VDE – Teil 3 Industrial Security - Stand der Normung und Risikominimierung

Industrial Security - Stand der Normung und Risikominimierung
Industrial Security - Stand der Normung und Risikominimierung

Der dritte Teil unserer Artikelserie zur funktionalen Sicherheit befasst sich mit Industrial Security. Der Artikel beschreibt, wie sich diese neue Disziplin in das in Teil 1 und 2 dargestellte Vergleichsmuster einfügt.

Der Begriff IT-Sicherheit oder Informationssicherheit wird allgemein verwendet, um den Schutz von Informationen gegen Manipulation und Diebstahl zu bezeichnen. Das Ziel der Informationssicherheit ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, die ein System verarbeitet, sicherzustellen. Die Reihenfolge entspricht hier auch der Priorität der Schutzziele. So ist es im Büroumfeld wichtiger, eine Information gegen unerlaubten Zugriff zu schützen, als die Information unmittelbar und jederzeit dem Anwender zur Verfügung zu stellen. Es ist nicht ungewöhnlich, dass es am PC-Arbeitsplatz einige Sekunden dauern kann, bis sich das gewünschte Bild aufgebaut hat, oder dass der PC für einige Minuten nicht zur Verfügung steht, weil eine Aktualisierung des Betriebssystems vorgenommen wird.

Die IT-Sicherheit im Umfeld der Automatisierung hat einen etwas anderen Schwerpunkt. Hier geht es um den Schutz industrieller Anlagen vor unerlaubten physischen und digitalen Zugriffen. Diese können kriminell motiviert sein oder durch fahrlässiges Verhalten bewirkt sein, z.B. könnte ein Mitarbeiter in einer Notsituation versuchen, die Festplatte des Produktionsrechners während der laufenden Produktion zu formatieren. Im Vordergrund der IT-Sicherheit in Automatisierungslösungen steht die Verfügbarkeit der Anlage. Es muss sichergestellt sein, dass die Produktion aufrechterhalten bleibt, auch wenn sie durch Falschbehandlung oder Angriff beeinträchtigt wird. Die Priorität der Schutzziele liegt in erster Linie auf der Verfügbarkeit und der Integrität der Automatisierungslösung in ihrer Kernfunktion, nämlich die Produktionsanlage zu steuern. Der Schutz von Informationen gegen Datendiebstahl steht nicht im Vordergrund. Um sich von der IT-Sicherheit im Büroumfeld zu unterscheiden, wird oft der englische Begriff „Industrial Security“ für die IT-Sicherheit in Automatisierungslösungen verwendet. Es gibt im Deutschen keinen einfachen Begriff für IT-Sicherheit in Automatisierungslösungen; daher wird im Folgenden in Abgrenzung von der Office-IT der Begriff „Industrial Security“ verwendet.