Organisation der IT-Sicherheit in der Produktion

In zehn Schritten zur sicheren Produktionsanlage

Autor/innen

  • Karl-Heinz Niemann Hochschule Hannover

DOI:

https://doi.org/10.17560/atp.v60i11-12.2373

Schlagworte:

IT-Sicherheit, Organisatorische Aspekte, Vorgehensmodell

Abstract

Der folgende Beitrag befasst sich mit der IT-Sicherheit von Produktionsanlagen aus Betreibersicht. Hierbei liegt der Fokus auf den organisatorischen Aspekten der IT-Sicherheit. In einer Bestandsaufnahme werden zunächst die Probleme herausgearbeitet, die entstehen, sofern sich eine Organisation im Wesentlichen auf technische Aspekte der IT-Sicherheit konzentriert. Daraus wird die Notwendigkeit organisatorischer Maßnahmen abgeleitet. Eine Betrachtung von Normen und Standards, welche sich mit den organisatorischen Aspekten der IT-Sicherheit in der Produktion befassen, liefert das Grundgerüst für die Ableitung eines Maßnahmenplan. Der daraus resultierende 10-Punkte-Plan zur Umsetzung der IT-Sicherheit in der Produktion schließt den Beitrag ab.

Autor/innen-Biografie

Karl-Heinz Niemann, Hochschule Hannover

Vita Prof. Dr. Karl-Heinz Niemann

Professur für Prozessinformatik und Automatisierungstechnik an der Hochschule Hannover.

 Aktuelle Lehrveranstaltungen:

  • Integrierte Automation
  • Industrielle Bussysteme
  • Prozessinterfacetechniken
  • Labor für Automatisierungstechnik und Prozessinformatik
  • Energieeffizientes Design von Produktionsanlagen

 Gremienarbeit

  • Leitung der Arbeitsgruppe CB/PG3: „Installation Guides“ bei PROFIBUS / PROFINET International.
  • Mitglied in der Arbeitsgruppe CB/PG10 „IT-Security“ bei PROFIBUS / PROFINET International.
  • Mitglied im VDI/VDE-GMA 6.15 „Zuverlässiger Betrieb Ethernet-basierter Bussysteme in der industriellen Automatisierung“.
  • Mitglied im VDI/VDE-GMA AG1 „IT-Security“ im Fachausschuss 5.22 „Security“

 Forschungsthemen

  • IT-Security
  • Energieeffizienz
  • Industrielle Kommunikation
  • Industrie 4.0

 Werdegang

  • Seit März 2005 Professur für Prozessinformatik und Automatisierungstechnik an der Hochschule Hannover.
  • Von Okt. 2002 bis Feb. 2005 Professur für Prozessdatenverarbeitung am Fachbereich Automatisierungstechnik der Fachhochschule Nordostniedersachsen in Lüneburg.
  • 1999-2002: Vice President R&D (Leiter der Entwicklung) Prozessleitsysteme bei der ABB Automation Products GmbH. Leiter des TC4 in der PROFIBUS-Nutzerorganisation. Stellvertretender Leiter des Technischen Ausschuss des FV15 im ZVEI.
  • 1997-1999: Vice President R&D (Leiter der Entwicklung) Prozessleitsysteme bei der Fa. Elsag Bailey / Hartmann und Braun.
  • 1995-1997: Leiter der Entwicklung Prozessleitsysteme bei der Firma Hartmann & Braun AG. Verantwortlich für die Leitsysteme Contronic P, Contronic E, Contronic S und Digimatik.
  • 1990-1995: Tätigkeit als Gruppen- und Abteilungsleiter im Bereich Hardwareentwicklung, CAE bei der Sensycon Gesellschaft für Mess- und Automatisierungstechnik sowie bei der Hartmann & Braun AG.
  • 1985-1990: Wissenschaftlicher Mitarbeiter und Akademischer Rat am Institut für Regelungstechnik der Universität Hannover. Promotion zum Thema: Multiprozessorsysteme für Echtzeitanwendungen.
  • 1978-1985: Studium der Elektrotechnik, Fachrichtung Regelungstechnik

Literaturhinweise

Camron, J., Frederiksen S., Glismand, F. (2017). A.P. Møller - Mærsk A/S Interim Report Q2 2017. Abgerufen von: http://investor.maersk.com/node/23456/pdf

Scherschel, F. A. (2018). Nach NotPetya-Angriff: Weltkonzern Maersk arbeitete zehn Tage lang analog. Abgerufen von: https://www.heise.de/newsticker/meldung/Nach-NotPetya-Angriff-Weltkonzern-Maersk-arbeitete-zehn-Tage-lang-analog-3952112.html

Kaspersky Lab. (2017). IT-Sicherheitsvorfall kostet europäische große Unternehmen 1,12 Millionen und kleine Firmen 68,880 Euro. Abgerufen von: https://www.kaspersky.de/about/press-releases/2017_it-sicherheitsvorfall-kostet-europaische-unternehmen

Bundesamt für Sicherheit in der Informationstechnik (BSI). (2017). Cyber-Sicherheits-Umfrage 2017: Cyber-Risiken, Meinungen und Maßnahmen. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/ACS/cyber-sicherheits-umfrage_2017.pdf;jsessionid=E14010AA03E93E3598938DABED390E90.2_cid369?__blob=publicationFile&v=3

Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). IT Grundschutzkatalog G 5.42 Social Engineering. Abgerufen von: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g05/g05042.html

Bundesamt für Sicherheit in der Informationstechnik. (2016). Top 10 Bedrohungen und Gegenmaßnahmen 2016: Industrial Control System Security. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile&v=4

National Cybersecurity and Communications Integration Center. (2016). Year in Review 2016 - Incident Response Pie Charts FY2016. Abgerufen von: https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2016_IR_Pie_Chart_S508C.pdf

Bundesministerium für Wirtschaft und Energie BMWi. (2016). IT-Sicherheit für die Industrie 4.0: Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie. Abgerufen von: https://www.bmwi.de/Redaktion/DE/Publikationen/Studien/it-sicherheit-fuer-industrie-4-0.pdf?__blob=publicationFile&v=4

ISO/IEC 27001:2013 + Cor. 1:2014. (2015). Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme – Anforderungen. DIN: www.beuth.de

Siegwarth, C., Adamzyk, H., Frey, G. (2018). Industrial Security - IEC 62443 in der I4.0 Analyse. In VDI Tagungsband Automation, 2018, Baden-Baden, 369–381.

Bundesministerium für Wirtschaft und Energie BMWi. (2016). IT-Security in der Industrie 4.0: Handlungsfelder für Betreiber. Abgerufen von: http://www.plattform-i40.de/I40/Redaktion/DE/Downloads/Publikation/leitfaden-it-security-i40.pdf?__blob=publicationFile&v=8

Department of Homeland Security 2016). Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies: Recommended Practice. Abgerufen von: https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/NCCIC_ICS-CERT_Defense_in_Depth_2016_S508C.pdf

Knapp, E. D., & Langill, J. T. (2014). Industrial Network Security: Securing critical infrastructure networks for smart grid, SCADA, and other Industrial Control Systems. Syngress.

SANS Institute. (2018). The State of Security in Control Systems Today. Abgerufen von: https://www.sans.org/reading-room/whitepapers/analyst/membership/36042

Kernkraftwerk Gundremmingen (2016). Aktuelle Informationen aus dem Kernkraftwerk Gundremmingen -Betriebsbericht Nr. 4/2016 vom 25.4.2016. Abgerufen von: http://www.kkw-gundremmingen.de/betriebsberichte.php?id=45

Bundesamt für Sicherheit in der Informationstechnik. (2018). Industrial Control System Security: Innentäter. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_061.pdf?__blob=publicationFile&v=3

Mettler, H., Krausz, S., Geiger, R. (2018). Integriertes Vorgehensmodell zur Planung und Umsetzung eines ISMS in der pharmazeutischen Produktion. In VDI Tagungsband Automation, 2018, Baden-Baden, 383–392.

VdS Schadenverhütung GmbH (o. J.). VdS Quick Check für Industrial Control Systems. Abgerufen von: https://www.vds-quick-check.de/der-vds-quick-check-fuer-ics-im-detail/

VDMA - Verband der Maschinen und Anlagenbauer e. V. (2014). VDMA Fragenkatalog Industrial Security. Abgerufen von: http://pks.vdma.org/documents/105969/142443/VDMA%20Fragenkatalog%20Security_2014_final.pdf/29d94802-ae85-4478-b1e5-cc4be852f002

DIN EN ISO/IEC 27002:2017-06. (2017). Informationstechnik - Sicherheitsverfahren - Leitfaden für Informationssicherheitsmaßnahmen (ISO/IEC 27002:2013 einschließlich Cor 1:2014 und Cor 2:2015); Deutsche Fassung EN ISO/IEC 27002:2017. DIN: www.beuth.de

DIN ISO/IEC TR 27019 DIN SPEC 27019. (2015). Informationstechnik – Sicherheitsverfahren – Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC 27002 (ISO/IEC TR 27019:2014), 2015. DIN: www.beuth.de

Kersten, H., Klett, G., Reuter, J., & Schröder, K. W. (2016). IT-Sicherheitsmanagement nach der neuen ISO 27001: ISMS, Risiken, Kennziffern, Controls. Springer-Verlag.

Bundesamt für Sicherheit in der Informationstechnik (BSI). (2008). BSI-Standard 100-1 - Managementsysteme für die Informationssicherheit (ISMS). Abgerufen von: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1001.pdf?__blob=publicationFile

Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). IT-Grundschutz-Kompendium: Edition 2018. Abgerufen von: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2018.pdf?__blob=publicationFile&v=7.

Kobes, P. (2016). Leitfaden Industrial Security: IEC 62443 einfach erklärt. VDE Verlag.

VDMA - Verband der Maschinen und Anlagenbauer e. V. (2016). Leitfaden Security für den Maschinen- und Anlagenbau Der Weg durch die IEC 62443. Abgerufen von: http://pks.vdma.org/documents/105969/15311113/1479910314521_INS%20Security-Leitfaden%20VDMA_v1.0_WEB.pdf/b615dd92-3b84-4e93-afb6-23f54fead723

ISA 62443 2 1 (99.02.01). (2014). Security for industrial automation and control systems Part 2-1: Industrial automation and control system security management system. ISA: www.isa.org

IEC TR 62443-2-3:201. (2015). Security for industrial automation and control systems - Part 2-3: Patch Management in the IACS environment. IEC: www.iec.ch

DIN IEC 62443-2-4:2017-01. (2016). IT-Sicherheit für industrielle Automatisierungssysteme - Teil 2-4: Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme (IEC 62443-2-4:2015 + Cor.:2015). DIN: www.beuth.de

DIN IEC 62443-2-4-100:2017-09. (2017). IT-Sicherheit für industrielle Automatisierungssysteme - Teil 2-4: Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme (IEC 65/637A/CDV:2016). DIN: www.beuth.de

DIN EN 62443-3-2:2018-10. (2018). Sicherheit für industrielle Automatisierungssysteme - Teil 3-2: Sicherheitsrisikobeurteilung und Systemgestaltung (IEC 65/690/CDV:2018); Deutsche und Englische Fassung prEN 62443-3-2:2018, - Entwurf. DIN: www.beuth.de

DIN IEC 62443-3-3:2015-06. (2015). Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme - Teil 3-3: Systemanforderungen zur IT-Sicherheit und Security-Level (IEC 62443-3-3:2013 + Cor.:2014), - Entwurf, 2015. DIN: www.beuth.de

VdS 3473:2015-07. (2015). Informationssicherheit in kleinen und mittleren Unternehmen (KMU). VdS: www.vds.de

Vds 10020. (2018). Cyber Security für kleine und mittlere Unternehmen (KMU) - Leitfaden zur Interpretation und Umsetzung der VdS 3473 für Industrielle Automatisierungssysteme. www.vds.de

BITKOM - Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (2006). IT-Risiko- und Chancenmanagement im Unternehmen: Ein Leitfaden für kleine und mittlere Unternehmen. Abgerufen von: https://www.bitkom.org/Publikationen/2006/Leitfaden/Leitfaden-IT-Risiko-und-Chancenmanagement-fuer-kleine-und-mittlere-Unternehmen/060601-Bitkom-Leitfaden-IT-Risikomanagement-V10-final.pdf.

VDMA - Verband der Maschinen und Anlagenbauer e. V. (2016). Leitfaden Industrie 4.0 Security: Handlungsempfehlungen für den Mittelstand. Abgerufen von: https://industrie40.vdma.org/documents/4214230/15280277/1492501068630_Leitfaden_I40_Security_DE.pdf/836f1356-12e6-4a00-9a4d-e4bcc07101b4

VDI/VDE 2182 Blatt 1:2011-01. (2011). Informationssicherheit in der industriellen Automatisierung - Allgemeines Vorgehensmodell, 2011. VDI: www.beuth.de

NAMUR. (2006). NA115: IT-Sicherheit für Systeme der Automatisierungstechnik: Randbedingungen für Maßnahmen beim Einsatz in der Prozessindustrie. NAMUR: www.namur.net

NAMUR (2015). NE 153: Automation Security 2020 – Design, Implementierung und Betrieb industrieller Automatisierungssysteme. NAMUR: www.namur.net.

Junker, H. (2013). Cyber-Sicherheit zur Chefsache machen: Firmen sind meist ungenügend vor IT-Attacken geschützt. In atp magazin, 2013(7-8), 20–21

Kersten, H., & Klett, G. (2015). Der IT Security Manager: Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden. Springer-Verlag.

Slay, J., & Miller, M. (2007, March). Lessons learned from the maroochy water breach. In International Conference on Critical Infrastructure Protection (pp. 73-82). Springer, Boston, MA.

Department of Homeland Security. (2018). ICS-CERT Alerts. Abgerufen von: https://ics-cert.us-cert.gov/alerts

Siemens AG. (2018). Siemens ProductCERT und Siemens CERT. Abgerufen von: https://www.siemens.com/global/de/home/produkte/services/cert.html

WAGO Kontakttechnik GmbH & Co. KG. (2018). Wago Security - Hinweise Automatisierungskomponenten. Abgerufen von: https://www.wago.com/de/automatisierungstechnik/security

VDI/VDE 2182 Blatt 2.3:2017-09. (2017). Informationssicherheit in der industriellen Automatisierung - Anwendungsbeispiel des Vorgehensmodells in der Fabrikautomation für Maschinen- und Anlagenbauer für Betreiber Presswerk. VDI: www.beuth.de

VDI/VDE 2182 Blatt 3.3:2013-06. (2016). Informationssicherheit in der industriellen Automatisierung Anwendungsbeispiel des Vorgehensmodells in der Prozessautomation für Betreiber LDPE-Anlage, 2013. VDI: www.beuth.de

ISA 62443-3-1: Technical Report Security Technologies for Industrial Automation and Control Systems, , Rev. 2, 2007.

DIN IEC 62443-3-3 (VDE 0802-3-3): Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme - Teil 3-3: Systemanforderungen zur IT-Sicherheit Und Security-Level (IEC 62443-3-3:2013 + Cor.:2014) Entwurf, DIN IEC 62443-3-3 (VDE 0802-3-3), 2015.

SANS Institute. (2016). Analysis of the Cyber Attack on the Ukrainian Power Grid: Defense Use Case. Abgerufen von: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf.

Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). Fernwartung im industriellen Umfeld. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_108.pdf?__blob=publicationFile&v=3

NAMUR. (2011). NA 135: Fernwartung bei Systemen der Automatisierungstechnik in der Prozessindustrie. NAMUR: www.namur.net

Bundesamt für Sicherheit in der Informationstechnik (BSI) (2018). Schutz vor Ransomware - Präventive Maßnahmen zur Absicherung vor Krypto-Trojanern. Abgerufen von: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_124.pdf?__blob=publicationFile&v=2

Bundesamt für Sicherheit in der Informationstechnik (BSI). (2018). IT Grundschutz: CON.3 Datensicherungskonzept. Abgerufen von: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/CON/CON_3_Datensicherungskonzept.html

Niemann, K. (2014). IT-Security-Konzepte für die Prozessindustrie. atp Magazin, 56(07-08), 62-69. Abgerufen am Oktober 22, 2018 von http://ojs.di-verlag.de/index.php/atp_edition/article/view/2256

atp magazin 11-12/2018

Veröffentlicht

22.11.2018

Ausgabe

Bd. 60 Nr. 11-12 (2018): atp magazin

Rubrik

Hauptbeitrag / Peer-Review

Lizenz

Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für  Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Bearbeitung in elektronischen Systemen. Auch die Rechte der Wiedergabe durch Vortrag, Funk- und Fernsehsendung, im Magnettonverfahren oder ähnlichem Wege bleiben vorbehalten.

Am häufigsten gelesenen Artikel dieser/dieses Autor/in

1 2 3 > >>