Beim Vergleich von Bedrohungsklassen im Hinblick auf Eintritts-wahrscheinlichkeit und ‘gefühlte’ Bedrohung zeigt sich: In der Realität sollte das Augenmerk viel stärker auf die einfachen Bedrohungsklassen gelegt werden.
Bild: CAT
Die passende Strategie
Erkennen die Betroffenen das mögliche Auftreten von Bedrohungen und die damit verbundenen Schadenspotenziale, stellt sich die Frage, was im jeweiligen Kontext für die Informationssicherheit getan werden soll. Da jede Maßnahme mit Kosten verbunden ist, besteht die Aufgabe darin, nicht zu viel, nicht zu wenig, sondern das Richtige zu tun.
A) Das Bewusstsein der Beteiligten schärfen
Das Bewusstsein für das Security-Thema wird zunächst mit einer realistischen Beschreibung der Bedrohungslage für einen konkreten Betrachtungsgegenstand − Gerät, Maschine, Anlage − geschärft. Eine Hilfe bei der Einschätzung sind die oben erwähnten Bedrohungsklassen und verfügbare Bedrohungskataloge, wie sie etwa vom Bundesamt für Sicherheit in der Informationstechnik zur Verfügung gestellt werden. Eine weitere Orientierung bieten Gesetze und Richtlinien. Gesetze zeigen auf, dass ein konkreter Handlungsbedarf besteht, Richtlinien bieten Orientierungshilfen, wie Informationssicherheit erreicht werden kann. Im Bereich der Automatisierung sind zwei Richtlinien erwähnenswert:
- I EC62443/ISA 99 ‘Industrial Network and System Security’: Dies ist eine sehr umfangreiche und noch in Arbeit befindliche internationale Richtlinie.
- VDI/VDE 2182 Blatt 1 ‘Informationssicherheit in der industriellen Automatisierung’: Diese deutsche Richtlinie ist verabschiedet und beschreibt in nur 13 Seiten Text, wie Informationssicherheit prinzipiell erreicht werden kann. In der VDI/VDE 2182 ist unter anderem auch die Abhängigkeit zwischen Geräteherstellern, Maschinenbauern bzw. Systemintegratoren und Betreibern beschrieben. Diese Abhängigkeiten sind ebenfalls zu berücksichtigen (Bild1).
Weiterhin ist im Team abzustimmen, anhand welcher Richtlinie vorgegangen werden soll. Dafür bietet sich die Richtlinie VDI/VDE 2182 als Vorlage an. Sie beschreibt, welche Maßnahmen zunächst getroffen werden müssen, um dann das Vorgehensmodell zur Verbesserung der Security- Eigenschaften zu durchlaufen.
B) Eine konkrete Analyse vorbereiten
Nachdem die Grundlagen und Randbedingungen für eine Security-Betrachtung gelegt sind, ist es sinnvoll, eine konkrete Anwendung als Pilotprojekt auszuwählen. Dies kann ein Gerät, eine Maschine oder eine Anlage sein. Danach sind die für die anstehende Aufgabe erforderlichen Akteure und Know-how- Träger zu bestimmen , welche die konkrete Bearbeitung durchführen. Das Abarbeiten des Vorgehensmodells ist in mehrere Schritte unterteilt. Die Ergebnisse jedes einzelnen Schrittes sind zu dokumentieren. Im Besonderen ist festzuhalten, auf welchen Grundlagen die Beteiligten zu den jeweiligen Einschätzungen gekommen sind. Dies führt zu vielen Informationen, die strukturiert dokumentiert werden müssen, um sie bei einer geänderten Bedrohungslage wiederverwenden zu können. Eine sehr gute Hilfe kann hierfür ein prozessbegleitendes Tool sein.
C) Richtlinie VDI/VDE 2182 anwenden
Wird die Richtlinie auf einen konkreten Betrachtungsgegenstand angewendet, kann die Untersuchung wertvolle Ergebnisse liefern. Die systematische Vorgehensweise ermöglicht, den security-relevanten Zustand des untersuchten Produktes oder der Anwendung zu beschreiben. Darin werden unter anderem die aktuell relevanten Bedrohungen, geeignete Schutzmaßnahmen und die Priorisierung dieser Schutzmaßnahmen festgehalten. Neben der prozessbegleitenden Dokumentation entsteht eine Dokumentation für Anwender mit den Security-Eigenschaften des Betrachtungsgegenstandes sowie für Lieferanten eine Aufstellung von Security-Anforderungen. Neben diesen technischen Aspekten liefert die Anwendung der Richtlinie vor allem aber Erfahrungen, wie gut diese im jeweiligen Kontext angewendet werden kann. Außerdem wird eine Abschätzung möglich, welche finanziellen und personellen Konsequenzen sich für die Behandlung weiterer Produkte und Anwendungen ergeben.
Aktionismus vermeiden
Bei der Lösung der aktuellen Security-Anforderung in Automatisierung und Produktion ist blinder Aktionismus fehl am Platz. Er kostet viel und birgt die Gefahr, das eigentliche Ziel zu verfehlen. Nichts zu tun ist genauso falsch, weil die bestehenden Herausforderungen nicht gemeistert werden. Wichtig ist eine klar strukturierte Vorgehensweise auf der Grundlage einer verbindlichen Richtlinie zu wählen und diese dann konsequent anzuwenden. Konkrete Anwendungen zeigen, dass die Aufwendungen für konkret zu untersuchende Betrachtungsgegenstände überschaubar sind und dass sich diese Investitionen in Form von besserer Kenntnis des untersuchten Produktes beziehungsweise der untersuchten Anwendung und verbesserten Security-Eigenschaften lohnen.
