Cybersecurity-Risiken in Industrieanlagen und können nicht nur gravierende Auswirkungen für die betroffenen Unternehmen haben. Sie können ganze Lieferketten – so geschehen beim Ransomware-Angriff auf eine amerikanische Niederlassung des Automobilzulieferers Yanfeng – oder die öffentliche Sicherheit bedrohen, wie im Fall von Angriffen auf Gesundheitsdienstleister und Krankenhäuser.

Aufgrund der zunehmenden Anzahl von Vorfällen und der Professionalisierung der Angreifer braucht es einen einheitlichen Ansatz zur Cybersicherheit. Dieser soll robuste Schutzmaßnahmen und schnelle, zielgerichtete Reaktion auf Ereignisse beinhalten, effektiv Risiken minimieren und die Widerstandsfähigkeit kritischer Infrastrukturen gewährleisten. Der erste Schritt ist dabei nicht die Auswahl konkreter Technologien und Sicherheitsprodukte, sondern eine systematische Vorgehensweise, die nicht nur auf Unternehmensebene verlangt wird, sondern auch von Regierungsorganisationen aktiv einfordert wird.

Umfassend sicher im digitalen Zeitalter

Die Richtlinie über Netz- und Informationssicherheit 2 (NIS-2) ist das neue regulatorische Rahmenwerk der Europäischen Union für die Informationssicherheit in kritischen Industrien. NIS-2 betrifft deutlich mehr Sektoren und Unternehmen als die NIS-Richtlinie von 2013, führt strengere Aufsichtstätigkeiten ein und betont die Verantwortlichkeit des Top-Managements in Fragen der Cybersicherheit – es genügt nicht mehr, dass das Management informiert wird, sondern es muss für die umfassende Informationssicherheit des Unternehmens – auch rechtlich - geradestehen.

NIS-2 sollte aber trotzdem keineswegs als Pflichtübung oder Bedrohung für das Management betrachtet werden, sondern stellt eine strategische Gelegenheit für Organisationen dar, ihre Cyberabwehr zu stärken und Nachhaltigkeit im digitalen Zeitalter zu gewährleisten.

NIS-2-Compliance: Grundlagen und technische Maßnahmen

Die IIoT-Plattform Nerve vernetzt die Produktion sicher mit der Cloud. Sie ermöglicht aber auch Offline-Betrieb für kritische Anwendungen, deren Daten das Firmengelände nicht verlassen dürfen.

© TTTech Industrial

Um den Anforderungen von NIS-2 gerecht zu werden, sind auditierbare – also dokumentierte und nachweislich wirksame – Prozesse und Maßnahmen in verschiedenen sicherheitsrelevanten Bereichen erforderlich. Grundlegend ist das Risikomanagement mit Analyse und Bewertung der relevanten Risiken, auf deren Basis eine systematische Sicherheitsarchitektur entwickelt werden kann. Diese umfasst dann konkrete technische und organisatorische Aspekte wie Authentifizierung, Verschlüsselung, Geräteregistrierung, Software-Bereitstellung, Logging, Systemverwaltung, Patch-Management und Fernadministration. Die Norm definiert auch Anforderungen zu organisatorischen Maßnahmen wie Reporting, die Überwachung der eigenen Lieferkette bezüglich Sicherheitsrisiken und die fortlaufende Förderung des Sicherheitsbewusstseins unter den Mitarbeitenden.

NIS-2 gibt aber keine technischen Maßnahmen oder gar Technologien vor – die Richtlinie definiert zwar, was im Bereich der Informationssicherheit erreicht werden muss, aber nicht wie. Hier kommt für industrielle Systeme eine weitere Norm ins Spiel: Die ISO 62443-Normenreihe bietet einen umfassenden Rahmen für die Sicherheit von industriellen Automatisierungs- und Steuerungssystemen (IACS) und deckt den gesamten Lebenszyklus dieser Systeme ab. Sie definiert Anforderungen und Prozesse für die Implementierung und Aufrechterhaltung elektronisch sicherer IACS und setzt Best Practices für Sicherheit, die Bewertung der Sicherheitsleistung und die Brücke zwischen Betriebstechnologie und Informationstechnologie. Sie verfolgt also ebenso einen systematischen Ansatz wie NIS-2, der aber mit konkreten technischen Maßnahmen in verschiedenen Bereichen unterstützt wird.

IEC 62443: Backbone für die Umsetzung von NIS-2

Eine korrekte Umsetzung der IEC 62443, wie es für Anbieter und Betreiber von industriellen Anlagen und Systemen naheliegend ist, hilft in mehrfacher Hinsicht unmittelbar bei der Erfüllung der NIS-2-Richtlinie, unter anderem zu folgenden Aspekten:

• Sowohl bei NIS-2 als auch IEC 62443 geht es um die Risikobewertung. IEC 62443 bietet eine robuste Methodik zur Durchführung von Risikobewertungen in industriellen Automatisierungs- und Steuerungssystemen.
• IEC 62443 definiert spezifische Sicherheitsmaßnahmen für industrielle Systeme. Diese Maßnahmen decken viele der Anforderungen ab, die in der NIS-2-Richtlinie festgelegt sind. Zusammen mit der IEC 27001 ist die IEC 62443 eine höchst relevante Implementierungsreferenz, um die Ziele von NIS-2 zu erreichen.
• Die Betriebssicherheit und Verfügbarkeit von industriellen Automatisierungs- und Steuerungssystemen auch im Fall von Cyberangriffen ist ein wichtiges Ziel von NIS-2. Um dies zu erreichen, definiert IEC 62443 verschiedene Methoden für Überprüfungsmechanismen (Logging, Auditing) vor, die zur Verteidigung kritischer Infrastrukturen gegen laufende Cyberangriffe essenziell sind.

IIoT-Plattform als Tool für industrielle Cybersicherheit

Edge-Computing ermöglicht besseren Schutz sensibler Daten; durch lokale Verarbeitung können Angriffe auf Daten und Infrastruktur trotz Cloud Connectivity besser verhindert oder im Fall eines erfolgreichen Angriffs Umfang und Auswirkungen deutlich reduziert werden. Durch die Einführung und Nutzung einer konsequent sicherheitsorientierten Lösung für Edge-Computing kann auch das Bewusstsein der Nutzer für das Thema Cybersicherheit gestärkt werden. Der Faktor Mensch ist immerhin ein essenzieller Teil einer umfassenden Sicherheitskultur in Unternehmen und kann weder durch Prozesse noch durch technische Systeme ersetzt werden. Die Integration von Normen wie NIS-2 und IEC 62443 in die Sicherheitsarchitektur von Unternehmen und die Nutzung von zertifizierten Plattformen sind entscheidende Schritte, um die Herausforderungen der Cybersicherheit in der Industrie 4.0 zu bewältigen und die Resilienz gegenüber Cyberbedrohungen zu stärken.

Als ein Beispiel einer Edge-Lösung, welche die notwendigen Prozesszertifizierungen nach IEC 62443 erfüllt, ist die IIoT-Softwareplattform ‚Nerve‘ von TTTech Industrial zu nennen. Die IIoT-Plattform für Maschinenbauer bietet ein skalierbares, in der Cloud gemanagtes Edge Computing – quasi eine Software-Infrastruktur für die Fertigung und die Cloud, mit der Unternehmen ihre IIoT-Projekte umsetzen können. Über ein zentrales Managementsystem, das je nach Bedarf in einer Public Cloud oder im hauseigenen Rechenzentrum betrieben werden kann, können Nutzer auf Daten zugreifen, Geräte und Maschinen verwalten sowie Anwendungen aus der Ferne bereitstellen.

Neben Funktionen zur Einführung und den Betrieb von IIoT-Architekturen wie beispielsweise Maschinendaten in Echtzeit zu sammeln, zu verarbeiten und zu analysieren, ermöglicht Nerve das Fernmanagement von Geräten und das Bereitstellen von Anwendungen. Auch normgemäße Sicherheitsmechanismen für Unternehmensanforderungen, wie rollenbasierte Benutzer- und Berechtigungsmanagement für die Edge-Applikationen, sicheren Fernzugriff auf geschützte OT-Bedienfunktionen über das Internet, sowie umfassende Logging-Mechanismen zur Überprüfung der Systemintegrität werden unterstützt. Zu den weiteren Funktionen zählen der Datenzugriff auf Geräte mit unterschiedlichen Protokollen und Verbindungen, die nahtlose Integration von Legacy-Software durch Virtualisierung (virtuelle Maschinen) und Containertechnologie (Docker), die Verschlüsselung der gesamten Nerve-Kommunikation zwischen Edge und Cloud mit Transport Layer Security (TLS) 1.2, sowie zentrale Update-Mechanismen beispielsweise für Sicherheitspatches und Software-Updates. Zentrales Merkmal aber ist, dass diese Funktionalitäten durch einen IEC 62443-konformen Prozess entwickelt und in einer Weise zur Verfügung gestellt werden, dass sie den Anwender bei seiner eigenen Prozesszertifizierung unterstützen. Integrierte Cybersecurity-Features, jährliche Audits gemäß IEC 62443 durch den TÜV und regelmäßige Penetrationstests durch externe Sicherheits- spezialisten sorgen dafür, dass die IIoT-Softwareplattform eine sichere Basis für IIoT-Projekte bietet.