IIoT erfordert zertifizierte Security
»Zertifizierung ist ein vielschichtiger Prozess«
Die Verknüpfung von IT und OT zum IIoT macht einen lückenlosen Cyber-Schutz beider Bereiche und der Übergänge zwischen ihnen unabdingbar. Doch welche Zertifizierungen sind dafür nötig, und wie werden sie durchgeführt? Sudhir Ethiraj, Global Head of Cybersecurity Office (CSO) des TÜV Süd, informiert.
Elektronik: Warum ist die IT-Sicherheit gerade für das IIoT so dringlich?
Sudhir Ethiraj: Komponenten für das Industrial Internet of Things (IIoT) ermöglichen es, große Mengen von Daten vor Ort, im und am Fertigungsprozess zu sammeln, zu analysieren und zu verarbeiten, um schlussendlich bessere Geschäftsergebnisse zu erzielen. Diese durchgängige Vernetzung vergrößert aber auch die Angriffsfläche für Cyberattacken. Schwere Sicherheitslücken, wie zuletzt durch das Open-Source-Softwaremodul Log4j, aber auch Angriffe wie gegen Colonial Pipeline und Florida Water Works in den USA zeigen, wie verletzlich industrielle Infrastrukturen sind. Cyberangriffe können hier nicht nur zu Datendiebstahl führen, sondern auch Auswirkungen auf Safety-Aspekte haben, denn manipulierte Produkte und Maschinen bedeuten Risiken für Leib und Leben, aber auch für die Umwelt. Um zu verhindern, dass IIoT-Komponenten als Einfallstor für Cyberangriffe dienen, hat Cybersicherheit im Bereich der OT (Operational Technology) deshalb höchste Priorität.
Welche internationalen Normen von IEC, IEEE oder ISO sowie EU-Verordnungen und -Richtlinien sind dafür maßgebend?
Die Zertifizierung nach IEC 62443 Teil 4 ist ein gültiges Zertifizierungsschema, das einen sicheren Entwicklungsprozess, in dem Cybersecurity durchgängig bereits bei der Entwicklung berücksichtigt wird, und darauf aufbauend mögliche Komponentenzertifizierungen abdeckt. Neben Produktzertifizierungen sind auch System- und Prozesszertifizierungen für Lieferanten, Dienstleister und Integratoren möglich.
Bei der Zertifizierung von IIoT-Systemen müssen sowohl Software als auch Hardware getestet und verifiziert werden. Bei der Softwareprüfung und -verifizierung geht es um Entwicklungsprozesse und die Inspektion des Quellcodes. Die Hardwareprüfung umfasst die Untersuchung auf Sicherheitslücken, wozu Penetrationstests nach den modernsten Methoden gehören.
Für den Energiesektor sind hier die NERC-CIP-Standards relevant. Diese umfassen Aspekte der IT-Sicherheit auf der Ebene kritischer Infrastrukturen (KRITIS) und schließen die Versorgungskette der großen Stromerzeuger ein.
Mit dem EU-Cybersicherheitsgesetz soll ein EU-weiter Rahmen für die Zertifizierung digitaler Produkte, Dienste und Verfahren im Bereich der Cybersicherheit geschaffen werden. Er ergänzt die NIS-Richtlinie (EU 2016/1148), die erste EU-weite Rechtsvorschrift im Bereich der Cybersicherheit.
Relevant sind zudem für den US-amerikanischen Markt die Cybersecurity-Standards des US-amerikanischen National Institute of Standards and Technology (NIST). Dazu zählen NISTIR 8228 für Cybersicherheits- und Datenschutzrisiken, NISTIR 8259 für IoT-Hersteller, NIST SP 800-53 als Steuerungskatalog für den CS-Bedarf des Bundes für das IoT sowie NIST SP 800-161 als Anleitung für Risiko-Management-Verfahren in der Lieferkette.
Welche Gerätekennzeichnungen gibt es dafür?
Bisher ist eine solche Kennzeichnung nicht vollständig verfügbar. Die aktuellen Kennzeichen konzentrieren sich stark auf IoT-Geräte für Verbraucher, wie das Kennzeichnungssystem CLS in Singapur sowie das Trafficom-Kennzeichen in Finnland. Kürzlich hat das deutsche BSI ebenfalls ein erstes IT-Sicherheitskennzeichen für Verbraucher aufgelegt. Das CE-Kennzeichen umfasst allgemeine Anforderungen für das Inverkehrbringen von IIoT-Geräten, jedoch nicht speziell für IT-Sicherheit. Wir werden solche Initiativen jedoch begrüßen und uns an ihnen beteiligen.
Welche Kriterien und Aspekte sind bei der und für die IT-Security-Zertifizierung entscheidend?
Wie gesagt: Wenn es um IIoT geht, müssen sowohl Software als auch Hardware getestet und verifiziert werden. Bei der Software geht es um verschiedene Aspekte, wie die Prüfung der Entwicklungsprozesse und die Inspektion des Quellcodes, bei der Hardware um Sicherheitslücken und Penetrationstests. Aspekte der Lieferkettensicherheit sind dabei zu berücksichtigen. Vor allem bei Software-Anbietern, deren Produkt auch für OT- und IIoT-Systeme regelmäßig aktualisiert werden muss, ist das wichtig. Ohne ein angemessenes Management der Software-Anbieter besteht die Gefahr, dass die Aktualisierung nicht so erfolgt, wie es sein sollte.
Wie wird die Zertifizierung konkret durchgeführt?
Das hängt stark von der jeweiligen Norm ab. Allgemein kann man aber sagen, dass die Zertifizierungen die Audits auf Prozess-, Produkt- und manchmal auch auf Organisationsebene umfassen. Nach absolvierten Workshops, Gap-Analysen, dem Einreichen der Dokumente und deren Prüfung folgt bei erfolgreichen Ergebnissen und Einhaltung der Vorschriften die Zertifizierung.
Welche Verknüpfungen gibt es zwischen IT-Security-Zertifizierung und Safety-Zertifizierung für funktionale Sicherheit? Inwieweit hängt das eine vom anderen ab?
Bei IIoT-Systemen besteht meist ein direkter Zusammenhang zwischen Security und Safety, also Informationssicherheit und Betriebssicherheit. Weil diese Systeme häufig in industriellen Umgebungen eingesetzt werden, wo Menschenleben in Gefahr sein können, bedeutet eine Beeinträchtigung der IT-Sicherheit auch eine Beeinträchtigung der Arbeitssicherheit. Daher gehen Sicherheit und Schutz in diesem Segment stets Hand in Hand. Wenn es zum Beispiel um industrielle IT-Sicherheit geht, sind sowohl die Norm IEC 62443 als auch Aspekte der funktionalen Sicherheit nach IEC 61508 zu berücksichtigen. Es bringt nichts, wenn man das eine oder das andere ignoriert, da umfassende Sicherheit nur vorhanden sein kann, wenn man beide Aspekte bedenkt. TÜV Süd bietet ein erweitertes Risk Assessment an, das die industrielle Cybersecurity und Safety umfasst.
Wirkt sich die Entwicklung der Netzwerktechnologien rund um 5G und 6G maßgeblich auf die Anforderungen der Zertifizierung aus oder sind diese statt technik- eher prozessorientiert?
Der Schwerpunkt liegt auf den Prozessen und Produkten. Allerdings wird auch die Kommunikation über Netzwerke, also zukünftig auch über 5G- und 6G-Netze, bewertet.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
