Aktuelles, Experten, Gastbeiträge - geschrieben von am Mittwoch, Juli 4, 2018 21:43 - noch keine Kommentare

Cyber-Sicherheit muss bereits integraler Bestandteil des Entwicklungsprozesses sein

Plädoyer für die Umsetzung ganzheitlicher Cyber-Sicherheitsstrategien von Catherine Bischofberger, IEC

[datensicherheit.de, 04.07.2018] In einem Gastbeitrag geht Catherine Bischofberger, Autorin und Technische Kommunikationsbeauftragte bei der IEC, der Internationalen Normen- und Konformitätsbewertungsstelle für alle Bereiche der Elektrotechnik mit Sitz in Genf, der brennenden Frage nach, wie die „Kritische Infrastruktur von morgen“ geschützt werden kann. Sie setzt hierzu auf spezifische internationale Standards in Kombination mit einem dedizierten und weltweiten Zertifizierungsprogramm.

Ballungsgebiete im Visier hochentwickelte Cyber-Waffen

Man möge sich hierzu eine Stadt von der Größe Londons vorstellen, welche zwangsläufig ins Chaos stürzt, wenn der Öffentliche Personennahverkehr (ÖPNV) zum Erliegen kommt – wenn dann noch die Beleuchtung ausgeht…
Dies sei nicht mehr nur der Stoff von Alpträumen oder das Szenario eines Katastrophenfilms, vielmehr aber eine „reale Möglichkeit, die jeden Tag wahrscheinlicher wird“. Denn Einrichtungen der sogenannten Kritischen Infrastruktur, ob konventionelle Stromlieferanten oder Kernkraftwerke, Eisenbahnfernverkehr oder lokale Untergrundbahnen bzw. andere Formen von
ÖPNV, werden zunehmend Ziele von Cyber-Angriffen.
Hochentwickelte Cyber-Waffen seien bereits entwickelt worden – einschließlich Malware, die den Betrieb von industriellen Kontrollsystemen stören soll. Der zunehmende Einsatz vernetzter Geräte im industriellen Umfeld mache Cyber-Angriffe wahrscheinlicher. Laut des Berichts „ Threat Landscape for Industrial Automation Systems“, veröffentlicht von KASPERSKY lab, seien 18.000 verschiedene Malware-Modifikationen für industrielle Automatisierungssysteme in den ersten sechs Monaten des Jahres 2017 entdeckt worden.

Gesamte Wertschöpfungskette jetzt und zukünftig schützen!

Unter „Machine-to-Machine“-Kommunikation sei eine Reihe von Technologien zu verstehen, die es vernetzten Geräten ermöglichen zu interoperieren, Informationen austauschen oder Aktionen durchführen – oft drahtlos und ohne manuellen Eingriff von Menschen. Sensoren seien in eine wachsenden Anzahl von Geräten eingebettet, um mit deren Hilfe die Automatisierung und Verwaltung von Prozessleitsystemen einschließlich der Übertragung und Verteilung von Elektrizität zu ermöglichen. Während sie unbestreitbare Vorteile in Bezug auf Kosten und Wartung böten, seien sie auch zunehmend anfällig für Hacker-Angriffe.
Cyber-Sicherheit sei daher eines der Hauptanliegen derer, die moderne Fertigungsanlagen sowie jede Art von Kritischer Infrastruktur verwalten. Eine der wenigen Möglichkeiten, diese Einrichtungen jetzt und in Zukunft zu sichern, seien standardisierte Schutzmaßnahmen.
Effiziente Sicherheitsprozesse und -verfahren deckten die gesamte Wertschöpfungskette ab, von den Herstellern von Automatisierungstechnik für Maschinen- und Anlagenbauer, über Installateure bis hin zu den Betreibern. Schutzmaßnahmen sollten nicht nur aktuellen Sicherheitslücken begegnen, sondern auch präventiv ausgerichtet sein, um auf zukünftige vorbereitet zu sein.
Institutionen müssten die Risiken verstehen und mindern sowie sichere Technologien installieren, um die Widerstandsfähigkeit gegenüber Cyber-Angriffen zu erhöhen. „Dies bedeutet die Umsetzung einer ganzheitlichen Cyber-Sicherheitsstrategie auf organisatorischer, prozessualer und technischer Ebene“, betont Bischofberger. Eine solche Strategie müsse umfassende und standardisierte Maßnahmen, Prozesse und technische Mittel sowie die Vorbereitung von Menschen umfassen. Daneben müsse es aber auch den Rückgriff auf ein international anerkanntes Zertifizierungssystem bieten.

Grundlegende Reihe von Standards für Cyber-Sicherheit

Die IEC habe kürzlich die Richtlinien IEC 62443-4-1-2018 veröffentlicht, die neueste in einer Reihe entscheidender Veröffentlichungen, welche „präzise Richtlinien und Spezifikationen für die Cyber-Sicherheit enthält, die für eine Vielzahl von Branchen und Kritischen Infrastruktur-Umgebungen anwendbar sind“, so Bischofberger. Die IEC 62443-Serie empfiehlt demnach, dass Sicherheit ein integraler Bestandteil des Entwicklungsprozesses sein sollte, wobei Sicherheitsfunktionen bereits in den Maschinen und Systemen zu implementieren sind.
Diese horizontalen Standards fänden auch im Verkehrssektor Anwendung: Eine Reihe von Richtlinien zur Cyber-Sicherheit an Bord von Schiffen, von der Internationalen Seeschiffahrtsorganisation (IMO) verabschiedet, nähmen Bezug auf die IEC 62243. Die „Shift2Rail“, eine Initiative, die die wichtigsten europäischen Eisenbahnakteure zusammenbringt, zielt laut Bischofberger darauf ab zu definieren, wie verschiedene Aspekte der Cyber-Sicherheit auf den Eisenbahnsektor angewendet werden sollten. Sie habe anwendbare Standards bewertet und die IEC 62443-Publikationen ausgewählt.
Die IEC 62443-Standards seien außerdem mit dem Cyber-Sicherheitsrahmen des US-amerikanischen National Institute of Standards and Technology (NIST) kompatibel.

International anerkannte Zertifizierung als Basis der Cyber-Sicherheit

Bischofberger: „Ein weiterer Segen ist, dass die 62443-Standards ihr eigenes Zertifizierungsprogramm haben. Die IEC ist die einzige Organisation auf der Welt, die eine internationale und standardisierte Form der Zertifizierung anbietet, die sich mit Cyber-Sicherheit befasst.“ Diese werde von IECEE, dem IEC-System für Konformitätsbewertungssysteme für elektrotechnische Geräte und Komponenten, geliefert. „Das Industrie-Cyber-Sicherheitsprogramm IECEE testet und zertifiziert Cyber-Sicherheit in der Industrieautomation“, so Bischofberger.
Die IEC arbeite auch mit der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) zusammen, um ein gemeinsames Regelungsdokument mit den Schwerpunkten Konformitätsbewertung und Cyber-Sicherheit zu erstellen. Ziel dieses Dokuments sei die Bereitstellung einer Methodik für einen umfassenden Systemansatz zur Konformitätsbewertung, die auf jedes technische System im Bereich der Cyber-Sicherheit angewendet werden kann.
„Cyber-Schutz auf kosteneffektive Weise zu erreichen, resultiert aus der Anwendung des richtigen Schutzes an den entsprechenden Stellen im System, um das Risiko und die Folgen eines Cyber-Angriffs zu begrenzen. Dazu gehört die Modellierung des Systems, die Durchführung einer Risikoanalyse, die Auswahl der richtigen Sicherheitsanforderungen, die Teil der IEC-Normen sind, und die Anwendung der entsprechenden Konformitätsbewertung auf die Anforderungen gemäß der Risikoanalyse. Wir müssen die Komponenten des Systems, die Kompetenzen der Personen, die es entwerfen, betreiben und warten, sowie die Prozesse und Verfahren, die für seine Ausführung verwendet werden, beurteilen. Dieser ganzheitliche Ansatz zur Konformitätsbewertung ist unerlässlich, um Anlagen, insbesondere Kritische Infrastrukturen, vor Cyber-Kriminalität zu schützen“, erläutert David Hanlon, Sekretär des „IEC Conformity Assessment Board“.
Bischofberger ergänzt abschließend: „In einer Welt, in der Cyber-Bedrohungen allgegenwärtig sind, ist es eine der besten Möglichkeiten, den langfristigen Cyber-Schutz Kritischer Infrastrukturen zu gewährleisten, indem Sie in der Lage sind, spezifische internationale Standards in Kombination mit einem dedizierten, weltweiten Zertifizierungsprogramm anzuwenden.“

Catherine Bischofberger

Foto: IEC – International Electrotechnical Commission, Genf (CH)

Catherine Bischofberger: Internationale Standards in Kombination mit weltweitem Zertifizierungsprogramm!

Weitere Informationen zum Thema:

KASPERSKY lab – ICS CERT
Threat Landscape for Industrial Automation Systems in H1 2017

IEC
ISO/IEC JTC 1/SC 27 / IT security techniques

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

datensicherheit.de, 09.07.2015
ISO 27034-basiertes Certified Secure Software Development & Testing



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung