Spezielle Sicherheitskonzepte sind in Arbeit
Insbesondere aus dem Hause des BSI (Bundesamt für Sicherheit in der Informationstechnik) kommen gleich mehrere Ansätze, die Industrieunternehmen bei der Einführung von geeigneten IT-Sicherheitsmaßnahmen unterstützen sollen.
Der erste Blick richtet sich auf den IT-Grundschutz, wenn es um das BSI geht. Zu finden ist aber auch ein spezielles ICS-Security-Kompendium, wobei ICS für Industrial Control Systems steht. Ergänzt wird das Kompendium mit Testempfehlungen und Anforderungen für Hersteller von Komponenten, die hier nicht näher betrachtet werden sollen. Parallel dazu steht mit LARS ICS ein Werkzeug für den sogenannten leichtgewichtigen Einstieg in industrielle Cyber-Security zur Verfügung.
Das ICS-Security-Portfolio des BSI enthält auch die Übersicht "Industrial Control System Security - Top 10 Bedrohungen" und die Empfehlung "Sicherer Einsatz von ICS-spezifischen Apps". Alleine die Fülle der verschiedenen Materialien des BSI zur ICS-Security zeigt, dass hier einiges für die Unterstützung unternommen wird, aber die Leitlinien befinden sich in einer Entwicklungsphase. Brauchbare Resultate sind bereits vorhanden, doch die Anpassung an den praktischen Bedarf der Industrieunternehmen findet weiterhin in dichter Folge statt. Ein Status, bei dem nur noch eine regelmäßige Aktualisierung und Anpassung vorgesehen ist, ist noch nicht erreicht.
IT-Grundschutz (BSI) | ICS-Security-Kompendium (BSI) | Light and Right Security ICS (LARS ICS) (BSI) | |
Status | Referenzwerk für Informationssicherheit in DeutschlandBefindet sich in einem Modernisierungsprozess | Enthält Grundlagen der IT-Sicherheit, der ICS-Abläufe und der relevanten Normen und StandardsSammlung von Empfehlungen und Best Practices zur Cyber-Sicherheit für Anlagenbetreiber | Software-WerkzeugEinstieg in die Cyber-Sicherheit für kleine und mittlere AnlagenbetreiberÜbergang zu umfassenderem IT-Sicherheitsmanagement soll bereitet werden |
Einschränkungen für Industrie | Aktuell noch sehr umfangreichKleine und mittlere Betreiber industrieller Anlagen scheuen den AufwandSpezielle Bausteine für die industrielle IT befinden sich in Entwicklung, müssen noch ergänzt werden | Hilfreiches Instrument für umfassenden Einstieg und fundierten ÜberblickEin echter "roter Faden", ein "An die Hand nehmen" der unerfahrenen Anlagenbetreiber fehlt allerdings | Praktischer Einstieg in die industrielle IT-Sicherheit, der aber noch einfacher werden kann, wenn es mehr Beispiele und Muster gibt, die individuell angepasst werden, und wenn die Unterstützung bei der Ist-Analyse wie geplant erweitert wird |
So schreibt das BSI hinsichtlich des Modernisierungsbedarfs von IT-Grundschutz, dass fundamentale Neuerungen der Art und Weise, wie Informationstechnik bereitgestellt bzw. genutzt wird (darunter Industrial Control Systems), eine Reihe von technischen, organisatorischen und rechtlichen Herausforderungen mit sich bringen, die es noch zu berücksichtigen gilt.
Das "ICS Security Kompendium" versteht sich als ein Grundlagenwerk für die IT-Sicherheit in Automatisierungs-, Prozesssteuerungs- und Prozessleitsystemen. Das ICS Security Kompendium soll sowohl IT-Sicherheits- als auch ICS-Experten einen einfachen Zugang zum Thema IT-Sicherheit in industriellen Steuerungsanlagen ermöglichen. Gerade Betreiber mit wenig Erfahrung in der IT-Sicherheit finden darin eine gute Informationsquelle. Eine praktische Leitlinie zum genauen Vorgehen muss man sich daraus aber erst erarbeiten. Für einen Einstieg eignet sich eher die Übersicht zu den Top 10 Bedrohungen, das Kompendium liefert dann passendes Hintergrundmaterial und die Querverweise.
Alleine schon wegen seines Tool-Charakters ist LARS (Leichtgewichtiges Werkzeug zum Einstieg in IT-Sicherheit für Betreiber von Industriesteuerungsanlagen) gut geeignet, um sich mit dem wichtigen Thema der industriellen IT-Sicherheit konkret im eigenen Betrieb zu befassen. LARS ist gedacht als Einstieg in die Cyber-Sicherheit für kleine und mittlere Betreiber industrieller Steuerungsanlagen. Geboten wird eine Selbsteinschätzung auf Basis eines Fragebogens sowie Empfehlungen zu weiteren Maßnahmen. Querverweise zu IT-Grundschutz, ISO 27001, IEC62443 und BSI ICS Security-Kompendium helfen bei dem späteren Ausbau des eigenen IT-Sicherheitsmanagements.