Zusammenfassung
Produktionsumgebungen sind heute in vielfältiger Weise durch Informationstechnik (IT) geprägt. Diese Entwicklung trägt in einem erheblichen Maße zur Flexibilisierung und Effizienzsteigerung in der industriellen Produktion bei. Damit erbt dieser Bereich aber auch die üblicherweise mit IT verknüpften Gefährdungen, etwa die Anfälligkeit gegen Schadsoftware oder Hackerangriffe. Die daraus resultierenden Risiken verschärfen sich, je stärker die IT-Lösungen miteinander vernetzt sind und umso mehr Schnittstellen sie über Unternehmens- oder Standortgrenzen hinweg aufweisen. Im Bereich der Office-IT existieren weithin anerkannte Standards zur IT-Sicherheit und es hat sich eine Fülle an Maßnahmen etabliert, mit denen IT-Risiken begegnet werden kann. Diese Best-Practices können jedoch nicht ohne weiteres auf Produktionsumgebungen übertragen werden. Der Beitrag beschreibt die Gründe hierfür und die besondere Problemlage für das IT-Risikomanagement im Produktionsumfeld. Er gibt darüber hinaus eine Übersicht zu den vorhandenen Best-Practice-Dokumenten für das Produktionsumfeld und zeigt auf, wie sich etablierte Verfahren zum IT-Risikomanagement auch in diesem Bereich anwenden lassen. In einem abschließenden Beispiel werden die beschriebene Vorgehensweise und die Anwendung von Best-Practices zur Risikominimierung am Beispiel der Fernwartung skizziert.
Abstract
Nowadays, industrial processes are more and more based on a wide range of information technology (IT). This development contributes significantly to greater flexibility and efficiency of industrial production. However, this sector also inherits the vulnerability to threats typically associated with IT, such as malware or hacker attacks. The resulting risks intensify, the more the IT applications are linked, and the more interfaces they have across business or location boundaries. In the area of office IT, generally accepted IT security standards exist; also a large number of measures have been established for the mitigation of IT risks. However, these best practices cannot be applied unaltered in industrial environments. The paper describes the reasons for this and the special challenges of IT risk management in production environments. Furthermore, it provides an overview of existing best practice documents for information security management in industrial environments and shows how well-established procedures for IT risk management can be applied in this area as well. Finally, the example of remote maintenance is used to illustrate the application of these procedures. In this context, best practices for the mitigation of risks associated with remote maintenance are outlined.
Notes
Unter www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/140627_LARS_ICS_Light_and_Right.html bietet das BSI mit dem Tool LARS ICS auch ein kostenfreies „Werkzeug für den leichtgewichtigen Einstieg in industrielle Cyber-Security an“, das bei der Umsetzung von Standard-Sicherheitsmaßnahmen für IT-Systeme und Netze im Produktionsbereich unterstützen soll.
Eine Übersicht zu verschiedenen Verfahren und deren Anwendbarkeit bietet die Norm ISO/IEC 31010 (2009).
Bei der Zusammenstellung der Risikoszenarien können Musterkataloge als Hilfsmittel und Ausgangspunkt dienen, beispielsweise die Zusammenstellungen exemplarischer Bedrohungen und Schwachstellen im Anhang der Norm ISO/IEC 27005 (2011) oder der Katalog G.0: Elementare Gefährdungen der IT-Grundschutz-Kataloge (BSI 2016b).
Üblicherweise verwendete Schadensszenarien sind finanzielle Verluste, Prozessstörungen, Beeinträchtigungen der körperlichen Unversehrtheit, Image-Schäden und Verstoß gegen Gesetze oder vertragliche Verpflichtungen.
In der zwei Jahre zuvor publizierten ersten Ausgabe dieser Zusammenstellung belegte diese Bedrohungskategorie sogar den ersten Platz.
Literatur
BMWi (2016) IT-Sicherheit für Industrie 4.0. Abschlussbericht. Berlin. www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/Studien/it-sicherheit-fuer-industrie-4-0-langfassung. Zugegriffen: 25. Nov 2016
BSI (2013) ICS-Security-Kompendium, Bonn. www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.pdf. Zugegriffen: 25. Nov 2016
BSI (2014a) Die Lage der IT-Sicherheit in Deutschland 2014. Bonn. www.bsi.bund.de/Lageberichte. Zugegriffen: 25. Nov 2016
BSI (2014b) Industrial Control System Security – Top 10 Bedrohungen und Gegenmaßnahmen 2014, BSI – CS 005. www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.html. Zugegriffen: 25. Nov 2016
BSI (2015) Die Lage der IT-Sicherheit in Deutschland 2015. www.bsi.bund.de/Lageberichte. Zugegriffen: 25. Nov 2016.
BSI (2016a) Entwurf eines Bausteins und von Umsetzungshinweisen zum ICS-Betrieb. www.bsi.bund.de/DE/Themen/ITGrundschutz/IT-Grundschutz-Modernisierung/GS_Drafts/gs_drafts_node.html. Zugegriffen: 25. Nov 2016
BSI (2016b) IT-Grundschutz-Kataloge. 15. Ergänzungslieferung. www.bsi.bund.de/IT-Grundschutz-Kataloge. Zugegriffen: 25. Nov 2016
Golem (2016) Schwachstellen aufgedeckt, der leichtfertige Umgang mit kritischen Infrastrukturen. www.golem.de/news/schwachstellen-aufgedeckt-der-leichtfertige-umgang-mit-kritischen-infrastrukturen-1607-122063.html. Zugegriffen: 25. Nov 2016
IEC/TS 62443 (2008–2010) Industrial Industrial communication networks – Network and system security. Genf
ISO/IEC 27002 (2013) Information technology – Security techniques – Code of practice for information security controls. Genf
ISO/IEC 27005 (2011) Information technology – Security techniques – Information security risk management. Genf
ISO/IEC 27019 (2013) Information technology – Security techniques – Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry. Genf
ISO/IEC 31010 (2009) Risk management – Risk assessment techniques. Genf
NIST (2015) Guide to Industrial Control Systems (ICS) security. NIST special publication 800–82. Revision 2. http://dx.doi.org/10.6028/NIST.SP.800-82r2. Zugegriffen: 25. Nov 2016
VDI/VDE 2182 (2011) Informationssicherheit in der industriellen Automatisierung. Allgemeines Vorgehensmodell. Düsseldorf
Author information
Authors and Affiliations
Corresponding authors
Rights and permissions
About this article
Cite this article
Kraft, R., Stöwer, M. IT-Risikomanagement im Produktionsumfeld – Herausforderungen und Lösungsansätze. HMD 54, 84–96 (2017). https://doi.org/10.1365/s40702-016-0282-1
Received:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s40702-016-0282-1