A A A
| Sitemap | Kontakt | Impressum
ETZ Logo VDE Verlag Logo

Effizienter Schutz nach dem IT-Sicherheitsgesetz - Teil 2

01  Die inzwischen oft durchgängige Vernetzung von der Leit- zur Feldebene sowie die unbeschränkten Zugriffsmöglichkeiten auf die Steuerungen schaffen Möglichkeiten für Cyberangriffe

01  Die inzwischen oft durchgängige Vernetzung von der Leit- zur Feldebene sowie die unbeschränkten Zugriffsmöglichkeiten auf die Steuerungen schaffen Möglichkeiten für Cyberangriffe

02  Grundlegende Standards erleichtern die ersten Schritte zur Etablierung eines Industrial-Security-Konzepts

02  Grundlegende Standards erleichtern die ersten Schritte zur Etablierung eines Industrial-Security-Konzepts

03  Irma bietet die Grundlage für eine wirtschaftliche Einführung von IT-Sicherheits-Lösungen, flankiert von technisch-organisatorischen Maßnahmen

03  Irma bietet die Grundlage für eine wirtschaftliche Einführung von IT-Sicherheits-Lösungen, flankiert von technisch-organisatorischen Maßnahmen

Mit Wirkung zum 25. Juli 2015 trat das „Gesetz zur Erhöhung der Sicherheit Informationstechnischer Systeme“ (IT-Sicherheitsgesetz) in Kraft. Es betrifft eine erhebliche Anzahl von Unternehmen – von den großen Betreibern „Kritischer Infrastrukturen“ (Kritis) bis hin zu Betreibern kleiner Webseiten. Der erste Teil dieses Fachartikels erläuterte in der Ausgabe 9 der etz, was auf die Betreiber von vernetzter Automatisierungs- und Prozessleittechnik im Bereich „Kritis“ und darüber hinaus zukommt (Bild 1). Dieser zweite Teil befasst sich mit dem ­IT-Sicherheitsprodukt Irma (Industrie Risiko Management Automatisierung) und welche Unterstützung die Lösung bei der Sicherheitskonzeption bietet.

Das IT-Sicherheitsgesetz „ITSiG“ stellt spezifische Anforderungen an die Betreiber kritischer Infrastrukturen. Sie müssen zum Beispiel eine ständig erreichbare Kontaktperson für das BSI benennen. Kontaktpersonen können auch mit mehreren Unternehmen gemeinsam eingerichtet werden. Die Unternehmen sind außerdem verpflichtet IT-Störungen an das BSI zu melden, damit weitere potenziell Gefährdete gewarnt werden können. Zudem sind Absicherungsmaßnahmen an den Stellen zu treffen, an denen die Informationstechnik Einfluss auf die Erbringung von kritischen Dienstleistungen hat. Um zu wissen, was geschützt werden soll, sind zunächst die informationstechnischen Systeme und Komponenten sowie der Vorgänge der Informationsverarbeitung zu erfassen. Die validierten Unternehmenswerte und deren Kommunikationsverbindungen sind kontinuierlich zur Angriffserkennung zu beobachten.
Das Risikomanagement erfordert vom Betreiber eine Identifizierung der Bedrohungen und Schwachstellen. Es muss eine Möglichkeit der Risikopriorisierung implementiert sein, genauso wie ein Maßnahmenkatalog zur Behandlung der Risiken. Eine Unterstützung der regelmäßigen, jährlichen Auditierung runden die Anforderungen ab.
In dem kontinuierlichen Soll-Ist-Vergleich werden die etablierten technischen und organisatorischen Sicherheitsmaßnahmen geprüft, ob diese noch den Anforderungen an einen sicheren Betrieb genügen. Elementare Bestandteile der IT-Sicherheit sind dabei neben den technischen Umsetzungsmaßnahmen die Dokumentation des Sicherheitskonzepts, die Festlegung der betrieblichen Aufgaben von Betreibern und Integratoren sowie ein regelmäßiges Training des Personals.
Die Risiken lassen sich jedoch nicht auf Null begrenzen. Im täglichen Betrieb werden immer Restrisiken vorhanden sein. Diese gilt es zu minimieren und auf einem festgelegten Maß durch die Geschäftsleitung bewusst zu akzeptieren. Es sollte zwingend ein Notfallvorsorge- und ein Notfallkonzept vorhanden sein. Beispielsweise sollte der Wiederherstellungsprozess im Rahmen eines Datensicherungskonzepts beschrieben sein und regelmäßig getestet werden. Nur so lassen sich die Auswirkungen im Fall der Fälle begrenzen und der Fortbestand des Unternehmens sichern.

Etablierte Standards liefern Orientierungsrahmen
Orientierung auf dem Weg zu einem sicheren Betrieb geben hier eine Vielzahl von etablierten Standards (Bild 2). Das IT-Sicherheitsgesetz spricht dabei von „einschlägigen internationalen, europäischen und nationalen Normen und Standards oder vergleichbar effektiver Schutz.“ Alle wesentlichen Standards beginnen nach der Initiierung des IT-Sicherheits-Regelprozesses mit der Erfassung der angeschlossenen Geräte im TCP/IP-Netzwerk (IT-Assets) sowie der Analyse der vorhandenen Risiken.
Insbesondere die ISO-27000-Familie bietet als Orien­tierungsrahmen ein gutes Gerüst für den Aufbau eines ­Sicherheitsmanagements. Zur Einführung eines sogenannten Informationssicherheits-Management-Systems („ISMS“) positionieren sich bereits diverse Unternehmen im Moment für den Bereich Beratung. Ein Produkt für den Bereich ­­IT-Sicherheit in der Automatisierung ist Irma („Industrie ­Risiko Management Automatisierung“) von Videc.
Bei der Umsetzung sind in Organisation und Technik parallele Arbeitsweisen notwendig und sinnvoll – insbesondere vor der gesetzlichen Zeitvorgabe. Schließlich müssen die Betreiber kritischer Infrastrukturen bereits „spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstech­nischen Systeme, Komponenten oder Prozesse“ getroffen haben.
Auch hier greift bereits der Effizienz-Ansatz (mit 20 % des Ressourceneinsatzes lassen sich bereits 80 % der Sicherheitsziele erreichen), um sich schnelle Erfolge zu sichern und eine solide, durchgängige Basis-IT-Sicherheit zu gewähr­leisten.

Irma hilft bei der Umsetzung
Die Einhaltung von IT-Sicherheitsmaßnahmen in der Produktion wird für die betroffenen Unternehmen verpflichtend sein. Dazu gehören zum Beispiel aktuelle IT-­Dokumentation, kontinuierliche Überwachung, Viren- und Internetschutz, Datensicherungen, Passwortmanagement sowie der Umgang mit externen Dienstleistern. Der Fokus liegt dabei auf pragmatischen und organisatorischen Schritten sowie auf technischen Lösungen. Die Anforderung besteht darin, die Wirksamkeit für die Unternehmen im Betriebsprozess zu etablieren und kontinuierlich zu verbessern. Ziel ist es, die IT-Risiken in Produktionsanlagen zu minimieren und finanzielle Schäden in Problemsituationen im Griff zu haben. Die Abhängigkeit von der IT gestaltet sich damit kontrollierbar. Mehrfachaufwendungen wie die wiederholte manuelle Aufnahme und Prüfung von IT-Systemen sollten aus wirtschaftlichen Gesichtspunkten vermieden werden.
Irma ermöglicht es die Verpflichtungen und Anforderungen nach dem „ITSiG“ umzusetzen – einfach und angepasst an die Unternehmensgröße und den finanziellen Rahmen. Dies erfolgt durch passives Scannen sowie die Analyse der IT-Assets und Verbindungen. Jede Verbindung und jedes Gerät wird validiert. Das Programm liefert zum Beispiel Informationen für die Netzsegmentierung und die Trennung mit Firewalls. Zudem überwacht es kontinuierlich die Anlagen und bietet intelligente Alarmierungen.
Das Werkzeug ersetzt nicht das IT-Sicherheitskonzept. Es unterstützt aber dessen effiziente Erarbeitung und Umsetzung zum Beispiel bei der Durchführung des Risikomanagements (Bild 3). Irma hilft ebenfalls dem Betreiber sowie den hinzugezogenen IT-Sicherheitsexperten bei der Umsetzung. Damit kann bereits frühzeitig eine tief gehende Analyse ohne aufwendige Bestandsaufnahmen gefahren werden. Kurzfristig notwendige Optimierungsschritte lassen sich kosteneffizient initiieren. Die Dokumentation des IT-Sicherheitskonzepts sowie die nach ISO 27000 notwendigen Richtlinien und Berichte lassen sich umgehend in Angriff nehmen. Hier setzt die wirtschaftlich sinnvolle Arbeit eines Dienstleisters im Bereich IT-Sicherheit an.
Mit Irma erhält der Betreiber und Unternehmer schnell und ohne aufwendige Planung die für die Erfassung der Cyber-Assets sowie für das Erkennen und Melden von Angriffen notwendige Übersicht und Informationen. Durch die kontinuierliche Überwachung und einfache Validierung sowie Behandlung von IT-Schwachstellen wird die Produktionsanlage umgehend besser geschützt.
Den etablierten Systemintegratoren des Betreibers liefert Irma aktuelle Informationen über die Cyber-Assets und deren Schwachstellen, was die Planung und Umsetzung zur Verbesserung und Anpassung der Cybersicherheitselemente erleichtert. Für IT-Sicherheitsberater und Auditoren stellt Irma für die Analyse und Bewertung der Cybersecurity aktuelle Informationen zu den IT-Assets, den Datenverbindungen sowie deren Schwachstellen zur Verfügung.

Fazit
Grundsätzlich ist die Herangehensweise einfach und übersichtlich für Automatisierer und Endanwender. Mit Irma wird in erster Hinsicht der Blick auf die Schwachstellen im Unternehmen geschärft. Darauf erfolgt auf Grundlage von kontinuierlichen und aktuellen technischen Informationen eine Risikoana­lyse. Auf Basis der Analyse lässt sich dann eine effiziente und kostengünstige Maßnahmenumsetzung erarbeiten. Eine übergreifende Sicherheitsberatung für ein „ISMS“ sowie der geforderten Zertifizierung wird dadurch zwar nicht ersetzt. Sie wird aber wesentlich erleichtert und die Umsetzung wird um ein Vielfaches beschleunigt. Unter dem Kostenaspekt birgt diese Lösungsstrategie damit ebenfalls ein hohes Einsparungspotenzial im Gesamtblick.
Irma gewährleistet ein Höchstmaß an effizientem Schutz nach dem Motto: Ich kann nur das schützen, was ich kenne (im Asset­management). Ich kann nur Maßnahmen treffen, wenn ich die ­Auswirkungen kenne (im Risikomanagement). Ich kann nur reagieren, wenn ich Anomalien erkenne (im Alarmmanagement).
Um die vom IT-Sicherheitsgesetz geforderte Cybersicherheit nachzuweisen, bildet Irma im Verbund mit dem qualifizierten Systemintegrator und dem IT-Sicherheits-Berater eine solide Basis. Jedoch sind die zeitlichen Anforderungen an die Umsetzung bereits heute sehr eng gesetzt – es gilt umgehend anzufangen! Neben den Informationen auf den Webseiten www.videc.de wird Irma auf der SPS IPC Drives in Nürnberg mit seinen Funktionalitäten vorgestellt. (no)

Jens Bußjäger ist Geschäftsführer der Achtwerk GmbH & Co. KG in Bremen. jens.bussjaeger@acht-werk.de

Jens Bußjäger ist Geschäftsführer der Achtwerk GmbH & Co. KG in Bremen. jens.bussjaeger@acht-werk.de

Dieter Barelmann ist Geschäftsführer der Videc GmbH in Bremen. DBarelmann@videc.de

Dieter Barelmann ist Geschäftsführer der Videc GmbH in Bremen. DBarelmann@videc.de