/836f1356-12e6-4a00-9a4d-e4bcc07101b4
VDI/VDE 2182 Blatt 1:2011-01. (2011). Informationssicherheit in der industriellen Automatisierung - Allgemeines Vorgehensmodell, 2011. VDI: www.beuth.de
NAMUR. (2006). NA115: IT-Sicherheit für Systeme der Automatisierungstechnik: Randbedingungen für Maßnahmen beim Einsatz in der Prozessindustrie. NAMUR: www.namur.net
NAMUR (2015). NE 153: Automation Security 2020 – Design, Implementierung und Betrieb industrieller Automatisierungssysteme. NAMUR: www.namur.net.
Junker, H. (2013). Cyber-Sicherheit zur Chefsache machen: Firmen sind meist ungenügend vor IT-Attacken geschützt. In atp magazin, 2013(7-8), 20–21
Kersten, H., & Klett, G. (2015). Der IT Security Manager: Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden. Springer-Verlag.
Slay, J., & Miller, M. (2007, March). Lessons learned from the maroochy water breach. In International Conference on Critical Infrastructure Protection (pp. 73-82). Springer, Boston, MA.
Department of Homeland Security. (2018). ICS-CERT Alerts. Abgerufen von: https://ics-cert.us-cert.gov/alerts
Siemens AG. (2018). Siemens ProductCERT und Siemens CERT. Abgerufen von: https://www.siemens.com/global/de/home/produkte/services/cert.html
WAGO Kontakttechnik GmbH & Co. KG. (2018). Wago Security - Hinweise Automatisierungskomponenten. Abgerufen von: https://www.wago.com/de/automatisierungstechnik/security
VDI/VDE 2182 Blatt 2.3:2017-09. (2017). Informationssicherheit in der industriellen Automatisierung - Anwendungsbeispiel des Vorgehensmodells in der Fabrikautomation für Maschinen- und Anlagenbauer für Betreiber Presswerk. VDI: www.beuth.de
VDI/VDE 2182 Blatt 3.3:2013-06. (2016). Informationssicherheit in der industriellen Automatisierung Anwendungsbeispiel des Vorgehensmodells in der Prozessautomation für Betreiber LDPE-Anlage, 2013. VDI: www.beuth.de
ISA 62443-3-1: Technical Report Security Technologies for Industrial Automation and Control Systems, , Rev. 2, 2007.
DIN IEC 62443-3-3 (VDE 0802-3-3): Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme - Teil 3-3: Systemanforderungen zur IT-Sicherheit Und Security-Level (IEC 62443-3-3:2013 + Cor.:2014) Entwurf, DIN IEC 62443-3-3 (VDE 0802-3-3), 2015.
SANS Institute. (2016). Analysis of the Cyber Attack on the Ukrainian Power Grid: Defense Use Case. Abgerufen von: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf.
Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). Fernwartung im industriellen Umfeld. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_108.pdf?__blob=publicationFile&v=3
NAMUR. (2011). NA 135: Fernwartung bei Systemen der Automatisierungstechnik in der Prozessindustrie. NAMUR: www.namur.net
Bundesamt für Sicherheit in der Informationstechnik (BSI) (2018). Schutz vor Ransomware - Präventive Maßnahmen zur Absicherung vor Krypto-Trojanern. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_124.pdf?__blob=publicationFile&v=2
Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). IT Grundschutz: CON.3 Datensicherungskonzept. Abgerufen von: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/CON/CON_3_Datensicherungskonzept.html
Niemann, K. (2014). IT-Security-Konzepte für die Prozessindustrie. atp Magazin, 56(07-08), 62-69. Abgerufen am Oktober 22, 2018 von http://ojs.di-verlag.de/index.php/atp_edition/article/view/2256
Veröffentlicht
Ausgabe
Rubrik
Lizenz
Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Bearbeitung in elektronischen Systemen. Auch die Rechte der Wiedergabe durch Vortrag, Funk- und Fernsehsendung, im Magnettonverfahren oder ähnlichem Wege bleiben vorbehalten.