Das Thema Cybersecurity hat für einige Branchen eine neue Dimension erlangt: Eine rechtliche. Branchen, die für die Aufrechterhaltung des sozialen Lebens notwendig sind, wie z.B. Energieerzeugung, Lebensmittelerzeugung, Transport, Gesundheitswesen, Finanzen, Telekommunikation wurden der KRITIS-Verordnung unterworfen.

Die KRITIS- Verordnung stellt die Umsetzung der Europäischen NIS-Direktive dar und hat zum Ziel, oben genannte Branchen gegen mögliche Cyberereignisse widerstandsfähiger zu machen. Betriebe dieser Branchen unterliegen einer Meldepflicht und mussten sich ein Cybersecurity-Management-System zulegen, welches vom Bundesamt für Sicherheit in der Informationstechnik (BSI) oder entsprechend zertifizierten Auditoren geprüft werden muss.

Allein die Cyberschadensereignisse mit den Namen „Wannacry“ sowie „Petya/NotPetya“ haben im letzten Jahr einen Schaden von mehreren Milliarden Euro verursacht. Auch Betriebe der kritischen Infrastruktur in Europa standen still – über Wochen. Die Notwendigkeit von Cybersicherheitsmaßnahmen ist spätestens seit damals kein Streitpunkt mehr. Die Frage nach dem „Wer und Wie“ schon eher. Und darüber hinaus wird aktuell die Frage diskutiert, ob die Chemiebranche künftig der Kritischen Infrastruktur zuzuschreiben wäre oder nicht.

Safety und Security in der Chemie

Die Chemiebranche selbst ist sich der Kritikalität ihrer Produktionsprozesse sehr wohl bewusst. Freilich steht dabei der Aspekt des Gesundheits- und Umweltschutzes im Fokus. Das sichere Herunterfahren von Anlagen zum Schutz von Anlagen, Menschen und Umgebung hat Priorität vor der Aufrechterhaltung der Produktions- und Versorgungskette. Dieses Bewusstsein ist nicht neu. Auch nicht die Erkenntnis, dass Cybereinflüsse auf die „Safety“ einer Anlage Rückwirkung haben können. Die NAMUR arbeitet bereits seit mehr als zehn Jahren an diesen Themen; die NAMUR Empfehlung NE 153, das Arbeitsblatt NA 163 und mehrere Best Practice Guides sind bei der Umsetzung von Cybersecurity-Maßnahmen etabliert. Zusammen mit VDI, ZVEI, BSI, VCI und internationalen Verbänden wurden Lösungen erarbeitet, z.B. für Sicherheitsarchitektur, Patch-Management, Systemhärtung und die IT-Sicherheitsbeurteilung von PLT-Schutzeinrichtungen sowie eine Automation Security Agenda 2020. Neu ist aber, dass Behörden z. B. im Sinne der Störfallverordnung nach Cyberrisikobeurteilungen und Maßnahmen zur Vermeidung fragen. Die Anforderungen sind da noch durchaus vom jeweiligen Sachbearbeiter abhängig.

Auch dort, wo über Zukunftsthemen gebrütet wird, z. B. beim NAMUR-Digitalisierungskonzept – der NAMUR Open Architecture (NOA) – wurde Cybersecurity direkt vom ersten Brainstorming an mitgedacht.

Doch noch nicht alles ist in trockenen Tüchern. Und wenn man sich die Baustellen genauer ansieht, bietet eine Zusammenarbeit mit dem BSI durchaus Chancen. Ob es dafür ein Gesetz braucht, sei hier einmal dahingestellt.

Handlungsfelder in der Supply Chain

Davon ausgehend, dass das jeweilige Unternehmen der chemischen Industrie die Cybersecurity-Hausaufgaben bereits gemacht hat, bleiben Handlungsfelder, die die Betreiber selbst nicht lösen können. Diese seien hier exemplarisch aufgezeigt:

• Sicherheit und Qualität der verfügbaren Produkte:

Die internationale Normung beschreibt vier Security Level (SL). Mit Stand heute sind gibt es lediglich eine knappe Handvoll Produkte, die einen Sicherheitslevel von SL1 (niedrigster Level) nachgewiesen haben. Produkte mit SL 2, 3 oder 4 sind dem Autor unbekannt.

• Erkennung / Behebung / Meldung:

Anlagenbetreiber haben lediglich begrenzte Mittel, eine Cybermanipulation von einer anders bedingten Fehlfunktion zu unterscheiden. Und nach Erkennung eines Cyber-Notfalls haben Anlagenbetreiber so gut wie keine Möglichkeit das Problem zu beheben, da die Systemkenntnis für das jeweilige System bzw. die Systemkomponente beim Hersteller liegt. Auch hier sind die Fähigkeiten und der Wille des Herstellers von hoher Wichtigkeit für die erfolgreiche Bekämpfung eines Problems.

Ein weiterer interessanter Aspekt in diesem Zusammenhang ist die zeitnahe Information befreundeter bzw. verbundener Unternehmen. So kann die Ausbreitung eines Problems verhindert oder die raschere Behebung eingeleitet werden. Die von WannaCry oder Petya betroffenen Unternehmen hätten sicher viel darum gegeben, von der Existenz der Bedrohung zu wissen.

• Übung:

Die Häufigkeit von Cybernotfällen wird zunehmen. Noch mehr als bei konventionellen Ereignissen entscheidet das reibungslose Zusammenwirken von öffentlichen Stellen, Herstellern, Systemintegratoren und Anlagenbetreibern darüber, wie stark sich solche Notfälle auswirken werden. Dieses Zusammenwirken ist kein Zufall sondern eine Frage der Übung.

• Schwachstellen-Information:

Cyberangriffe werden durch Produktfehler begünstigt, die es ermöglichen, die Integrität von IT- bzw. Automatisierungsprodukten zu beeinträchtigen. Solche Fehler werden im Allgemeinen als „Schwachstellen“ bezeichnet. In den meisten Fällen werden Schwachstellen durch eine Fehlerbeseitigung in der Software geschlossen und eine neue Version der Software – ein „Patch“ – zur Verfügung gestellt. Für Anlagenbetreiber ist die zeitnahe Information über solche Schwachstellen, sowie die zeitnahe Behebung der Schwachstelle wichtig. Aber auch eine verständliche Erklärung seitens des Herstellers über die Komplexität der Ausnutzung und die Art Auswirkung sind für einen Anlagenbetreiber wichtig, um die möglichen Auswirkungen auf die eigene Anlage bewerten zu können.

Fazit

Die Bearbeitung der oben gelisteten Handlungsfelder baut auf einer gemeinsamen Grundlage auf: Kompetenz und Vertrauen. Die Rolle des BSI sollte an diesen Stellen nicht unterschätzt werden. Der BSI kann an regulatorischen Vorgaben arbeiten sowie an ihrer Harmonisierung über Bezirks- und Landesbehörden hinweg; der BSI kann die Sicherheit von Komponenten prüfen, bei der Umsetzung von vorbeugenden Maßnahmen beraten und unterstützen, Notfälle koordinieren und für den geeigneten Informationsfluss sorgen. Kompetenz und Vertrauen müssen noch an allen Stellen aufgebaut werden. Gesetzliche Rahmenbedingungen helfen da nur bedingt.

Die digitale Transformation bringt neue Herausforderungen mit sich und damit auch die Notwendigkeit für neue Zusammenarbeiten – wie z.B. beim Thema Cybersecurity zwischen NAMUR und BSI. CHEManager befragte dazu Matthias Fankhänel, Abteilungsleiter Technische Expertise bei der BASF und stellvertretender Vorsitzender des NAMUR.

CHEManager: Wie bewerten Sie die Zusammenarbeit zwischen NAMUR und BSI bei den Fragen zur Cybersicherheit?

Matthias Fankhaenel: Die Zusammenarbeit und das Vertrauen zwischen BSI und NAMUR hilft uns bei unseren zukünftigen Aufgaben. Denn: Cybersecurity ist ein Enabler für die Digitalisierung der chemischen Industrie.

Wo sehen Sie besondere Herausforderungen und Notwendigkeiten für diese Zusammenarbeit?

M. Fankhaenel: Mit NOA, der NAMUR Open Architecture, stoßen wir die Tür zur Digitalisierung weit auf. Allerdings ohne die Tür zu Sicherheit und Verfügbarkeit zu schließen. Das Vertrauen in die Prozessindustrie begründet sich auf enorme Erfahrung und große Anstrengungen, die im Bereich „Sicherheit“ nicht zuletzt durch NAMUR gemacht wurden. Die Kooperation mit dem BSI bietet die Chance den Erfahrungsschatz der NAMUR in Puncto Sicherheit auch im Bereich der Cybersecurity auf Top-Niveau zu halten.

Wie machen Sie die Notwendigkeit zu Aktivitäten und Investitionen in die Cybersecurity dem Nichtexperten klar?

M. Fankhaenel: Wenn wir NAMUR in ein Formel 1 Rennen projizieren würden, dann wäre NOA unser Bolide. Und der Bolide hat einen starken Motor: Die Digitalisierung. Für schnelle Rundenzeiten genauso bedeutend – wenn auch weniger im Rampenlicht - sind die Bremsen! Security und Safety sind das ABS in der NAMUR Open Architecture. Sozusagen der Enabler für hohe Geschwindigkeiten und Agilität. Und der Garant für das Vertrauen in moderne Technologie.