Management der Cybersicherheit für kritische Infrastrukturen und industrielle Abläufe
Fachplaner und IT-Verantwortliche, die Sicherheitslösungen für Industrie und kritische Infrastrukturen entwickeln und implementieren, stehen heute unter einem besonderen Druck. Denn sie sind es, die für den Schutz vor Cyberangriffen verantwortlich sind. Zudem sind sämtliche Mitglieder der Wertschöpfungskette mit ständig neuen regulatorischen Vorschriften konfrontiert, die es zu berücksichtigen gilt. Die Verantwortung für die Cybersicherheit liegt also bei denjenigen, die an der Entwicklung, Spezifikation, Bereitstellung und Betrieb einer Sicherheitslösung beteiligt sind.
Eine Welt voller kritischer Infrastrukturen
Kritische Infrastrukturen wie Strom- und Wasserversorgung, Gesundheitsdienste und Produktionsabläufe waren schon immer Ziel von Angriffen. Früher waren diese Attacken ausschließlich physischer Natur. Aber der Einsatz vernetzter Technologien in allen Lebensbereichen hat in den letzten Jahrzehnten böswilligen Akteuren die Möglichkeit eröffnet, sowohl physische als auch digitale Mittel einzusetzen, um kritische Infrastrukturen empfindlich zu treffen.
Cyberangriffe werden immer zahlreicher und raffinierter und von einem immer breiteren Spektrum von Angreifern durchgeführt. Egal, ob es sich um Hobby-Hacker, gut organisierte Cyberkriminelle auf der Suche nach finanziellem Gewinn oder staatlich unterstützte Akteure handelt, die die Gesellschaft eines Gegners erschüttern wollen.
Aufgrund der Vernetzung von globalen Lieferketten hat sich auch die Bandbreite der Industriesektoren, die als kritisch gelten, vergrößert. Noch vor zwei oder drei Jahren hätten viele Menschen die Produktion und Lieferung von Halbleitern nicht als kritisch angesehen. Doch die Versorgungsengpässe während der Pandemie haben gezeigt, wie elementar beispielsweise Chips für moderne Industrieprozesse sind. Der sogen. ‚Butterfly effect‘, bei dem eine kleine Störung in einem System große Auswirkungen auf ein anderes System haben kann, hat sich in der global integrierten Technologie-Lieferkette bewahrheitet.
Die Herausforderung der Cybersicherheit für die Aufsichtsbehörden
Angesichts der rasanten Entwicklung und des ständigen Wandels im Bereich der Cybersicherheit ist es nicht verwunderlich, dass Regierungen und Aufsichtsbehörden Schwierigkeiten haben, Schritt zu halten. Sie versuchen daher zunehmend, die Art und Weise, wie sie die Cybersicherheit regulieren, zu ändern. Die gesamte Wertschöpfungskette – sowohl die vor- als auch die nachgelagerte – wird auf dem Prüfstand stehen.
Auswirkungen der NIS2-Richtlinie
Die Vorschriften in Bezug auf Cybersicherheit sind weltweit unterschiedlich. Vom NIST Cybersecurity Framework in den USA bis hin zum Cyber Resilience Act (Gesetz über Cyberresilienz) der EU legen regionale und nationale Regulierungsbehörden fest, was sie für den effektivsten Ansatz zur Sicherung kritischer Infrastrukturen vor Cyberangriffen als notwendig erachten.
Die NIS2-Richtlinie, die im Januar dieses Jahres in Kraft getreten ist und für deren Umsetzung die EU-Mitgliedstaaten bis Oktober 2024 Zeit haben, ist ein wertvolles Beispiel, um die Auswirkungen der neuen Vorschriften auf wichtige Einrichtungen zu verdeutlichen.
NIS2 ist eine Reaktion auf die sich entwickelnde Bedrohungslandschaft, und soll eine Verbesserung der Cybersicherheit in der EU erreichen. Darüber hinaus schließt sie die in der ursprünglichen NIS-Richtlinie bestehende Lücken. Die Richtlinie dient der Schaffung einer „Sicherheitskultur in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind und in hohem Maße von der Informations- und Kommunikationstechnologie (IKT) abhängen, wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitswesen und digitale Infrastruktur“. Dies ist ein deutliches Beispiel dafür, dass die Regulierungsbehörden erkannt haben, wie abhängig jeder Sektor von der Technologie geworden ist und wie etwaige Schwachstellen ständig von Cyberkriminellen gesucht und ausgenutzt werden.
Im Rahmen der Richtlinie werden die EU-Mitgliedstaaten diejenigen Unternehmen und Organisationen ermitteln, die kritische Dienste erbringen. Diese Organisationen müssen angemessene Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle im Bereich der Cybersicherheit informieren. Darüber hinaus müssen auch die wichtigsten digitalen Anbieter, wie z. B. Cloud-Computing-Dienste, die Sicherheits- und Meldeanforderungen der Richtlinie erfüllen. Die Bedeutung der Ausweitung über die wesentlichen Dienstleister hinaus auf die gesamte Technologie-Lieferkette ist offensichtlich.
IP-Sicherheitslösungen als Teil der Wertschöpfungskette
Wie bereits erwähnt, hatte der Schutz der wichtigen Dienste schon immer Priorität. Physische Maßnahmen wie Zäune, Zugangskontrollen und Sicherheitspersonal werden heute mit modernsten IP-Sicherheitslösungen kombiniert. Aufgrund ihrer zunehmenden, technischen Vernetzung sind aber auch diese Lösungen anfällig für Cyberangriffe und deshalb ebenso im Fokus der Aufsichtsbehörden.
Architekten, Ingenieure und Fachplaner, die Sicherheitslösungen planen und umsetzen, tragen eine große Verantwortung. Sie müssen sicherstellen, dass diese nicht nur den heutigen Anforderungen an die physische Sicherheit und die Cybersicherheit entsprechen, sondern sich auch an die neuen Herausforderungen anpassen lassen, um die Einhaltung der Vorschriften zu gewährleisten.
Dies erfordert ein ‚Systemdenken‘. Fachplaner müssen die Sicherheitslösung als System und nicht als eine Zusammenstellung von Produkten betrachten. Die Interaktion zwischen Hard- und Software sowie deren Integration in die breitere Infrastruktur des Kunden gilt es zu berücksichtigen. Lösungsentwurf, -implementierung, -integration und -wartung spielen eine wesentliche Rolle bei der Cybersicherheit. Eine Lösung, die statisch bleibt, wird mit der Zeit Schwachstellen aufweisen. Deshalb ist es wichtig, bei der Planung von Sicherheitslösungen schon heute für die Zukunft mitzudenken.
Auswirkungen auf Entwickler von Sicherheitslösungen
Fachplaner und Errichter von Sicherheitslösungen sind also verpflichtet, potenzielle weitergehende Risiken zu berücksichtigen. Während der Schwerpunkt der Lösungen auf der Erfüllung der definierten betrieblichen Anforderungen liegen sollte, sind IT- und Cybersicherheitsvorkehrungen jetzt ebenfalls von entscheidender Bedeutung. Spezifikationen müssen heute an Vorschriften wie der NIS2-Richtlinie ausgerichtet sein, um deren Einhaltung durch ein Unternehmen zu unterstützen.
Eine Übersicht:
- Produkte der Hersteller müssen die Sicherheitsrichtlinien und relevanten Vorschriften des jeweiligen Kunden erfüllen.
- Die Durchführung einer angemessenen Prüfung der Sorgfaltspflicht (Due-Diligence-Prüfung) des Cybersicherheitsansatzes jedes Anbieters ist unerlässlich.
- Richtlinien und Prozesse der von ihnen empfohlenen Technologieanbieter sowie die von ihnen angebotenen technischen Funktionen müssen dokumentiert werden.
- Funktionen wie sicheres Booten, signierte Firmware, Sicherheitskomponenten, die eine automatische und sichere Identifizierung von Geräten ermöglichen, und ein Trusted Platform Module (TPM) tragen den heutigen Risiken Rechnung und sollten spezifiziert werden.
- Die Spezifikationen sollten auch wichtige Zertifizierungen von Drittanbietern, wie z. B. ISO27001, sowie Richtlinien für Schwachstellen, Sicherheitshinweise und ein klar definiertes Sicherheitsentwicklungsmodell enthalten.
- Ein Ansatz für das Lebenszyklusmanagement sollte vorhanden sein. Der Einsatz von Tools zur Geräte- und Lösungsverwaltung und eine dokumentierte Firmware-Strategie mindern das künftige Risiko eines Angriffs und sichern die Kunden für die Zukunft ab. Diese Funktionen ermöglichen es den Kunden, ihr System und ihre Geräte während ihres gesamten Lebenszyklus so sicher wie möglich zu betreiben.
Zusammengenommen zeigen diese Richtlinien und Prozesse die Cybersicherheitsreife einer Organisation und ihre Fähigkeit, sich an die sich entwickelnde Bedrohungslandschaft anzupassen.
Wechselnde Rollen in einer sich verändernden Umgebung
Jedes Land wird im eigenen Interesse seine kritischen Infrastrukturen absichern wollen. Störungen derselben können unmittelbare Auswirkungen auf das zivile Leben haben. Dies kann schnell zu erheblichen gesellschaftlichen Problemen und potenziellen Gefahren für die Gesundheit und das menschliche Leben führen.
→ Regulierungsbehörden auf der ganzen Welt haben erkannt, wie wichtig der Schutz kritischer Infrastrukturen ist und dass Bedrohungen sowohl physischer als auch digitaler Natur sein können. Und sie haben erkannt, dass sich die Bedrohungen durch Cyberangriffe so schnell weiterentwickeln, dass jeder Versuch, Maßnahmen zur Cybersicherheit zu definieren, veraltet ist, bevor sie veröffentlicht werden. Daher hat sich der Regulierungsansatz geändert und verlangt von den Anbietern heute den Nachweis, dass sie generell über die Technologien, die Prozesse und die Ressourcen verfügen, mögliche Bedrohungen schnell zu erkennen und umfassend zu reagieren. Die Minderung der Risiken von Cyber-Bedrohungen ist eine gemeinsame Verantwortung. Unternehmen sind darauf angewiesen – vor allem aber unsere Gesellschaft.
Lesen Sie hier mehr über unseren Ansatz zur Cybersicherheit, Ressourcen und Leitlinien für bewährte Verfahren: