Risikobewertung für Produktionsanlagen
Safety und Security kombiniert denken
Fortsetzung des Artikels von Teil 1
IT- und OT-Experten müssen zusammenarbeiten
In Bezug auf ihre IT-Security sind viele Unternehmen bereits gut aufgestellt. Prozesse zum Schutz der unternehmensrelevanten Daten, Kommunikations-Anwendungen und zentralen Serversysteme sind meist implementiert. Der Security der Produktionsanlagen (OT-Security) wird jedoch noch nicht der gleiche Stellenwert eingeräumt. Dies liegt unter anderem daran, dass die Schutzziele der IT- und OT-Sicherheitsexperten im Unternehmen stark differieren. Während für die IT-Abteilung die Integrität der Daten oberste Priorität hat, gilt für OT-Experten in der Produktion vor allem die Maxime: Die Produktion muss laufen, und das möglichst unterbrechungsfrei.
Weil ein Angriff auf die IT-Infrastruktur direkte Auswirkungen auf die OT-Security in der Produktion haben kann – wie am Beispiel aus der Lebensmittelindustrie gezeigt –, müssen die IT- und OT-Verantwortlichen gemeinsame Schutzziele definieren und koordiniert geeignete Maßnahmen zur Abwehr von Manipulationsversuchen durch Cyberangriffe entwickeln. Dabei unterstützt die IEC-62443-Normenreihe »Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme« die Sicherheitsexperten der Hersteller, Integratoren und Betreiber.
Grenzen des Zero-Trust-Konzepts
Nicht jedes IT-Security-Konzept lässt sich eins zu eins auf die OT adaptieren. Innerhalb der IT-Infrastrukturen wird zunehmend das Zero-Trust-Konzept umgesetzt. Demnach gelten Komponenten und Benutzer auch innerhalb des eigenen Netzwerks nicht mehr automatisch als vertrauenswürdig. Deshalb wird die Connectivity unterbunden, bis das Gegenteil explizit bewiesen ist. In der OT würde das Konzept ebenfalls das Security-Niveau erhöhen, allerdings mit negativen Auswirkungen auf die Produktionsgeschwindigkeit. Daher kommt in der Produktion das Konzept nur angepasst und in Einzelfällen zur Anwendung.
Im Unterschied zur IT ist in der OT nicht jede wirksame Sicherheitsmaßnahme zwingend softwarebasiert. So kann der Einsatz mechanischer Komponenten – etwa als Überlastschutz – kombiniert mit einer »mittleren« Security-Absicherung gegenüber einer starken Cybersecurity-Lösung aus wirtschaftlichen Erwägungen sinnvoll sein. Zudem lassen sich mechanische Sicherheitsvorrichtungen nicht über das Netzwerk angreifen. Voraussetzung für die Integration mechanischer Lösungen ist jedoch, dass die Sicherheit der Mitarbeiter gewährleistet bleibt. Potenzielle Schäden an den Anlagen sind unter Umständen tolerierbar, wenn starke Cybersecurity-Maßnahmen den Anlagenbetrieb ausbremsen und die Produktivität über das wirtschaftlich vertretbare Maß hinaus mindern würden.
Safety und Security ganzheitlich betrachten
Das Enhanced Risk Assessment (ERA) von TÜV Süd schlägt die Brücke zwischen IT und OT sowie zwischen klassischer Safety-Bewertung (z. B. Risiko- und Gefährdungsbeurteilung, HAZOP-Methode) und Cybersecurity-Analysen, etwa auf Basis der IEC 62443. Die internen und externen Sicherheitsexperten der verschiedenen Fakultäten arbeiten in moderierten Workshops an einem tieferen, ganzheitlichen Verständnis der vernetzten Produktionsanlagen. Sie identifizieren bisher nicht bekannte Cybersecurity-Schwachstellen und bewerten deren Auswirkungen auf Safety und Security in der Produktion. Außerdem erarbeiten sie gemeinsam Maßnahmen zum Schutz vor Cybermanipulationen, die auf die definierten Schutzziele abgestimmt sind. Zu diesen zählen neben der Sicherheit der Mitarbeiter und Anlagen auch die Integrität vertraulicher Produktionsdaten sowie Produktqualität und Effizienz der Produktionsprozesse. Das Enhanced Risk Assessment baut dabei auf im Unternehmen vorhandene interne Bewertungskonzepte auf und erweitert diese anforderungsgerecht.
Die Autoren
Michael Pfeifer ist Experte für Maschinensicherheit und Industrie 4.0 bei TÜV Süd Industrie Service.
Andreas Michael ist Industrial IT Security Expert bei TÜV Süd Industrie Service.
- Safety und Security kombiniert denken
- IT- und OT-Experten müssen zusammenarbeiten
Lesen Sie mehr zum Thema
