Cyber-Security: «Ein gutes Schutzkonzept ist wie eine Ritterburg»

Dr. Christopher Tebbe vom Security Technology Management bei Wago Contact in Minden
Dr. Christopher Tebbe vom Security Technology Management bei Wago Contact in Minden: «Firewall, Endpoint-Protection, Anomalieerkennung, Log-Auswertung und so weiter werden so geplant, dass sie zusammen einen möglichst grossen Schutz ergeben.»

Durch die IT-OT-Konvergenz nimmt das Bedrohungspotenzial für produzierende Unternehmen weiter zu. Mit einem Managementsystem für Informationssicherheit können diese jedoch Risiken erkennen, bewerten und auf einem akzeptablen Niveau halten. Im Gespräch mit Dr. Christopher Tebbe vom Security Technology Management bei Wago Contact in Minden.

Markus Back

Autor: Markus Back, Chefredaktor Print
E-Mail / LinkedIn-Profil

Dr. Tebbe, für was braucht es ein Managementsystem für Informationssicherheit, kurz ISMS?

Ein ISMS ist das Rahmenwerk, das die Informationssicherheit in einem Unternehmen regelt. Es umfasst alle Massnahmen, Vorgehensweisen und Richtlinien, die für die Aufrechterhaltung der Informationssicherheit benötigt werden und stellt deren Funktionalität und Pflege sicher.

Wer muss sich mit diesem Thema befassen beziehungsweise ist ein ISMS verpflichtend?

In manchen Bereichen ist es bereits verpflichtend, in Deutschland beispielsweise für Unternehmen der kritischen Infrastrukturen. In der Schweiz wird indes eine verpflichtende Einführung für den Stromsektor gefordert. Aber auch darüber hinaus ist es für Unternehmen wichtig. Es dient dazu, die mit der Informationssicherheit verbundenen Risiken zu erkennen, zu bewerten und auf einem akzeptablen Niveau zu halten. Deshalb empfiehlt es sich selbst für kleinere Unternehmen, ein ISMS einzuführen. Hierzu müssen diese nicht alles auf einmal umsetzen, sondern können Schritt für Schritt Vorgehen.

Wie sollten Unternehmen vorgehen, die das hierfür benötigte Personal nicht in ihren Reihen haben?

Dies sind aus meiner Erfahrung in aller Regel kleinere Unternehmen. Diese können sich beispielsweise mit der Hinzunahme eines externen Beraters behelfen. Wir als Wago sind aktuell dabei, entsprechende Unterstützungsangebote zu formulieren. Darüber hinaus gibt es für kleinere Unternehmen leichtgewichtigere ISMS, die zu den grossen ISMS wie der ISO 27001 dennoch kompatibel sind. Beispiele sind die VdS 10000 für den Unternehmensbereich oder die VdS 10020 für industrielle Anlagen.

Die Rollen in der IEC 62443

Die ISO/IEC 27001, sagen Sie, geht nicht auf die besonderen Belange industrieller Anlagen ein. Können Sie das anhand eines Beispiels erklären?

Die ISO/IEC 27001 wurde bewusst generisch entwickelt, damit sie auf Unternehmen beliebiger Art angewendet werden kann. Etabliert hat sie sich vor allem im Bereich der Unternehmens-IT. Die ISO/IEC 27019 ergänzt ausserdem ein paar Punkte für den Energiesektor, bleibt aber ebenfalls abstrakt.

Die Besonderheiten von industriellen Anlagen gegenüber der normalen IT werden deshalb nicht betrachtet und die Betreiber haben es so schwerer, die Massnahmen, umgangssprachlich Controls genannt, für ihre Anlagen zu ermitteln und umzusetzen. Deshalb wurde die IEC 62443 entwickelt, die versucht, möglichst viel Hilfestellung zu geben, um ein ISMS für Industrieanlagen einzuführen und zu betreiben.

Die IEC 62443 beschreibt den Lebenszyklus einer Anlage und ihrer Komponenten aus den verschiedenen Rollen von Hersteller, Integrator und Betreiber. Was ist die Idee hinter dieser Rollenbeschreibung?

Durch die Unterscheidung der Rollen lässt sich in der IEC 62443 sehr gut darstellen, welche Aufgaben und Verantwortlichkeiten wo liegen. Der Betreiber verantwortet so beispielsweise den sicheren Betrieb und die Einhaltung der Schutzmassnahmen. Kommt es zu Änderungen oder soll eine neue Anlage gebaut werden, ist dagegen der Integrator verantwortlich. Der Hersteller stellt indes die dafür benötigten Komponenten mit den benötigten Security-Funktionen bereit.

Dabei ist zu beachten, dass die Anforderungen vom Betreiber zum Integrator und vom Integrator zum Hersteller weitergegeben werden, da sie diese Anforderungen aufgrund ihrer Rolle selbst nicht erfüllen können. Gleichzeitig muss der Hersteller dem Integrator nachweisen, dass er die benötigten Security-Funktionen implementiert hat. Gleiches gilt für die Beziehung zwischen Integrator und Betreiber.

Man muss sich zudem bewusst sein, dass ein Unternehmen durchaus mehrere Rollen innehaben kann. Ein Betreiber kann also auch Integrator sein, wenn er selbst seine Anlage erweitert. Auch Wago hat nicht nur die Rolle eines Hersteller, sondern ist mit seiner Business Unit Solutions auch als Integrator aktiv. Es ist also wichtig, die Rollen aufgrund ihrer Abhängigkeiten nicht zu vermischen.

Wie man Angriffsversuche erkennen kann

Gerade kleinere KMU dürften mit der Risikoanalyse überfordert sein. Welche Tipps haben Sie für diese Unternehmen?

Die IEC 62443-3-2 beschreibt das genaue Vorgehen für eine Risikoanalyse, die je nach Anlage tatsächlich sehr komplex sein kann. Da diese Aufgabe dem Integrator zugeordnet ist, kann es für diesen durchaus sinnvoll sein, externe Hilfe hinzu zu ziehen. Alternativ kann er sich mit Weiterbildungen auf diese Aufgabe vorbereiten.

Integratoren, die direkt starten wollen, empfehle ich, zunächst mit einem kleinen Bereich wie einer Produktionslinie zu starten. Das vereinfacht und beschleunigt die Durchführung einer Risikoanalyse, zudem kann man sich mit der Thematik vertraut machen.

Im Zusammenhang mit der ISMS wird auch von Defense-in-Depth-Konzepten gesprochen. Was hat man sich darunter vorstellen?

Ein Defense-in-Depth-Konzept verbindet verschiedene Schutzmassnahmen mit dem Ziel, potenziellen Angreifern den Zugriff ins eigene Netzwerk so schwer als möglich zu machen. Diese Massnahmen lassen sich gut mit einer Ritterburg vergleichen, die mit verschiedenen Schutzmassnahmen versucht, Angreifer draussen zu halten. Da ist zunächst der Burggraben, dann kommen das Tor und die Mauern und dahinter warten Ritter und Bogenschützen. So ist das auch bei den Security-Massnahmen. Firewall, Endpoint-Protection, Anomalieerkennung, Log-Auswertung und so weiter werden so geplant, dass sie zusammen einen möglichst grossen Schutz ergeben. Das klingt komplizierter als es ist und wird in der IEC 62443 ausgiebig behandelt.

Was für Möglichkeiten gibt es, Angriffsversuche zu erkennen?

Diese Möglichkeiten sind vielfältig. Eine Möglichkeit ist es sicherlich, Log-Daten von Clients, Servern und Netzwerkgeräten auszuwerten. Auch Firewalls sind mittlerweile in der Lage, Angriffe zu erkennen und zu verhindern. In Produktionsanlagen setzen sich zudem Network Intrusion Detection Systeme, kurz NIDS, durch. Diese überwachen die Netzwerkkommunikation und melden sich selbstständig bei Anomalien. Diese Anomalien müssen dann von einem Experten bewertet werden, ob es sich wirklich um einen Angriff handelt oder es einen anderen Grund für diese Anomalie gibt. Ganz ohne menschlichen Eingriff kommen wir also auch zukünftig nicht aus, auch wenn die Automatisierung zunimmt.

Weitere Artikel, die Sie interessieren könnten

Maurizio Tarozzi, Chief Product Officer bei B&R

«Wir haben die Vision vollständig elektrifizierter Prozesse»

«Wer weiterhin auf pneumatische Prozesse setzt, verpasst eine große Chance, um Energie zu sparen», Maurizio Tarozzi, Chief Product Officer B&R. Energieeffiziente Automation - das grosse Interview.

Machine Heat Recovery System heizt Industriehallen mit Maschinenwärme

Ingenieure von Igus setzen jetzt eine simple Technik für die Wärmerückgewinnung ein. Igus stellt diese Technologie in allen Details auch anderen Industrieunternehmen online zur Verfügung.

Swissmem: «Tödlicher Cocktail für energieintensive Unternehmen in der Schweiz»

Die Tariferhöhung für das Stromübertragungsnetz bedrohe die Existenz der energieintensiven Firmen in der Schweiz, sagt Swissmem und stellt Forderungen.

Der Schweizer Maschinenbau

Der Schweizer Maschinenbau hat einen hervorragenden Ruf in der ganzen Welt. Diese Seite ist dieser grossen und wichtigen Branche gewidmet. Viele Artikel und eine interaktive Schweizer Maschinenbaukarte.

fühlende und autonome Maschine des IFW in Hannover

Auf der Suche nach der autonomen, fühlenden Maschine

Es ist ein grosser Traum, an dem in den Laboren des Instituts für Fertigungstechnik und Werkzeugmaschinen (IFW) an der Leibniz Universität Hannover geforscht und entwickelt wird: die fühlende und smarte Maschine. Was kann sie? Was wird sie können? Prof. Dr.-Ing. Berend Denkena, Leiter des Instituts gibt Antworten auf den grossen Traum.

Wie erstelle ich ein Deep-Learning-Modell?

Deep Learning ist eine der Schlüssel-Technologien des Industrial IoT (Internet of Things). Hier gibt es drei praktische Anwendungsbeispiele für den einfachen Einstieg in Deep-Learning-Anwendungen.

Ein grosser Schritt für alle

Der Cybathlon, das Projekt Varileg und das Projekt «VariLeg enhanced» und die Wichtigkeit von Kooperationen zwischen Industriefirmen und Hochschulen.

Das Kleinstgedruckt - 3D-Druck im Mikrometerbereich

Eine preisgekrönte Multimediastory von Chefredaktor Eugen Albisser über den 3D-Druck im Mikrometerbereich.

Ab in die 3. Dimension - Wie HP zum 3D-Druck kam

Eine Multimediastory über HP und wie sie den disruptiven Weg vom 2D-Druck in die dritte Dimension fand.

Impressum

Textquelle: Wago / Markus Back

Bildquelle: Wago 

Redaktionelle Bearbeitung: Technik und Wissen

Informationen

Wago Contact SA
www.wago.com

Weitere Artikel

Mehr aus >

Veröffentlicht am:

Übersicht