Recommended For You
Die Gefahren, die von Cyber-Bedrohungen für geistiges Eigentum, Kundendaten und Produktivität ausgehen, sind allgemein bekannt, aber die Auswirkungen dieser Bedrohungen auf die Betriebssicherheit wurden bisher wenig diskutiert. Ein Cyber-Angriff auf Ihr industrielles Steuerungssystem (ICS) kann dazu führen, dass Anlagen beschädigt, Rezepte verändert, Mitarbeiter verletzt oder schwere Umweltschäden verursacht werden.
Wenn Sie sich gerade inmitten einer digitalen Transformation befinden – egal, ob es sich um einen gesteuerten Prozess oder eine langsame Entwicklung handelt – sollte das Management der damit verbundenen Safety- und Security-Risiken ein integraler Bestandteil dieses Prozesses sein.
Ein gut durchdachter Security-Ansatz verbessert die Erfassung, Analyse und Bereitstellung von Informationen. Unterbrechungen und Frustrationen im Zusammenhang mit der Informationssicherheit (Security) werden minimiert. Darüber hinaus trägt ein solcher Ansatz zur Betriebssicherheit (Safety) Ihres Unternehmens bei.
Die Risiken kennen
Security- wie auch Safety-Standards berücksichtigen den Zusammenhang zwischen den Risiken für die Informations- und die Betriebssicherheit bereits jetzt.
In der Cyber-Sicherheitsnorm ISA/IEC 62443-1-1 ist der Hinweis zu finden, dass Security-Verletzungen Konsequenzen haben können, die über die Kompromittierung von Daten hinausgehen. In der Norm ist zu lesen, dass „der mögliche Verlust von Leben sowie Produktionsausfälle, Umweltschäden, die Verletzung von Vorschriften und die Gefährdung der Betriebssicherheit weitaus schwerwiegendere Folgen sind. Sie schädigen nicht nur das angegriffene Unternehmen, sondern können auch die Infrastruktur der jeweiligen Region oder des Landes schwer treffen“.
In der Norm für funktionale Sicherheit IEC 61508-1 ist festgelegt, dass die mit Equipment und Steuerungssystemen verbundenen Gefahren unter allen vernünftigerweise vorhersehbaren Umständen bestimmt werden müssen. Die Norm besagt: „Dies schließt alle relevanten menschlichen Faktoren ein, wobei Abweichungen und Unregelmäßigkeiten beim Betrieb des zu überwachenden Equipments (EUC) besondere Aufmerksamkeit beigemessen werden muss. Wird bei der Gefahrenanalyse festgestellt, dass eine böswillige oder unbefugte Handlung, die eine Sicherheitsbedrohung darstellt, vernünftigerweise vorhersehbar ist, sollte eine Analyse dieser Bedrohung durchgeführt werden.
Security- und Safety-Konzepte basieren auf einem Risikomanagement, das durch kontinuierliches Bewerten und Baselining sicherstellt, dass eine Gefährdungsschwelle nicht überschritten wird. Das Niveau des akzeptablen Risikos variiert je nach Branche und Eventualfall.
Wenn man bedenkt, dass die meisten Angriffe auf die Cyber-Sicherheit darauf beruhen, dass der Angreifer schlicht und ergreifend ein verwundbares Ziel findet – und der Angriff nicht aufgrund der Industrie oder der Bekanntheit des Unternehmens gezielt erfolgt – ist ein Cyber-Angriff in praktisch jeder Branche ein vorhersehbares Ereignis. Die Einschätzung Ihrer Cyber-Sicherheitsrisiken, die Bestimmung des akzeptablen Risikoniveaus und die Minderung der identifizierten Risiken auf ein akzeptables Maß sind heute die wesentlichen „vernünftigen“ Schritte zum Schutz von Menschen vor vorhersehbarer Fehlanwendung und böswilligen oder unbefugten Handlungen.
Wie bei der Betriebssicherheit ist bei der Cyber-Sicherheit und den damit verbundenen Risiken teilweise noch folgende Fehlannahme anzutreffen: „Wenn ich das Risiko nicht kenne, kann ich nicht zur Verantwortung gezogen werden“. Diese Haltung ist nicht akzeptabel, weder aus ethischer Sicht noch mit Blick auf die Compliance, vor allem wenn Menschenleben auf dem Spiel stehen.
Risiken gemeinsam angehen
Es kommt vor, dass die Risiken, die vernetzte Technologien mit sich bringen können, als Argument gegen die Modernisierung benutzt werden. Es ist aber wichtig zu erkennen, dass Nichtstun keine Lösung ist. Wenn Sie zu lange an alten Systemen festhalten, entgehen Ihnen nicht nur wertvolle Einsichten und andere Vorteile des industriellen Internets der Dinge, sondern diesen Systemen fehlen oft auch die Sicherheitsmaßnahmen zeitgemäßer Systeme, was sie nicht weniger verwundbar macht, sondern genau das Gegenteil bewirkt.
Besser ist es, die digitale Transformation bestmöglich zu nutzen und gleichzeitig die Betriebs- und Informationssicherheit als Teil des Prozesses zu schützen. Beachten Sie dabei einige wichtige Aspekte.
Viele Sicherheitspraktiken werden in der IT-Welt schon lange verwendet, aber sie sind neu in der OT-Welt. Und obwohl viele Maßnahmen zur Risikominderung ähnlich sind, werden sie im Front-Office ganz anders angewendet als in der Fabrikhalle.
In einer Produktionsumgebung sollten Risiken für die Cyber- und Informationssicherheit sowohl Teil des Risikomanagements als auch des Änderungsmanagements (Management of Change, MOC) sein. EHS-Fachleute sollten an der Verwaltung von Prozessen und der Einhaltung von Normen und Gesetzen beteiligt werden.
Ein neues Industriezeitalter ist angebrochen. Fest steht, dass die Vorteile von Industrie 4.0 die erhöhten Risiken überwiegen. Wenn Sie die Risiken verstehen und im Rahmen Ihrer digitalen Initiativen mindern, können Sie die Möglichkeiten Ihres Betriebs erweitern und gleichzeitig das schützen, was Ihnen am wichtigsten ist.
Für weitere Informationen zur industriellen Sicherheit klicken Sie hier.
Steve Ludwig ist der Manager für kommerzielle Sicherheitsprogramme bei Rockwell Automation, einem der weltweit größten Unternehmen für industrielle Automatisierung und Information. Rockwell Automation ist ein Gründungsmitglied der ISA Global Cybersecurity Alliance und hat mehrere ISA/IEC 62443-Zertifizierungen erhalten.
Veröffentlicht 27. April 2020