Normen für Industrial Security

In der heutigen zunehmend digitalisierten Industrie sind Sicherheit und Schutz von Informationen essenziell. Dabei spielen nicht nur internationale Normen eine Rolle, sondern auch nationale Organisationen, gesetzliche Vorgaben und rechtliche Interpretationen durch die Rechtsprechung. Dieser Beitrag beleuchtet die wichtigsten Aspekte und zeigt auf, welche Möglichkeiten Unternehmen haben, sich effektiv zu schützen – nicht nur aus rein technischer Sicht, sondern auch auf der Managementebene.

Internationale Normen: IEC 62443 und ISO/IEC 27001

Um ein einheitliches Sicherheitsniveau zu gewährleisten, wurden international anerkannte Sicherheitsstandards entwickelt. Diese Standards geben Unternehmen Richtlinien an die Hand, wie sie ihre Systeme und Prozesse schützen können. Besonders relevant für die Industrie 4.0 und die Industrial Security sind die Normen IEC 62443 und ISO 27001, die sich mit IT- und OT-Sicherheit beschäftigen.

IEC  62443 - Der Sicherheitsstandart für industrielle Automatisierungssysteme

Die IEC 62443 ist eine internationale Normenreihe, die sich mit der IT-Sicherheit für industrielle Kommunikationsnetze und -systeme befasst. Ziel ist es, Sicherheitsrisiken durch einen risikobasierten Ansatz zu minimieren. Sie bietet Richtlinien für den Schutz von industriellen Automatisierungs- und Steuerungssystemen und richtet sich an Betreiber, Integratoren und Hersteller.

Kernaspekte der IEC 62443:

• Schutz von Steuerungssystemen und Industriecomputern vor Cyberangriffen
• Netzwerksegmentierung und Sicherheitszonen
• Sichere Kommunikation zwischen Steuerungen, HMIs und industriellen Netzwerken
• Authentifizierung und Zugriffskontrolle für industrielle Steuerungssysteme
• legt die Sicherheitsanforderungen für Komponenten wie SPS, Industriecomputer und HMI-Systeme fest

Die Montage von Touchpanels ohne frei zugängliche Schnittstellen reduziert die physischen Angriffsflächen.

Was bedeutet die IEC 62443 für Industriecomputer 

Industriecomputer spielen eine zentrale Rolle in der Produktion, da sie als Schnittstelle zwischen Maschinen, Steuerungssystemen und Netzwerken fungieren. Die IEC 62443 fordert unter anderem:

• Sichere Boot-Prozesse (Secure Boot), um unautorisierte Manipulationen zu verhindern
• Trusted Platform Module (TPM), um Schlüssel und Zertifikate sicher zu speichern
• Netzwerksegmentierung, um Industriecomputer vor Angriffen aus anderen Netzwerkbereichen zu schützen
• Regelmäßige Patches und Updates, um Sicherheitslücken in Betriebssystemen und Steuerungssoftware zu schließen

Weitere Details und technische Grundlagen finden Sie hier. 

ISO 27001 - Der internationale Standard für die Informationssicherheit 

Die ISO 27001 ist eine weltweit anerkannte Norm für das Management von Informationssicherheit. Sie definiert Anforderungen für den Aufbau eines Informationssicherheits-Managementsystems (ISMS) und hilft Unternehmen, ihre IT- und OT-Infrastrukturen zu schützen.

Die Norm betrachtet IT- und OT-Sicherheit ganzheitlich und stellt sicher, dass nicht nur einzelne Komponenten sicher sind, sondern das gesamte Unternehmen eine Sicherheitsstrategie verfolgt.

Wichtige Prinzipien der ISO 27001:

• Risikobasierter Ansatz: Unternehmen müssen Risiken analysieren und geeignete Sicherheitsmaßnahmen implementieren.
• Zugangskontrolle: Sicherstellung, dass nur berechtigte Personen Zugriff auf sensible Daten und Systeme haben.
• Patch-Management: Regelmäßige Aktualisierung von Betriebssystemen und Anwendungen, um Sicherheitslücken zu schließen.
• Physische Sicherheit: Schutz von Rechenzentren, Serverräumen und Industriecomputern vor unautorisiertem Zugriff.
• Notfall- und Wiederherstellungspläne: Maßnahmen, um nach einem Angriff oder Systemausfall schnell den Betrieb wieder aufnehmen zu können.

Die ISO 27001 mit Blick auf Industriecomputer

Industriecomputer enthalten oft wichtige Produktionsdaten oder steuern kritische Prozesse. Daher ist ihre Sicherheit integraler Bestandteil eines ISMS nach ISO 27001. Konkret bedeutet das:

• Industriecomputer müssen in das Informationssicherheits-Management integriert werden.
• Logging und Überwachung müssen sicherstellen, dass verdächtige Aktivitäten erkannt werden.
• Die Daten auf Industriecomputern sollten durch Verschlüsselung geschützt werden.
• Regelmäßige Backups müssen sichergestellt werden, um Produktionsausfälle zu vermeiden.

ISO 27001 ist besonders relevant für Unternehmen, die Industriecomputer in cloudbasierten Anwendungen einsetzen und Remote-Zugänge für die Wartung und den Service nutzen.

CERT@VDE und TeleTrusT

In Deutschland unterstützen Organisationen wie CERT@VDE und TeleTrusT Unternehmen dabei, ihre IT-Sicherheit zu stärken. Diese Organisationen helfen Unternehmen, schneller auf Bedrohungen zu reagieren, anstatt nur auf die langsame Entwicklung neuer Normen zu warten.

• CERT@VDE: Als erste IT-Sicherheitsplattform für Industrieunternehmen in Deutschland bietet CERT@VDE eine neutrale und vertrauenswürdige Plattform für den Austausch von Informationen zu IT-Sicherheitsvorfällen. Sie koordiniert die Unterstützung beim Schließen von Sicherheitslücken und fördert den herstellerübergreifenden Austausch. (VDE CERT)
• TeleTrusT: Der Bundesverband IT-Sicherheit e.V. agiert als Kompetenznetzwerk für IT-Sicherheit und bietet eine Plattform für Experten, Unternehmen und Institutionen, um sich über aktuelle Entwicklungen und Herausforderungen im Bereich der IT-Sicherheit auszutauschen. (TeleTrusT)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit dem IT-Grundschutz ebenfalls detaillierte Empfehlungen für sichere IT-Systeme –insbesondere zur Absicherung von industriellen Steuerungen und Netzwerken gemäß deutschen Sicherheitsrichtlinien.

Unternehmen sollten sich nicht nur auf Normen verlassen, sondern aktuelle Security-Warnungen von CERT@VDE, TeleTrusT und BSI nutzen, um Bedrohungen frühzeitig zu erkennen.

Die Grenzen von Normen - warum Standards der Realität hinterherhinken

Ein häufiges Missverständnis in der Industrial Security ist die Annahme, dass die Einhaltung von IEC 62443, ISO 27001 & Co. automatisch ein vollständiges Sicherheitsniveau garantiert. Doch Normen haben eine natürliche Verzögerung – sie bilden bewährte Methoden ab, die bereits erprobt sind, und können daher immer nur auf vergangene Bedrohungen und Entwicklungen reagieren.

• Sicherheitsstandards sind langfristig ausgelegt
  Normen müssen in umfangreichen Fachgremien diskutiert, verabschiedet und anschließend international harmonisiert werden. Dieser Prozess dauert oft mehrere Jahre, während sich Cyberbedrohungen innerhalb weniger Monate oder sogar Wochen verändern.
• Cyberkriminelle sind schneller als Normungsgremien
  Hacker entwickeln ständig neue Angriffsmethoden – von Zero-Day-Exploits bis hin zu hochkomplexen Supply-Chain-Angriffen. Solche Bedrohungen tauchen oft auf, bevor offizielle Sicherheitsstandards sie berücksichtigen können.
• Unternehmen müssen flexibel bleiben
  Ein Unternehmen, das sich allein auf die Einhaltung von Normen verlässt, läuft Gefahr, auf veraltete Schutzmechanismen zu setzen. Stattdessen müssen aktuelle Bedrohungsanalysen, Live-Sicherheitswarnungen (z. B. von CERT@VDE) und moderne Schutzmechanismen der Cybersicherheit in die Sicherheitsstrategie integriert werden.
  
  

Weitere Infos über das Thema Angriffsflächen und Risiken finden Sie in unserem Beitrag "Industrial Security: Bedrohungen & Strategien für mehr Cybersicherheit". 

Fazit: Sicherheitsstandards sind für Industriecomputer entscheidend

Für Unternehmen, die Industriecomputer und Automatisierungstechnik einsetzen, sind Sicherheitsstandards keine bloße Empfehlung, sondern eine Notwendigkeit. Angesichts zunehmender Cyberbedrohungen können Unternehmen durch die Einhaltung von Normen wie IEC 62443 und ISO 27001 ihre Systeme absichern und sich auf eine international anerkannte Sicherheitsbasis stützen.

Für die Hersteller von Industriecomputern – wie die tci GmbH – bedeutet das:

• Produkte müssen Security-by-Design-Prinzipien folgen.
• Sicherheitsfeatures wie TPM, Secure Boot und Patch-Management müssen in die Geräte integriert sein.
• Industriecomputer müssen sich nahtlos in IEC 62443- und ISO 27001-Umgebungen einfügen.

Durch die Berücksichtigung dieser Standards wird nicht nur die Sicherheit der industriellen IT-Umgebung verbessert, sondern auch die Resilienz gegenüber Cyberbedrohungen erhöht. 

Denn eines ist klar: Ohne Sicherheitsstandards bleibt Industrial Security lückenhaft – und damit ein echtes Risiko für Unternehmen.

Security ist hierbei kein reines Industriethema sondern ein Thema welches weitere Bereiche wie die Gebäudetechnik betrifft. Mehr Informationen zu diesem Thema finden Sie hier.