procilon banner themen

Industrie 4.0 - Informationssicherheit für digitale Prozesse

procilon Industrie 4.0 Beim Übergang auf Industrie 4.0 entstehen für Hersteller, Maschinenbauer, Integratoren und Betreiber neue Anforderungen an die Informationssicherheit. Bereits im Entwurf des IT-Sicherheitsgesetzes wird in diesem Zusammenhang besonders auf Kritische Infrastrukturen (KRITIS) verwiesen. Dazu zählen die Bereiche Energie, Wasser, Ernährung, Transport und Verkehr. Durch die voranschreitende Vernetzung der Industrial Control Systems (ICS) mit der Office-Welt und der zunehmenden Cyber-Kriminalität wächst auch die Gefahr möglicher Angriffe auf die Infrastruktur und Manipulation von Daten.

Industrie 4.0

Was sollten Industrie 4.0 Unternehmen beachten?

Für eine erfolgreiche Migration auf Industrie 4.0 sollten standardisierte Prozessmodelle geschaffen und individuelle Sicherheitslösungen schnell und kostengünstig implementiert werden. Um eine hohe Akzeptanz zu erreichen, sollten dafür die folgenden Schwerpunkte berücksichtigt werden:

  •   Benutzerfreundliche Sicherheitsregeln
  •   Sicherheit aus betriebswirtschaftlicher Perspektive
  •   Sicherer Schutz vor Produktpiraterie
  •   Außer- und innerbetriebliche Weiterbildung
  •   "Community-Building" für Datenschutz für Industrie 4.0
procilon Informationssicherheit Industrie-4.0

  Wie unterstützt procilon bei der Gestaltung von Industrie 4.0?

Für die Umsetzung ihrer Vorhaben im Rahmen der Informationssicherheit kann procilon verschiedene Formen praxiserprobter Unterstützungen anbieten:

Durchführung von
Schulungen & Workshops

  •   Die effektive elektronische Dokumentation mit i-doit
  •   Einführung eines ISMS
  •   Aufgaben des Informations-sicherheitsbeauftragten
  •   Überblick über den Datenschutz
  •   Aufgaben des Datenschutzbeauftragten

Einsatz kryptografischer Verfahren

Bedarfsgerechte Projektunterstützung

  •   Unterstützung bei der Projektplanung
  •   Unterstützung bei der Strukturanalyse
  •   Unterstützung bei der Bedrohungs- und Risikoanalyse
  •   Unterstützung bei der Erarbeitung der Dokumentation
  •   Unterstützung beim Review

  Welche Angriffspunkte auf Industrie 4.0 Unternehmen gibt es?

Die Erfahrungen der letzten Zeit zeigen, dass als Punkte für Cyber-Angriffe und Datenmanipulation viele Komponenten in Frage kommen können. Dazu zählen insbesondere Netzwerkkomponenten wie Firewall, Router, Modems, Switches aber auch Fernwartungszugänge, Betriebssysteme, Funkverbindungen bis hin zu Netzelementen.

Achtung

Die Gefahrensituation

In zahlreichen Studien wurden eine Reihe von Ursachen für Mängel in der Informationssicherheit genannt:

  •   unzureichender Zugriffsschutz
  •   unzureichende Regelungen & Dokumentation
  •   unvollständige Absicherung der Fernwartungszugänge
  •   Einsatz von IT-Komponenten mit identifizierten Schwachstellen
  •   fehlende Überwachung der unterstützenden Infrastruktur
  •   Abhängigkeiten des ICS-Netzes von IT-Netzen
  •   mangelnde Awareness
  •   unzureichende Absicherung oder zu weitreichende Vernetzung
  •   mangelhafte Konfigurationen von Komponenten
  •   fehlende Backups
  •   fehlende Regelungen für mobile Datenträger und Laptops
  •   unzureichende Validierung von Eingaben und Ausgaben
  •   Verwendung ICS-spezifischer Protokolle ohne Schutz
  •   Mess- oder Steuerwerte sind manipulierbar

  Welche Regelungen für Informationssicherheit gelten in der Industrie?

In der VDI/VDE 2182 werden ein Reihe von Aufgaben genannt die für die Gewährleistung einer hohen Informationssicherheit erforderlich sind:

  •   Durchführung einer Strukturanalyse
  •   Identifizierung der Assets
  •   Analyse der Bedrohungen
  •   Ermittlung der Schutzziele
  •   Analyse der Risiken
  •   Bewertung der Risiken
  •   Aufzeigen von Schutzmaßnahmen
  •   Bewertung der Wirksamkeit von Schutzmaßnahmen
  •   Auswahl geeigneter Schutzmaßnahmen
  •   Umsetzen der Schutzmaßnahmen
  •   Durchführung eines Prozessaudit

Die IEC 62443 verweist in diesem Zusammenhang auf die ISO 27001.

  Welche Schwerpunkte für Informationssicherheit sollten Industrie 4.0 Unternehmen setzen?

Die neue Situation erfordert integrierte Sicherheitskonzepte, -architekturen und -standards von der Herstellung bis zum Betrieb neuer Anlagen über den gesamten Lebenszyklus sowie die Etablierung des Entwurfsprinzips “Security by Design” ohne Beschränkungen als Prozess. Außerdem werden in diesem Rahmen auch sichere Identitätsnachweise für Produkte, Prozesse und Maschinen an Bedeutung gewinnen.

Oft genannte Beispiele sind:

Sichere Kommunikation

Sicherheits-ausweis für Komponenten

Sichere Identitäten

Zugriffe & Berechtigungen

Gültigkeit von Zertifikaten

Die notwendigen Aktivitäten sollten sich auf architektonische, technische und organisatorische Sachverhalte beziehen.

  Wie kann ein angemessenes Niveau an Informationssicherheit erreicht werden?

Um ein angemessenes Niveau der Informationssicherheit erreichen zu können, wird das folgende Vorgehen empfohlen:

  •   Einstieg in einen geordneten IT-Sicherheitsprozess innerhalb eines ICS
  •   Schaffen eines funktionierenden Informationssicherheitsmanagements auf Basis von ISO-27000, IT-Grundschutz oder IEC62443
  •   Aufbau einer IT-Security Organisation
  •   Erstellen und Pflegen der Dokumentation
  •   Etablieren eines Security Managements
  •   Erstellen eines Netzplanes
  •   Erarbeiten einer Liste der IT-Systeme und installierten Anwendungen
  •   Erstellen von Administrations- und Benutzerhandbüchern
  •   Überblick über die Infrastruktur verschaffen
  •   Risiken erkennen
  •   geeignete Maßnahmen auswählen
  •   Maßnahmen umsetzen

Im Rahmen der Gestaltung der Informationssicherheit spielen oft auch die Themen Archivierung, Beweiswerterhaltung und Patentschutz eine wichtige Rolle.

  Wie kann ein ISMS nach ISO 27001 bei der Migration auf Industrie 4.0 helfen?

procilon ISMS Vorgehensmodell Die Schaffung eines Informationssicherheitsmanagements nach ISO 27001 wird empfohlen, weil dies kompatibel zu anderen Managementsystemen z.B. QS nach ISO 9000 bzw. 9001 ist. Ein ISMS erlaubt es, Risiken durch Kontrollmechanismen in Organisationsprozessen zu reduzieren, zu verlagern oder anders zu kontrollieren. Geschäftsziele sowie daraus resultierende Sicherheitsempfehlungen können als Input sowie “gemanagte” Informationssicherheit als Output überwacht werden.

Vorteile der ISO 27001
Transformierende Systemprozesse sind hierbei das Aufbauen, Umsetzen und Betreiben, das Überprüfen sowie das Aufrechterhalten und Verbessern. Die Dokumentation richtet sich als Managementstandard an die Geschäftsleitung und den Informationssicherheitsbeauftragten. Die ISO/IEC 27001 kann wegen der engen methodischen Anlehnung an die ISO 9000 (QM) und die ISO 14000 (UWM) als ein Qualitätsstandard für Managementsysteme bezüglich der Informationssicherheit angesehen werden. Durch die ISO 27001 werden mehr Themen abgedeckt als in der VDI 2182 vorgegeben. Im Gegensatz zu VDI 2182 und IEC 62443 werden für die ISO 27001 Anwendungen empfohlen, welche die Dokumentation erleichtern.

Sie haben Fragen?

Wir sind gern für Sie da

Tel.: +49 34298 4878 31
Fax: +49 34298 4878 11

E-Mail | Rückrufwunsch

Nächster Schritt

Anfrage senden

kostenlos & unverbindlich

Download

Downloads Themenblatt IT-Sicherheit

Themenblatt
IT-Sicherheit

  Hier downloaden

Download

procilon Handlungsleitfaden
"Der Weg zur Informationssicherheit"

  Gleich anfordern

TeleTrust Handreichung
"Stand der Technik"

  Gleich anfordern

Referenz

Downloads Referenzblatt FDH GmbH

FDH GmbH
Erstellung einer BSI-Sicherheitsrichtlinie

  Hier downloaden

Unsere Expertise

T.I.S.P.-Logo

T.I.S.P. ist bisher das einzige deutschsprachige Expertenzertifikat für IT-Sicherheitsfachleute.

Diese Website nutzt Cookies, um bestmögliche Funktionalität bieten zu können.