Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht

BSI unterstreicht, dass der sichere Betrieb von OT große Herausforderungen birgt

[datensicherheit.de, 02.10.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstreicht in seiner aktuellen Stellungnahme, dass der sichere Betrieb von Prozessleit- und Automatisierungstechnik (Operational Technology / OT) Organisationen offensichtlich vor große Herausforderungen hinsichtlich der Cyber-Sicherheit stellt – „auch, weil sie häufig sehr lange Lebenszyklen hat, und insbesondere, wenn sie in Kritischen Infrastrukturen eingesetzt wird“. Dabei ist ihre Bedeutung aus BSI-Sicht nicht zu unterschätzen: „OT-Produkte tragen dazu bei, die Sicherheit von Menschen, Produktionsanlagen und nicht zuletzt der Umwelt zu gewährleisten.“

ACSC publiziert Grundsätze zur Cyber-Sicherheit der OT

Das Australian Cyber Security Centre (ACSC) hat demnach am 2. Oktober 2024 das Dokument „Principles of operational technology cyber security“ („Grundsätze der Cyber-Sicherheit von Operational Technology“) veröffentlicht. Gemeinsam mit weiteren internationalen Partnerbehörden sei das BSI an der Erstellung dieses Dokuments beteiligt gewesen und habe dessen Veröffentlichung unterstützt. Dieses Grundsatzdokument solle Betreibern mit grundsätzlichen Fragestellungen helfen und habe zum Ziel, den Betrieb von OT resilienter zu gestalten.

Es werden laut BSI sechs Grundsätze zur Schaffung und Aufrechterhaltung einer sicheren OT-Umgebung beschrieben:

1. Safety (Funktionale Sicherheit) ist oberstes Gebot!
2. Profunde Kenntnisse der Geschäftsprozesse und Technik sind entscheidend!
3. OT-Daten sind äußerst wertvoll und müssen geschützt werden!
4. OT muss von allen anderen Netzwerken segmentiert und getrennt sein!
5. Die Lieferkette muss sicher sein!
6. Menschen mit ihrer Erfahrung und Expertise sind für die Cyber-Sicherheit in der OT unerlässlich!

OT umfasst Hard- und Software – u.a. Steuerungssysteme und Automationslösungen

„OT umfasst Hard- und Software, die physische Geräte, Prozesse und Ereignisse in industriellen Anlagen überwacht und steuert.“ Hierzu zählten insbesondere Steuerungssysteme (Industrial Control Systems / ICS) und Automationslösungen, genauso wie Laborgeräte, Logistiksysteme oder Gebäudeleittechnik. Da in der OT zunehmend auch IT-Komponenten aus der Office-IT eingesetzt würden, sei von einem ähnlich hohen Gefährdungsgrad auszugehen. Jedoch weise die OT gegenüber der klassischen IT wesentliche Unterschiede auf, welche es erschwerten, etablierte Sicherheitsverfahren anzuwenden.

Die steigende Tendenz OT stärker zu vernetzen, erfordere neben dem Verständnis für die Systeme, Prozesse und deren Integration in eine bestehende Infrastruktur auch eine Vorstellung potenzieller Angriffsszenarien. Aus Sicht des BSI ist es zwingend notwendig, „dass OT-spezifische Notfallpläne und ,Playbooks, in andere Notfall- und Krisenmanagementpläne sowie Business-Continuity-Pläne von Organisationen integriert werden“.

Grundsätze sollen für OT-Entscheidungsträger leicht verständlich sein und alle Mitarbeiter ansprechen

Die Grundsätze für die OT-Cyber-Sicherheit sollten Betreiber unterstützen, fundierte und umfassende Entscheidungen zu treffen, um die Sicherheit und Kontinuität des Geschäftsbetriebs bei der Planung, Implementierung und Verwaltung von OT-Systemen sicherzustellen. Die Grundsätze sollten für OT-Entscheidungsträger leicht verständlich sein und alle Mitarbeiter einer Organisation ansprechen – „unabhängig davon, ob es sich um operative, taktische oder strategische Entscheidungen handelt“. Mithilfe dieser Grundsätze könne Cyber-Sicherheit der OT ganzheitlich gestaltet werden.

Auf US-amerikanischer Seite werde diese Veröffentlichung von der Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA), dem Federal Bureau of Investigations (FBI) und dem Multi-State Information Sharing and Analysis Center (MS-ISAC) unterstützt. In Kanada unterstützten das Canadian Centre for Cyber Security (CCCS) sowie ein Teil des Communications Security Establishment (CSE) und auf neuseeländischer Seite das National Cyber Security Centre (NCSC-NZ).

Weitere Informationen zum Thema:

ASD AUSTRALIAN SIGNALS DIRECTORATE, 02.10.2024
Principles of operational technology cyber security / Introduction

ASD AUSTRALIAN SIGNALS DIRECTORATE, 02.10.2024
Attachment / Principles of operational technology cyber security

ASD AUSTRALIAN SIGNALS DIRECTORATE, 02.10.2024
Attachment / Principles of operational technology cyber security / Quick reference guide