IT-Sicherheitsaspekte für Prüfprozesse Digitaler Fortschritt braucht Regeln

Regulativer Sicherheits-Rahmen für alle Marktteilnehmer
Regulativer Sicherheits-Rahmen für alle Marktteilnehmer

Vertrauen ist der wichtigste Innovatonstreiber. Doch beim Thema Sicherheit fehlt ein regulativer Rahmen, der für alle Marktteilnehmer gleichermaßen für Sicherheit, Verlässlichkeit und Vertrauen sorgt. Aus Sicht des TÜV Nord besteht dringender Handlungsbedarf.

Es ist ein Vorgang, wie er im Jahr 2014 normaler nicht sein konnte: In der Verwaltung eines Stahlwerks öffnet ein Mitarbeiter eine E-Mail. Weder der Absender noch der Inhalt machen ihn misstrauisch. Er ahnt nicht, dass diese E-Mail eine geschickte, genau auf ihn zugeschnittene Fälschung ist. Ihr einziges Ziel: die Infektion seines Bürorechners mit einem Trojaner.

»Mittels Spear-Phishing und ausgefeiltem Social Engineering erlangten Angreifer initialen Zugriff auf das Büronetz des Stahlwerks. Von dort aus arbeiteten sie sich sukzessive bis in die Produktionsnetze vor«, wird das Bundesamt für Sicherheit in der Informationstechnologie (BSI) später über diesen Vorfall in seinem Lagebericht schreiben. Die Folgen des Angriffs waren fatal, da wichtige Steuerungselemente der Stahlproduktion lahmgelegt wurden: »Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte und sich in einem undefinierten Zustand befand«, so das BSI in seinem Bericht.

Solche Ereignisse gehören mittlerweile zum Alltag – und: es gibt keinen Bereich in der digital vernetzten Gesellschaft, der sich vor der Gefahr von Cyberangriffen sicher fühlen könnte (Bild 1). Als im Mai 2017 der weltweite WannaCry-Angriff stattfand, waren in Europa nicht nur global aufgestellte Unternehmen, sondern auch Krankenhäuser, Ministerien und die Deutsche Bahn betroffen. Kürzlich erläuterte Andreas Krautscheid, Hauptgeschäftsführer des Bankenverbandes in einem Interview des Berliner Tagesspiegel, dass »jede Bank jeden Tag« von Hackern angegriffen werde. Zu Recht stellte er die Frage, wie sich Technologien regulieren ließen, damit Prozesse und Bankdaten auch künftig sicher bleiben.

Digitalisierung braucht neue Prüfprozesse

Die Sicherheit digital vernetzter Systeme, Anlagen und Produkte ist zu einer politischen Kernaufgabe geworden, um bei den Marktteilnehmern – Herstellern, Betreibern und Verbrauchern – für das Vertrauen in die weitere Entwicklung von Spitzentechnologien zu sorgen. Im Mittelpunkt müssen sowohl der Schutz vor Angriffen im Netz, als auch die Sicherheit der Daten stehen. Eine Regulierung, die mit klaren Vorgaben, transparenten und einheitlich hohen Sicherheitsstandards für Vertrauen und Akzeptanz sorgt, fehlt allerdings bislang. Regelmäßige Umfragen belegen, dass Manager, besonders im Klein- und Mittelstand, digitale Sicherheit als große Herausforderung für ihre Produktions- und Wertschöpfungsketten sehen.

Darüber hinaus sind aber auch viele Verbraucher nur dann bereit, auf innovative und digital vernetzte Produkte umzusteigen, wenn sie sich um ihre Sicherheit keine Gedanken zu machen brauchen. So hat etwa der TÜV-Verband (VdTÜV) kürzlich in einer Studie herausgefunden, dass Sicherheit das wichtigste Kriterium für die Kaufentscheidung eines neuen Autos sei – und die Skepsis gegenüber automatisierten Fahrzeugen immer noch groß ist.

 

Eine klare gesetzliche Basis im Bereich der digitalen Sicherheit fordern auch die TÜV-Unternehmen in Deutschland. Es verwundert kaum, dass für sie die Themen Cybersecurity und Datensicherheit ganz oben auf der Agenda stehen. Seit der ersten industriellen Revolution begleiten sie den technischen Fortschritt. Durch die Digitalisierung müssen aber unter den Bedingungen von Industrie 4.0 und dem Internet of Things die Sicherheitskonzepte völlig neu gedacht werden. »Der Prüfprozess muss zukünftig um eine digitale Ebene ergänzt werden, das heißt in die bestehenden Normen und Standards müssen IT-Sicherheitsaspekte einfließen,« fordert daher auch Ulf Theike, Geschäftsführer TÜV Nord Systems (Bild 2).

Klare Regelung für Datenhandhabung nötig

Das betrifft zum einen den wirkungsvollen Schutz vor Cyberangriffen, zum anderen aber auch die Frage, wie mit den von digitalen Systemen generierten Daten umgegangen wird. So sammeln Sensoren in technischen Anlagen – etwa in einem Aufzug – permanent Messdaten über Betriebszustände, die dann dem Hersteller übermittelt werden. Diese Daten geben aber auch entscheidende Sicherheitshinweise im Rahmen einer unabhängigen Prüfung durch eine zugelassene Überwachungsstelle. »Es muss eine klare Regelung gefunden werden, wer, wann und zu welchem Zweck auf diese Daten zugreifen darf«, so Theike.

Gleiches gilt für die Steuerungssoftware. Gerade in der Automobilindustrie hat sich gezeigt, wie wichtig es ist, dass auch externe Prüfer Zugriff auf die Software bekommen, um Manipulationen aufdecken oder Fehler aufspüren zu können. Künftig könnten solche Daten beispielsweise über ein sogenanntes TrustCenter ausgetauscht werden, in dem eine neutrale dritte Instanz regelt, wer Zugriff auf welche Daten erhält. Berechtigte Nutzer nutzen damit souverän die jeweils freigegebenen Daten. Das könnte für mehr Vertrauen in unabhängig verifizierte Daten und eine hohe IT-Sicherheit sorgen.

Konkrete Lösungen für Zertifizierungen digitaler Systeme gibt es bereits. »In der zunehmend vernetzten Industrie wenden wir bei TÜV Nord die international anerkannte Norm IEC 62443 zum Konformitätsnachweis in der Prozess- und Automatisierungsindustrie an«, erläutert Theike. »Da allgemein die Standardisierungsvorgaben fehlen, greifen auch andere Industriezweige darauf zurück.« Die Norm, auch bekannt unter »Industrial Communication Networks – Networks and System Security«, besteht momentan aus mehreren Teilnormen und bildet das gesamte industrielle Spektrum ab.

Sie reicht von der Organisation bzw. den Prozessen, über Systeme und Komponenten bis hin zu prozessualen und funktionalen Anforderungen. »Solche internationalen Standards reduzieren Handelshemmnisse, die durch unterschiedliche Zertifizierungskriterien in verschiedenen Ländern entstehen und erleichtern somit den Zugang zu neuen Märkten«, erklärt Theike, »Unternehmen können ihre Produkte schneller vermarkten, gleichzeitig die Herstellungskosten senken und die Sicherheit erhöhen.«

 

Security und Safety als integrierter Ansatz

Die Zertifizierung nach solchen Normen ist allerdings nach wie vor freiwillig. Und: die aktuell gültigen Normen beziehen sich entweder auf die IT-Sicherheit (Security) oder auf die funktionale Sicherheit (Safety). »Ein integrierter Ansatz, etwa als Norm oder Richtlinie, fehlt momentan«, sagt Theike. Betroffen sind davon besonders Hersteller und Betreiber, deren Prozesse dem Produkthaftungsgesetz, der Betriebssicherheitsverordnung oder der Richtlinie für Medizinprodukte unterliegen. So werden Druckbehälter momentan so geprüft, dass sie den mechanischen Sicherheitsanforderungen, etwa der europäischen Druckgeräterichtlinie, entsprechen.

In der Industrie 4.0 sind Druckbehälter aber in weltweit vernetzte digitale Systeme eingebunden, Sensoren messen Betriebszustände, digitale Steuersysteme regeln die Ventile. »Künftig muss zwingend bei der Prüfung dieser Anlagen auch die digitale Sicherheit einbezogen sein,« fordert Theike. Solange dieser integrierte Ansatz fehlt, empfiehlt er den betroffenen Unternehmen beziehunsgweise Betreibern beispielsweise auf eine Security4Safety-Risikobewertung durch TÜV Nord zurück¬zugreifen, die ein ganzheitliches Risikomanagement für Produkte und Prozesse der Industrie 4.0 abbildet.

Künstliche Intelligenz muss sicher sein

Damit Deutschland seinen Spitzenplatz als Innovationsstandort für innovative Technologien weiter ausbauen kann, ist eine digitale Sicherheitsarchitektur dringend notwendig. Das gilt auch für den Einsatz von selbstlernenden Systemen mit künstlicher Intelligenz, die immer häufiger in Produkten, Fahrzeugen oder Industrieanlagen zum Einsatz kommen. Gerade hier sind klare Regeln, Normen und Standards notwendig. Künstliche Intelligenz muss sicher und diskriminierungsfrei angewendet werden, nur so kann sie dazu beitragen, dass Mobilität, Consumer-Produkte und Industrieanlagen effizienter und sicherer werden.

Künstliche Intelligenz reagiert aber nicht vorhersehbar, deshalb müssen die zugrundeliegenden Algorithmen validiert und zertifiziert werden. »In Zukunft müssen wir nicht nur sicher sein, dass ein komplexes automatisiertes Fahrzeug bremst«, erläutert Joachim Bühler, Geschäftsführer des TÜV-Verbandes. »Wir müssen vor allem auch wissen, warum es bremst« Besonders wichtig ist daher, dass künftig bei der Programmierung von Algorithmen auch ethische Gesichtspunkte beachtet werden. Allerdings fehlen dafür noch Prüfszenarien, Methoden und Standards, um die Sicherheit der eingesetzten Algorithmen und selbstlernenden Systeme über den gesamten Produktlebenszyklus zu gewährleisten.

Aus Sicht aller Beteiligten – Herstellern, Betreibern, Verbrauchern und Prüforganisationen – ist es daher ein wichtiger Meilenstein, dass sich nun auch die EU intensiv um das Thema IT-Sicherheit kümmert. Im September 2017 wurde ein erster Vorschlag für einen »Cyber Certification Act« (CCA) durch die EU-Kommission präsentiert und danach in den Ausschüssen des EU-Parlaments behandelt. Ziel ist ein wirkungsvoller Schutz vor Cyberangriffen und eine umfassende digitale Sicherheit auf dem europäischen Binnenmarkt. Anfang Juni veröffentlichte der Europäische Rat nun seine Position zu diesem Gesetzesvorhaben.

Für Ulf Theike ist es besonders wichtig zu betonen, dass darin die EU-Mitgliedsstaaten noch über den ursprünglichen Vorschlag der Brüsseler Kommission hinausgehen. Der Europäische Rat fordert nämlich ein Zertifizierungssytem für Produkte der Informations- und Kommunikationstechnik, das einem risikobasierten Ansatz folgt: Je gefährlicher ein Produkt, umso höher die Prüfanforderungen.

Das entspricht genau den Regeln des »New Approach«, also dem europäischen Rechtsrahmen für die Vermarktung von Produkten auf dem Binnenmarkt, der bei allen nicht-digitalen Produkten schon lange angewendet werden muss. Hier legen Richtlinien ein hohes Sicherheitsniveau für bestimmte Produkte im Markt fest und schreiben ab einem bestimmten Risiko die Einbindung unabhängiger Prüforganisationen vor.

»Damit werden in Europa die regulativen Grundlagen für einen integrierten Ansatz von Safety und Security gelegt«, so Theike. Auch werden dadurch die Kompetenzen zwischen Herstellern und Prüforganisationen genau abgegrenzt. »Für die Mitgliedsstaaten kommt eine Selbstzertifizierung durch die Hersteller nur noch bei Produkten mit sehr geringem Risiko in Frage. In allen anderen Fällen soll die Zertifizierung durch unabhängige Stellen erfolgen, so wie das außerhalb der digitalen Welt schon lange gilt.«