Technologien

Evolution der Werkzeugkiste Der Reifegrad der Methoden in der Industrial Security

Lesedauer:  4 Minuten

Nach einem Spätstart hat die OT-Security in den letzten Jahren bedeutend gegenüber der IT-Security aufgeholt. Viele technische IT-Sicherheitsmaßnahmen sind auch für Maschinen und Anlagen verfügbar. Das Bild des Security-Reifegrads im OT-Feld ist jedoch komplexer und bruchstückhafter, wie der vorliegende Beitrag zu zeigen versucht. Bestimmte Grundfragen und Widersprüche der IT-Security werden hier besonders deutlich und müssen daher möglicherweise in der OT-Security selbst gelöst werden.

Wie sicher ist meine Fabrik, Anlage oder Maschine vor Hackerangriffen und anderen IT-Sicherheitsvorfällen? Wie ist es in dieser Hinsicht um meine Supply-Chain bestellt, also die Produkte, Prozesse und Systeme meiner Zulieferer und Dienstleister? In Zeiten voranschreitender Arbeitsteilung und immer weiter zunehmender Vernetzung stellen sich diese Fragen immer drängender. Zu ihrer Beantwortung existiert nicht ein, sondern eine Vielzahl von Vorgehen. Manche davon sind in Standards beschrieben – etwa unter der Überschrift „Reifegrad(Modell)“ – andere sind Eigenentwicklungen bestimmter Betreiber oder auch Beratungshäuser. Die Fragen der Vergleichbarkeit und des Ziels von „Benchmarks“, „Self Assessments“ und „Health Checks“ sind komplex und sollen an anderer Stelle behandelt werden.

Dieser Beitrag möchte stattdessen die Frage andersherum stellen: Wie reif, wie weit fortgeschritten, wie angemessen, wie erfolgsversprechend ist die Werkzeugkiste, die uns heute – Anfang 2018 – zur Verfügung steht, um die Fabrik-IT tatsächlich effektiv abzusichern? Versuchen wir uns also an einem Benchmark der Industrial Security. Als Vergleichsgrößen sollen dabei dienen:

  1. Security-Toolboxen, wie sie in anderen, ebenfalls großen Angriffsrisiken ausgesetzten Anwendungsszenarien von IT zum Einsatz kommen, und
  2. das Schutzniveau, das heute realistisch tatsächlich benötigt wird, um einem ernsthaften Angriffsversuch standzuhalten.

Benötigtes Security-Niveau

Beginnend mit der letzten Frage: Was ist das Niveau eines Angriffs, den ich mit nicht zu vernachlässigender Wahrscheinlichkeit erwarten sollte? Was ist die maximale Angriffsstärke, gegen die es sich zu verteidigen gerade noch lohnt? Diese Fragen lassen sich schwer losgelöst vom konkreten Einzelfall beantworten. Andererseits ist es nicht realistisch, von Unternehmen des produzierenden Gewerbes unabhängig von ihrer Größe zu verlangen, sich mit der momentanen Cyber-Bedrohungslage, den aktuell aktiven Akteuren und neusten Angriffskampagnen ständig perfekt auszukennen. Wie sieht hier also ein sinnvolles und wirtschaftliches Vorgehen aus? Grundsätzlich gibt es drei Herangehensweisen an das Problem:

  • Mindestanforderungen
  • Risikoanalyse
  • Security Levels

Methode 1: Mindestanforderungen

Mindestanforderungen gibt es, seit es Compliance gibt – also beinahe seit Anbeginn der Marktwirtschaft. So wie Compliance allerdings damals noch nicht Compliance genannt wurde, werden Mindestanforderungen erst als solche bezeichnet, seitdem sich die Erkenntnis durchgesetzt hat, dass erstens eine allgemeine Anhebung eines qualitativen Niveaus dem Gesamtmarkt nützen kann und zweitens auch höhere Anforderungen unter bestimmten Voraussetzungen sinnvoll und wichtig sein können. Ähnlich wie es bei der Maschinenrichtlinie darum geht, ob ich bestätige, die Anforderungen der CE-Kennzeichnung zu erfüllen, setzen Mindestanforderungen einen kleinsten gemeinsamen Nenner fest, den alle Marktteilnehmer einhalten sollten, unabhängig von der spezifischen Gefährdungslage und dem möglichen Maximalschaden im Einzelfall. Marktteilnehmer ist hier durchaus im allgemeinen Sinn zu verstehen: So bemüht sich ein Großteil der technischen Standards im Feld, die „Teilnehmer“ im Sinn von Nutzer einer bestimmten Technologie auf ein oder zumindest eines von wenigen Umsetzungsmodellen zu verpflichten. Dies trifft etwa für einen großen Teil der de facto-Standards in der RFC-Dokumentenserie (Requests for Comments) der IETF (Internet Engineering Task Force) [1] zu.

Methode 2: Risikoanalyse

Die relevantesten der vorliegenden (nicht nur IT-)Security-Standards fordern als Herzstück des Prozesses üblicherweise zwei Dinge: Erstens einen Durchführungszyklus. Klassisch war das der PDCA-Zyklus (Plan-Do-Check-Act), auch als Deming- oder Shewhartkreis bekannt [2], der jedoch in den neueren Managementsystemen in seiner expliziten Form langsam außer Mode kommt. Und zweitens eine sogenannte Risikoanalyse. Während sich das genaue Vorgehen von Standard zu Standard unterscheidet (und etwa im Rahmen des unbestritten wichtigsten IT-Security-Standards ISO 27001 [3] innerhalb bestimmter Vorgaben sogar frei zu wählen ist), beinhaltet diese in der Regel die Bestimmung aller zu schützenden Werte sowie die Betrachtung aller relevanten Bedrohungen für jeden von ihnen. Wie immer, wenn mehr Dimensionen – hier (Anzahl der) Assets mal (Anzahl der) Bedrohungen – ins Spiel kommen, ergibt sich großer Aufwand: Mathematisch spricht man näherungsweise von einem quadratischen Wachstum in den Parametern. Während dies für Algorithmen manchmal noch akzeptabel sein kann, kommen menschliche Bearbeiter und Entscheider hier schnell an ihre Grenzen.

Bild 1: Security Level nach IEC/TS 62443-1-1 [8].
Bild 1: Security Level nach IEC/TS 62443-1-1 [8].

Der IT-Grundschutz als spezifisch deutsche „Variante“ der ISO 27001 versucht dieses Dilemmas durch Kombination der beiden bisher genannten Methoden Herr zu werden: Der Basisschutz wird im Wesentlichen als Mindestanforderungen definiert, einschließlich der üblichen Möglichkeit, Maßnahmen als „entbehrlich“ wegzuargumentieren. Für höheren Schutzbedarf ist nach wie vor eine angeleitete Risikoanalyse durchzuführen [4]. Die Methode impliziert, dass die Risikoanalyse für „normalen“ Schutzbedarf durch die Autoren des Standards je Zielobjekttyp einmal a priori generisch durchgeführt worden ist. Dies kann nur für „normale“ (im Sinn von während der Risikoanalyse bedachte) Anwendungsfälle und „normale“ (im Sinn von für den Betreiber tragbare) zu erwartende Maximalschäden funktionieren

Zum Weiterlesen klicken Sie hier

Das könnte Sie auch interessieren

Zukunftsträchtige Technologien

Fünf Arten der Prozessoptimierung mit Augmented Reality
Die Verschmelzung von digitaler Welt und Realität ist mehr als eine Spielerei und wird durch digitale Technologien wie Augmented Reality greifbar. Immer mehr Unternehmen wollen Prozesse und Abläufe mit 3D-Modellen, Holografien und Datenbrillen hinsichtlich Kosten- und Zeitersparnis optimieren – sei es bei der Entwicklung neuer Produkte, neuer Geschäftsmodelle oder beim Anlernen neuer Fachkräfte.

Prozesse intelligent automatisieren

Mit künstlicher Intelligenz und Robotic Process Automation zum Erfolg
Obwohl Robotic Process Automation (RPA) seit Jahren existiert, ist das Thema aktueller denn je. Für zahlreiche Branchen weltweit hat sich die Technologie als effektiv erwiesen, wann immer es um die Automatisierung manueller, repetitiver und zeitintensiver Prozesse geht. Die Kombination mit künstlicher Intelligenz (KI) zur Automatisierung kognitiver Prozesse macht das Gebiet zunehmend noch attraktiver.

Mit digitalen Zwillingen resilient gegen Krisen

Zentralisierter Informationsaustausch für den Erfolg
Krieg, Klimawandel, Pandemie: Nie zuvor waren Unternehmen so vielen Krisen ausgesetzt wie heute, mit oft negativen Folgen für die Bilanz. Dabei können vorausschauende Maßnahmen, resiliente Prozesse und Frühwarnsysteme die Handlungsfähigkeit unterstützen. Ein digitaler Zwilling erprobt und testet in einer virtuellen Umgebung Geschäftsprozesse in Krisenszenarien und erkennt dadurch Probleme frühzeitig.

Die Pandemie als Innovationstreiber 

Virtual und Augmented Reality in der Industrie
Plötzlich ging es schnell: Die COVID-19-Pandemie zwang Unternehmen aller Branchen regelrecht zu einer beschleunigten digitalen Transformation. Die Situation mag sich mittlerweile normalisiert haben, doch wenn Unternehmen aus dieser Zeit die richtigen Lehren ziehen, können sie auch in Zukunft neue Technologien schneller und erfolgreicher einsetzen, wie bei Virtual- und Augmented-Reality-Projekten.

Dark Factory – Utopie oder Vision?

Die Rolle von Robotern in der menschenleeren Fabrik
„Maschinen und Künstliche Intelligenz werden Fabriken und Produktionsabläufe eines Tages steuern und den Menschen überflüssig machen.“ Derartige Utopien beflügeln Fantasien und Ängste von Führungskräften und Mitarbeitern. Aber ist die „Dark Factory“, die im Wesentlichen eine Fertigung ohne Menschen vorsieht, überhaupt eine realistische und erstrebenswerte Zukunftsvision, wie gerne behauptet wird?

Technologie gegen den Arbeitskräftemangel

Robotik und Wearables erfolgreich einsetzen
Eine Fabrik ohne Menschen – die „Dark Factory“ – wird es auf absehbare Zeit nicht geben. Dennoch nehmen die Forderungen nach mehr Robotik wieder zu. Kündigungswellen, der Fachkräftemangel sowie die Nachwehen der Pandemie befeuern dieses Ansinnen. Und es ist durchaus sinnvoll – nur kommt es auf das richtige Maß an. Vor allem aber sollte die Zusammenarbeit zwischen Mensch und Maschine verbessert werden.
Dieser Eintrag wurde veröffentlicht am Allgemein. Setzen Sie ein Lesezeichen auf den permalink.