Hacker gegen Industrial Control Systems
»Nur Sensorik und Aktorik wurden bislang noch nicht angegriffen«
Fortsetzung des Artikels von Teil 3
Der NERC-CIP-Standard: Mögliches Vorbild für die deutsche und europäische Security-Implementierung
SmarterWorld: Wie beurteilen Sie vor diesem Hintergrund die Versuche in Deutschland über den Gesetzgeber oder staatliche Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mittels technischer Richtlinie Security vorzuschreiben?
Thomas Brandstetter: Deutschland hat gegenüber anderen Ländern noch einen vergleichsweise guten Standard. Die Smart Meter in anderen Ländern unterliegen z.B. nicht so starken Regularien, wie in Deutschland. Ob das diese Länder noch einholen wird, wird sich zeigen. Von alleine geschieht leider nichts, Regularien sind aber auch kein Allheilmittel.
In Nordamerika geht man mit der North American Electric Reliability Corporation (NERC) einen interessanten Mittelweg zwischen staatlichem Zwang und »Selbstverwaltung« der Industrie. Der Impuls zur Gründung des NERC, das ein Nonprofit ist, ging vom Staat aus, genauso wie die Vorgabe, Regularien einzuhalten und sie in gewissen Abständen zu verschärfen.
Das NERC hat den sogenannten CIP-Standard verbindlich für die Netzbetreiber und Versorger in den USA und CANADA erlassen. CIP steht für Critical Infrastructure Protection, umfasst 9 Standards und viele Normen, die die Cyber-Sicherheit, das Training, das Security-Management und die Notfallplanung für Nordamerikas Stromnetzbetreiber umfassen.
Vor mehr als zehn Jahren, als per Gesetz Security für die Energiebranche vorgeschrieben wurde, ging ein Aufschrei durch die nordamerikanische Versorgungsbranche, heute spricht man kaum noch darüber, so selbstverständlich hat man akzeptiert, dass die Einhaltung der Vorgaben einfach zum Geschäft gehört. Dabei werden die »Daumenschrauben« sogar in Form verschärfter Anforderungen regelmäßig immer wieder angezogen.
Der Energiesektor Nordamerikas hat gelernt, damit zu leben. Für Säumige winken ansonsten durchaus Pönale, also Vertragsstrafen, wenn sie die Compliance und Security-Standards schleifen lassen. Interessant ist auch, dass die Überprüfung der Standards nicht nur von Behörden, sondern auch den Mitbewerbern aus der Energieversorgung durchgeführt wird. Wer die Requirements nicht erfüllt, kann sogar auf einer öffentlichen Webseite geoutet werden.
Im Nahen Osten diente das NERC-CIP-Regelwerk schon als Blaupause für eigene Regelungen. Die Mischung aus Self-Monitoring der Stakeholder und regelmäßigen Compliance-Nachweisen könnte für das Vorgehen in Sachen Security für kritische Infrastrukturen oder industrielle Systeme ein interessanter Ansatz für Europa sein.
SmarterWorld: Das würde aber bedeuten, dass sich mehr Menschen als bisher damit befassen, wo Security in ihrem Fachgebiet relevant wird.
Thomas Brandstetter: Ja, aber ich glaube, die Entwicklung ist angestoßen. Bei der Ausbildung des SANS zu ICS-Security, ist das Publikum immer sehr gemischt, gerade in meinem Kurs »Industrial Control System Security Essentials«, was mich sehr freut. Die Mischung besteht aus großen Komponentenherstellern, z.B. Siemens, Honeywell oder GE, den Systemintegratoren und den Betreibern, also allen Stakeholdern der Wertschöpfungskette. So sollte es sein, dass sich jedes Mitglied der Value Chain seiner Verantwortung für Security bewusst ist und die Qualität der Security insgesamt davon profitiert.
SmarterWorld: Herr Brandstetter, vielen Dank für das Gespräch!
Das Inverview führte Hagen Lang
- »Nur Sensorik und Aktorik wurden bislang noch nicht angegriffen«
- Kriminelle lernen
- Security muss als Teil der Wertschöpfungskette eingepreist werden
- Der NERC-CIP-Standard: Mögliches Vorbild für die deutsche und europäische Security-Implementierung
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
KIT-Simulationsmodell
Die Widerstandskraft smarter Grids stärken
Entwicklung von Cyber-Angriffen
Die Gefährdungslage bei Industrial Control Systems
Online
BSI bietet kostenlosen Kurs für IT-Sicherheit
