Gemeinsam stärker

Security braucht starke Partner

Integratoren, Betreiber und Hersteller leisten jeweils ihren Beitrag zu IT-Security-Maßnahmen bei der Konzeption und dem Betrieb von Automatisierungsprozessen und -anlagen. Transparenz unter den Partnern ist dabei essentiell – Siemens geht mit gutem Beispiel voran.

image

Transparenz für Maschinenbauer, Betreiber und Integratoren

Ein auf IEC 62443 basierendes TÜV Süd-Zertifikat bietet Integratoren und Betreibern transparenten Einblick in IT-Security-Maßnahmen und bestätigt Siemens Industrial Security im Entwicklungsprozess von Automatisierungsprodukten, z. B.:

  • Security durch Design
  • Sicherheitsüberprüfung und Validierungstest
  • Security Update Management

Maschinen gegen Cyberattacken schützen

image

Für Industrieunternehmen wird der Schutz gegen Cyberangriffe immer wichtiger. Schon bei der Entwicklung neuer Maschinen muss dieser Aspekt daher berücksichtigt und entlang des gesamten Lebenszyklus beibehalten werden.

 

Dazu ist es notwendig, regelmäßig PDCA-Zyklen durchzuführen, wie es auch die Norm IEC 62443 für „Plan-Do-Check-Act“ vorschreibt. In den Spezifikations-, Design- und Entwicklungsphasen konzentrieren sich die Hersteller auf mögliche Angriffspunkte und entwerfen Schutzmechanismen. In der Vermarktungsphase sorgen sie proaktiv mit Informationen und Updates für den Schutz ihrer Produkte.

Vorgaben des IT-Sicherheitsgesetzes umsetzen

image

Seit 2015 müssen Betreiber kritischer Infrastruktureinrichtungen die Auflagen des neuen IT-Sicherheitsgesetzes erfüllen. Im Fokus steht die Aufrechterhaltung des Betriebs im Fall eines Angriffs, sodass die PDCA-Zyklen entsprechend darauf abgestimmt sind. 

 

Der Betreiber muss auf der einen Seite die Vorgaben für die Auslegung der Automatisierungslösung festlegen und auf der anderen Seite die Maßnahmen definieren, die er selbst durchführen muss. Dazu gehören z. B. beschränkter Zugang zu kritischen Teilen der Automatisierungslösung. 

Bestehende Regelungen für Industrial Cyber Security

Am 25. Juli 2015 ist in Deutschland das IT-Sicherheitsgesetz in Kraft getreten. Die wichtigen Betreiber kritischer Infrastrukturen werden damit verpflichtet, zukünftig IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden und Mindeststandards an IT-Sicherheit zu realisieren. Wer dazu gehört, wurde u.a. vom BSI anhand einer Messtabelle festgelegt.

 

image

IT-Sicherheitsgesetz – Sind Sie betroffen?

Insgesamt sind sieben Branchen (Sektoren) und rund 700 Anlagen vom IT-Sicherheitsgesetz betroffen. 

 

Neben der Informationstechnik und Telekommunikation im engeren Sinne müssen Energie, Ernährung, das Finanz- und Versicherungswesen, Gesundheit und Wasser Mindeststandards an IT-Sicherheit einhalten und Vorfälle dem BSI melden.

 

Als Bemessungsgrundlage greift die Bundesregierung dabei auf eine 500.000er-Regel zurück: Sind jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig, fällt die dazugehörige Anlage unter die Meldepflicht. Das, was diese Menschen verbrauchen, wird dabei in einen Schwellenwert umgerechnet.

 

Teil 1 der BSI-Kritis-Verordnung ist im Mai 2016 in Kraft getreten. Ab dann laufen die Fristen, was Folgendes bedeutet:

Betreiber kritischer Infrastrukturen in den Bereichen Energie, Wasser, Ernährung und Informationstechnik und Telekommunikation müssen ab November 2016 ihren Meldepflichten gegenüber dem BSI nachkommen und ab Mai 2018 die neuen branchenspezifischen Mindeststandards an die IT-Sicherheit einhalten.

 

Erhöhte Sicherheitsanforderungen – worauf sollen Sie achten?

Ein Starker Partner – wie kann Siemens Sie unterstützen?

Wissen, wie geschützt werden muss

image

Systemintegratoren sind oft Vorreiter, wenn in Unternehmen die IT-Sicherheit optimiert werden soll. Sie legen in enger Abstimmung mit dem Betreiber das Schutzkonzept zur Erfüllung der vorgegebenen Schutzziele fest. Schwerpunkt der Integratoren ist die funktionale Ausführung der Automatisierungslösung. 

 

Die PDCA-Zyklen basieren daher meist auf mehreren funktionalen und organisatorischen Maßnahmen und enthalten unter anderem Effizienzprüfungen der Schutzmaßnahmen, Schulungen des Personals, Dokumentationen und die Wartung der Schutzmaßnahmen. Auch beim Abbau einer Automatisierungslösung muss die Sicherheit z. B. von Rezepten oder Passwörtern gewährleistet bleiben.