Die Risiken im Bereich der Cyber-Sicherheit industrieller Anlagen steigen. Einerseits erfolgen unmittelbare Angriffe auf Automatisierungssysteme, andererseits sind Unternehmen durch die zunehmende Digitalisierung mittelbar auch von „normalen“ IT Security-Vorfällen immer häufiger betroffen. Durch den Schulterschluss von NAMUR und BSI wird die NAMUR diesen Herausforderungen zukünftig noch besser gewachsen sein. Bestmögliche Kenntnisse über die aktuelle Bedrohungslage und Schwachstellen sind die beste Grundlage für Gegenmaßnahmen. Eine enge fachliche Zusammenarbeit und ein vertrauensvoller Austausch sind hierfür unverzichtbar.

So steht die NAMUR ab sofort mit dem BSI in regelmäßigen Kontakt. In der Sitzung des NAMUR Arbeitsfeldes „Betrieb und Instandhaltung“ ist Jens Wiesner, Ansprechpartner für Industrielle Steuerungs- und Automatisierungssysteme beim BSI, nun ordentliches Mitglied. Ebenfalls arbeiten die Beteiligten in Arbeitskreisen sehr eng zusammen. Dies bietet viel Potenzial: Bei der fortschreitenden Digitalisierung sind vorausschauende Security-Konzepte ein wesentlicher Erfolgsfaktor – und das BSI ein wichtiger Kooperationspartner für die NAMUR.

Gemeinsame Empfehlung zur Risikobeurteilung

Ein konkretes Resultat der Zusammenarbeit ist die NAMUR-Empfehlung NE 163 „IT-Risikobeurteilung von PLT-Schutzeinrichtungen“. An diesem Dokument hat auch das verantwortliche Referat des BSI aktiv mitgearbeitet. So können oft mit minimalem bürokratischem Aufwand gute Ergebnisse erzielt werden. Die NAMUR setzt hier auf Zusammenarbeit anstatt auf Bürokratie!

Ein weiteres Beispiel für die Zusammenarbeit ist auch die derzeitige Diskussion zur Novellierung des IT-Sicherheitsgesetzes. Hier gilt es zu beachten, dass an das Betreiben eines Chemiestandortes bereits viele anspruchsvolle regulative Anforderungen gestellt werden. Diese dienen insbesondere der Betriebssicherheit des Standortes – im Interesse von Menschen und Umwelt. Ungeplante Penetrationstests bspw., wie sie zum Teil in der IT üblich sind, bergen Risiken im Produktionsumfeld und könnten im schlimmsten Fall die Zuverlässigkeit von Anlagen gefährden. Von außen durchgeführte Penetrationstests lehnt die NAMUR daher ab. Maßnahmen, die den zuverlässigen und sicheren Betrieb gefährden könnten, dürfen ausschließlich mit Zustimmung des verantwortlichen Betriebsleiters durchgeführt werden, denn dieser trägt im Rahmen seiner Betreiberpflichten die Verantwortung.

Zusätzlich können auch Rahmenbedingungen aus anderen Rechtsordnungen, wie z. B. Regulierung durch GMP, FDA, etc., einem unkontrollierten Zugriff auf die Produktionsinfrastruktur entgegenstehen. Hier unterliegen die Betreiber Anforderungen in Bezug auf Anlagenplanung und -dokumentation. Aufgrund der Betreiberpflichten muss die Hoheit über produktionsnahe Systeme zu 100 % beim Betreiber bleiben. Dabei gibt es keinen Diskussionsspielraum: Technische – egal ob aktive oder passive – Maßnahmen oder Eingriffe können nicht zugelassen werden.

Zertifizierung und Gütesiegel-Prozess

Die NAMUR unterstützt prinzipiell die Einführung eines Gütesiegels für IT-Sicherheit. Lieferanten und Hersteller von Automatisierungssystemen und -geräten, die IT-Komponenten in ihren Geräten und Systemen nutzen, sollten im Rahmen ihrer Gewährleistung auch zur Einhaltung von Designprinzipien der IT-Sicherheit verpflichtet werden. Dies betrifft im besonderen Maße Hard- und Softwarehersteller, aber auch Systemintegratoren.

Bei der Einführung von Zertifikaten und Siegeln ist entscheidend, gegen welche Kriterien (z. B. internationale Normen) geprüft wird. Nur so kann ein Siegel oder Zertifikat auch sein Ziel erreichen. Als Anwender muss die chemische Industrie aktiv in den Prozess eingebunden werden, der die Kriterien für ein Prüfsiegel definiert. Wesentlich ist hierbei, dass im Bereich der IT-Sicherheit eine dauernd wechselnde Bedrohungslage existiert. Statische Prüfsiegel bergen das Risiko, die Qualität bekannter Risiken aufwändig zu prüfen, jedoch die Robustheit gegen zukünftige Risiken außer Acht zu lassen.

Hieraus lässt sich auch ableiten, dass für die IT-Sicherheit der in­stallierten Basis in der chemischen Produktion der Nutzen eines Siegels überschaubar ist. Die Lebensdauer der Komponenten und Anwendungen im industriellen Umfeld beträgt zirka zehn Jahre. Das bedeutet: Wenn die dynamische Komponente nicht gelöst ist, sind die Siegel wertlos oder bewirken sogar das Gegenteil, da sie eine Scheinsicherheit suggerieren.

Prüfsiegel global harmonisieren

Ein weiterer Aspekt beim Thema Prüfsiegel: Diese sind nur dann für Betreiber sinnvoll anwendbar, wenn sie global harmonisiert sind. Nationale Siegel verursachen nationalen Aufwand. Im Kontext der Digitalisierung werden wir aber zunehmend internationale Anforderungen haben. Damit ist das Risiko hoch, dass die Zertifikate aufwändig und teuer werden und am Ende des Tages nutzlos sind.
Daraus ergibt sich insgesamt:

• Die Kriterien für ein Prüfsiegel müssen eine dynamische Komponente haben und die aktuelle Bedrohungslage widerspiegeln.
• Anwender sollten von Beginn an in den Prozess für die Definition der Kriterien aktiv eingebunden werden.
• Es muss eine geeignete internationale Organisation gefunden werden, die diese Kriterien zuverlässig und nachhaltig definiert und pflegt (z. B. IEC, ISO, etc.).

Der NAMUR ist es wichtig, dass die Zusammenarbeit mit dem BSI im Mittelpunkt steht, um die IT-Sicherheit industrieller Anlagen inhaltlich und fortlaufend zu verbessern. Dabei ist eine zu starke Fokussierung auf Regulierung, Vorschriften und Zertifikate oft kontraproduktiv. Der kollaborative Ansatz, den beide Partner letztes Jahr gewählt haben, ist hier sicher vielversprechender. Diesen wollen wir weitergehen und zielgerichtet ausbauen.