Integrierte Sicherheitsstandards in OT- und IT-Security Lösungen sind ein Muss
Zu Beginn eine Übersicht der Bereiche, die von Unternehmen im KRITIS-Sektor anzugehen sind. Ein effektives Informationssicherheits-Managementsystem basiert immer auf diesen drei Säulen:
- Organisatorische Maßnahmen
- Technische Maßnahmen (wird nachfolgend beschrieben)
- Personelle Maßnahmen
Betreiber kritischer Infrastrukturen sind nach ITSiG dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten und Prozesse nach Stand der Technik zu treffen und dies auch gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) durch Prüfungen oder Zertifizierungen aktiv nachzuweisen.
Viele der betroffenen Unternehmen, vor allem Großbetriebe, sowie die Branchen mit IT-basierten Geschäftsprozessen (z.B. Finanz oder Telekommunikation) sind recht gut aufgestellt. Es gibt bereits Personen und Ressourcen, die hauptamtlich die Informationssicherheit verantworten. Für die eingesetzten Technologien von Servern, Datenbanken und Arbeitsplätzen gibt es zahlreiche vorhandene IT-Security Lösungen.
Anders ist es in den Sektoren, in denen Produktionsanlagen oder sehr spezialisierte Systeme (vgl. MRT im Krankenhaus) im Einsatz sind. Hier wird Operational Technology (OT) eingesetzt. Diese Technologien sind sehr speziell und für ihren Zweck angepasst – allerdings funktionieren essenzielle Maßnahmen wie Virenschutz, Patchmanagement, Sandboxing und Co. hier nicht.
Damit scheint die Umsetzung des Sicherheitsstandards auf den ersten Blick etwas problematisch. Neben der Wichtigkeit, dass die Lösungen auf die eingesetzten Technologien der Branchen ausgerichtet sein müssen, fehlen häufig auch die Budgets sowie die Fachkräfte, um ein durchgängiges Sicherheitsniveau und den im ITSiG geforderten Stand der Technik umzusetzen.
An diesem Kernpunkt müssen die Lösungen genau die methodischen Vorgaben abbilden und zur Verfügung stellen. Im Asset- oder Risikomanagement mit einfach bedienbaren Werkzeugen können die grundlegend notwendigen Maßnahmen geplant, die Umsetzung unterstützt und dokumentiert werden.
Beispiel B3S Wasser / Abwasser
Der Branchenstandard für die Wasser- und Abwasserwirtschaft wurde als erster IT-Sicherheitsstandard vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für einen KRITIS-Sektor anerkannt. Allen Betreibern von Anlagen der Trinkwasserver- und Abwasserentsorgung wird empfohlen, diesen Branchenstandard umzusetzen, da die Betreiber jederzeit in der Lage sein müssen, den Nachweis eines sichern Betriebs zu erbringen.
Mit dem Merkblatt W1060/M1060 und dem IT-Sicherheitsleitfaden stellen die Branchenverbände DWA und DVGW stellen dazu allen (nicht nur den KRITIS) Betreibern von Anlagen der Trinkwasserver- und Abwasserentsorgung einen praktischen Handlungsrahmen als Mindeststandard zur Verfügung. Diese Schritte sind nach den Vorgaben der DWA und DVGW in den OT- / IT Security Lösungen abzubilden. Ein Whitepaper oder Produktleitfaden, in denen einzelne Produktfunktionen auf einen B3S bezogen werden, aber ohne eine durchgehende Umsetzung zu gewährleisten, reicht nicht aus.
Die Lösung: Der praktische Handlungsrahmen B3S Wasser/Abwasser, welcher von den Branchenverbänden DWA und DVGW im Merkblatt W1060/M1060 und dem IT- Sicherheitsleitfaden beschrieben ist, ist direkt in der Lösung auswählbar. D.h. Auswahl der Anlagentypen, direktes Eintragen der Beurteilung der Relevanz der Anwendungsfälle und den daran anhängenden Gefährdungs- und Maßnahmenkatalog.
Durch die Auswahl der Anlagentypen (Kanalisation, Kläranlage, Leitzentrale, Trinkwassergewinnungsanlage, Trinkwasseraufbereitungsanlage, Wasserwerk oder Wasserverteilsysteme) werden die relevanten Anwendungsfälle für die Risikobewertung zur Verfügung gestellt. Die entsprechenden Gefährdungen werden angezeigt und die notwendigen Maßnahmen für die betroffene Organisation, das Personal, Hard- und Software sowie Notfallvorsorge können behandelt werden. Die besondere Anforderung ist hier, dass diese Maßnahmen direkt den betroffenen Systemen / Assets zugeordnet und deren Umsetzung dokumentiert werden können. Der Umsetzungsstatus ist dabei zu jeder Zeit aktuell darstellbar. Wie im Standard gefordert, muss bei fehlender Möglichkeit zur Maßnahmenumsetzung direkt ein zugehöriger Eintrag im Modul "Risikomanagement" zur individuellen Analyse und Beurteilung erstellt werden können. Zur Sicherstellung der Pflichteinhaltung des Betreibers muss dann ein sofortiges Reporting inklusive der Dokumentation des Status per Export zur Verfügung stehen.
Diese Integration des B3S und der Securitystandards ist notwendig, damit die dezentralen Branchen, hier die Wasserwirtschaft, die Herausforderung der Cybersicherheit unkompliziert erfüllen können.
Fazit
Für die effiziente Umsetzung der Anforderungen bedarf es integrierter Lösungen, die sowohl den Security Management Prozess, als auch die eingesetzte Technologie der Branchen kennen. Wesentlich ist aber vor allem die integrierte Abbildung und somit Nutzung der Inhalte der branchenspezifischen Sicherheitsstandards und der IT-Sicherheitskataloge.
IRMA®
Industrie Risiko Management Automatisierung
IRMA® ist die Security Appliance für das Security Management in Industrieanlagen und kritischen Infrastrukturen. Ohne jegliche Aktivitäten im Netzwerk der Produktionsanlage lernt und analysiert IRMA® die Systeme und Verbindungen. Durch die kontinuierliche Überwachung, Analyse und die intelligente Alarmierung bietet IRMA® in Echtzeit Informationen zu Fehlkonfigurationen oder Cyberangriffen. Das integrierte Risikomanagement ermöglicht umgehend über die maßgeblichen Aktionen zu entscheiden, um einen Angriff zu stoppen oder die Auswirkungen zu entschärfen.
IRMA® enthält bereits in der Basisversion immer diese vier Kernfunktionen:
- Die automatische Erkennung der Assets (Teilnehmer) im Netzwerk. Diese Funktion ist passiv, was bedeutet, dass kein Teilnehmer aktiv angefragt wird. Ein wichtiger Aspekt, da viele alte Geräte auf solche Abfragen sehr sensibel reagieren und neue Teilnehmer dadurch automatisch erkannt werden.
- Das Risikomanagement unterstützt die Mitarbeiter (IT und Automatisierer) bei der Bewertung eines jeden Gerätes. Integriert: IT-Sicherheitskatalog gemäß EnWG §11 1a,b ; ITSiG B3S Wasserwirtschaft; Risiko Management (angl. ISO 27005)
- Die grafische Darstellung des gesamten Netzwerkes mit allen Querverbindungen in der Kommunikation sowie die Auswertungen zu jedem einzelnen Teilnehmer.
- Automatisierte Alarmierung über direkte Verbindung (z.B. potentialfreier Kontakt, SMTP) oder über ein Alarmierungssystem.
- Und zusätzlich: Security Made in Germany
Für den Interessierten gibt es die Möglichkeit, einen Demo-Testlauf für die Anlage zu bekommen. Nach kurzer Einrichtung des Systems kann der Anwender bereits die ersten Ergebnisse seiner Anlage im Rahmen eines Workshops sichten. Bei sehr vielen dieser Testinstallationen offenbarten sich einige Überraschungen im Netzwerk. Offene Serviceschnittstellen oder sogar unbekannte Geräte im Netzwerk waren keine Seltenheit.
Weitere Informationen auch bei unserem Distributionspartner VIDEC Data Engineering GmbH, https://www.videc.de/… oder besuchen Sie uns:
- it-sa in Nürnberg, 08.-10.10.2019, mit Secudos: Halle 10.1 / Stand 10.1-326 a
- SPS Smart Production Solutions 26.- 28.11.2019, mit Videc: Stand 6-400 | Halle 6
Als deutscher Produktanbieter ist das Team von Achtwerk GmbH & Co KG für seine ausgeprägte Kundenorientierung und dem Wissen der besonderen Anforderungen von kleinen und mittelständischen Produktionsunternehmen sowie den kritischen Infrastrukturen bekannt. Mit dem Produkt IRMA®, einer Security Appliance für das Security Management und die automatisierte Angriffserkennung in vernetzten Automatisierungen und Produktionsanlagen ist das Angebot einzigartig.
IT-Security made in Germany (TeleTrusT Seal)
Achtwerk GmbH & Co. KG
Am Mohrenshof 11
28277 Bremen
Telefon: +49 (421) 87847880
Telefax: +49 (421) 8398264
https://acht-werk.de
Vertrieb, Partnermanagement
Telefon: +49 (421) 87847882
E-Mail: stefan.menge@acht-werk.de
