Kapitel 4.10 / Security-Management im IoT-Zeitalter
„ HANDBUCH INTERNET OF THINGS
Um erfolgreich digitalisieren zu können, wird zunächst eine Da- tenbasis benötigt, die über Un- ternehmensgrenzen hina“us aus- wertbar ist.
Verbesserte Sicherheit im täglichen Be- trieb
In Produktionsnetzen mit Maschinen, Leit- ständen zur Steuerung, Robotern, Förder- bändern und vielem mehr steht seit langer Zeit das Thema Verfügbarkeit im Vorder- grund. Die Security ist eher von unterge- ordneter Bedeutung. Aufgrund der Vielzahl bekannt gewordener Angriffe auf Produk- tionsanlagen ändert sich das langsam. Eine der ersten Maßnahmen ist die Festlegung von Verantwortlichkeiten für Sicherheits- aufgaben.
Die Verantwortung für die Verfügbarkeit der Produktionsnetze liegt beim Produk- tionsleiter; daran wird sich wahrschein- lich in der Praxis auch so schnell nichts än- dern. Unternehmen der Automobilbranche etwa haben eigene Abteilungen gegründet, die sich explizit um OT-Security kümmern. Andere Branchen – und dort vor allem der gehobene Mittelstand – sind erst dabei, Ver- antwortliche zu benennen. Damit ist ein wichtiger Schritt getan, um die IT-Sicher- heit in den Produktionsnetzen gezielt ange- hen zu können.
202
Sicherheitsprozess definieren, um die Secu- rity über den gesamten Lebenszyklus ihrer Produkte gewährleisten zu können.
Zerti zierung von Produkten
Die Hersteller von Geräten und Systemen für „Kritische Infrastrukturen“ (KRITIS) sind dazu übergegangen, ihre Produkte nach dem „Industrial-IT-Security-Standard IEC (Inter- national Engineering Consortium) 62443“ für industrielle Kommunikationsnetze und Syste- me zerti zieren zu lassen. Die entsprechenden Zerti zierungen übernehmen etwa der VDE oder die TÜV-Gesellscha en. Unternehmen, die Automatisierungs- und Steuerungssys- teme herstellen, können diese Produkte und die Prozesse gemäß den IEC-62443-Vorgaben auf potenzielle Schwachstellen untersuchen lassen und auf Basis der Ergebnisse eine ent- sprechende Produktzerti zierung erlangen – oder müssen nachbessern und wirkungsvolle Schutzmaßnahmen entwickeln und Prozesse im Unternehmen ausrollen. Schwerpunkt des IEC-62443-Standards bildet die IT-Sicherheit von „Industrial Automation and Control Sys- tems“ (IACS), die überall dort gefordert ist, wo es um einen sicheren und zuverlässigen Betrieb von Anlagen und Infrastrukturen geht. Eine Vorbereitung für eine IEC-62443-Zerti zie- rung wird meist durch externe OT-Sicherheits- spezialisten wie NTT Security unterstützt.
Mit einem umfassenden Sicherheitskonzept und einer Security-Roadmap für den gesam- ten Lebenszyklus von Produkten und Lösun- gen sind Hersteller auf einem guten Wege. Sie können sich damit einen wichtigen Wettbe- werbsvorsprung – auch im Hinblick auf au- ßereuropäische Anbieter – verscha en.