Cyber Security
Cyber Security ist ein wachsendes Risiko für alle kritischen Infrastrukturen und industriellen Prozessanlagen. Die neueste Ausgabe von DIN EN 61511-1 (bzw. VDI/VDE 2180-1) verlangt, dass bereits in der HRA-Phase eine Sicherheitsrisikobewertung durchgeführt wird. Eine weitere detaillierte Sicherheitsbewertung (einschließlich der Überprüfung bestehender Anlagen) kann gemäß DIN EN 62443 (bzw. Namur NA 163) durchgeführt werden.
Sicherheitslücken wurden in industriellen Kontrollsystemen zunehmend aufgedeckt (z. B. Stuxnet, Industroyer, TRISIS/TRITON, EKANS, und Co.). Viele nationale Regierungen haben Gesetze implementiert, die Betreiber kritischer Infrastrukturen dazu verpflichten, neue oder bestehende Anlagen aus der Perspektive der Cybersicherheit systematisch zu bewerten. Internationale Best-Practice-Standards wie DIN EN 61511-1 (letzte Ed. 2) und VDI/VDE 2180-1 (letzter Stand: Feb. 2018) definieren nun, dass eine Sicherheitsrisikobewertung bereits in der HRA-Phase durchgeführt werden soll. Eine weitere detaillierte Sicherheitsbewertung (einschließlich der Überprüfung bestehender Anlagen) kann gemäß DIN EN 62443 (bzw. Namur NA 163) durchgeführt werden.
PSC kann während der Planungsphase eines neuen Projekts eine Cyber-Security-Analyse durchführen. Eine solche Bewertung folgt in der Regel einer ähnlichen Methodik wie HAZOP, jedoch mit relevanten Leitworten. Bereiche, die in der Planungsphase besondere Aufmerksamkeit erfordern, sind:
- Kundenrichtlinien und -verfahren, branchenspezifische rechtliche Anforderungen
- Integration in bestehende Systeme (wo zutreffend)
- Segmentierung des Kontrollsystem-Netzwerks
- Zugangskontrolle
- Design-Anforderungen, um die Komponenten des Systems zu „härten“
- Überwachung und Wartung der Systemsicherheit
- Trainingsanforderungen für Personal und Auftragnehmer
Bei bestehenden Anlagen werden Sicherheitsbedrohungen in der Regel über ein Audit vor Ort überprüft:
- kompromittierte Remote-Zugänge, unberechtigter Zugriff
- Modems und Switches, USB-Anschlüsse
- falsch konfigurierte Firewall, Büro-LAN, infizierte Laptops
- RS-232-Verbindungen, externe PLC-Netzwerke
PSC ist ein registrierter Teilnehmer der Allianz für Cyber-Sicherheit
Sonderanforderungen in Deutschland: Nach dem Energiewirtschaftsgesetz sind Netzbetreiber im Strom- und Gasbereich verpflichtet, einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, zu gewährleisten. Hierzu hat die BNetzA in Abstimmung mit dem BSI im August 2015 einen IT-Sicherheitskatalog mit den notwendigen Sicherheitsanforderungen veröffentlicht. Kernforderung ist die Einführung eines Informationssicherheits-Managementsystems. Netzbetreiber haben die Umsetzung der Anforderungen des IT-Sicherheitskataloges durch ein Zertifikat zu belegen. Die Zertifizierung muss dabei durch eine unabhängige und für die Zertifizierung akkreditierte Stelle durchgeführt werden. Der IT-Sicherheitskatalog verpflichtet die Netzbetreiber, das Zertifizierungsverfahren bis zum 31.01.2018 abzuschließen. Außerdem hat das BSI branchenspezifische IT-/Cyber-Standards für kritische Infrastrukturen (B3S) veröffentlicht. Anmerkung: PSC bietet keine Zertifizierung für die Einhaltung der BNetzA-Anforderungen, bitte wenden Sie sich an akkreditierte Zertifizierungsstellen.