OT Security mit TISAX®

INHALT:

• OT Security: Neue Herausforderungen für die Informationssicherheit
• OT Security: Welche Anforderungen stellt TISAX® ?
• Risikomanagement: TISAX® und NIS 2
• OT Security TISAX® - ein Fazit
• DQS: verlässlicher Partner für verlässliche Lösungen

OT Security: Neue Herausforderungen für die Informationssicherheit

Das Zeitalter des Industrial Internet of Things (IIoT) hat nahezu überall Einzug gehalten. Um industrielle Prozesse zu automatisieren und so deren Effizienz zu erhöhen, werden die verschiedenen Anlagen durch Industrial Automation Control Systems (IACS) vernetzt und gesteuert. Darüber hinaus werden die Daten aus der Produktion erfasst und analysiert, um die Prozesse weiter zu optimieren. Doch die weitläufigen IIoT-Netzwerke und deren Schutz stellen Unternehmen bei ihren Bemühungen um mehr Informationssicherheit vor eine Reihe von Herausforderungen:

• Differenzierte Netze: Produktionsumgebungen bestehen aus einer Vielzahl spezialisierter Systeme mit unterschiedlichen Technologien und Protokollen. Diese weitläufigen Anlagen und Netzwerke verfügen über eine Vielzahl physischer und digitaler Zugänge – und bieten damit multiple Angriffspunkte. Ein Beispiel dafür wäre die Übergabe von Produktionsdaten ins Office-Netz für bessere Analysen und Statistiken, die diese kritischen Informationen und Anlagen mitunter gefährden kann.
• Technische Schulden: OT ist auf langjährige Laufzeiten ausgelegt – schon allein deswegen, weil die Neuanschaffung von Produktionsmaschinen mit hohen Investitionskosten verbunden ist. Ist die Anlage erst einmal in Betrieb, wird das System bis auf nötige Wartungs- und Reparaturarbeiten nicht weiter behelligt, da der eingespielte Produktionsprozess möglichst nicht unterbrochen oder verändert werden soll. Die Folge: Auf vielen Maschinen und deren Komponenten finden sich veraltete Software, Betriebssysteme, Kommunikationsprotokolle oder Verschlüsselungsalgorithmen, die für bösartige Akteure leicht zugänglich oder zu überwinden sind.
• Update-Probleme: Die veralteten Komponenten erhalten zudem nur selten Updates. Zum einen ist jedes Software Update, jeder Patch ein Risiko, da die Maschine im Anschluss nicht mehr wie gewohnt funktionieren und so den gesamten, aufeinander abgestimmten Produktionsprozess gefährden könnte. Zum anderen gibt es häufig auch Vorgaben der Hersteller: Mitunter ist die Garantie daran gebunden, dass die Anlage unverändert bleibt.

• Fehlendes Security-Bewusstsein: Bei vielen OT-Verantwortlichen genießt das Thema Cyber Sicherheit und Informationssicherheit derzeit noch keine hohe Priorität. Dafür gibt es mehrere Gründe: Sie sehen dies etwa ausschließlich als Thema der IT, aber nicht der OT, oder setzen sich zu wenig mit den speziellen Anforderungen von OT-Sicherheit auseinander. Dabei unterschätzen viele OT-Verantwortliche auch, dass neben ihren zentralen Produktionsanlagen auch unterstützende technische Ressourcen wie Kameras und Schutzsensoren aktualisiert werden müssen. Oder sie vertrauen in Sachen Sicherheit zu sehr auf den Hersteller und suchen nicht nach Möglichkeiten, wie sie ihre Maschinen auch anderweitig schützen können. Darüber hinaus werden Security Updates oder Scans häufig als potenzielle Bedrohung für die Anlage und den Produktionsprozess wahrgenommen, die vermeintlich mehr Schaden als Nutzen anrichten. 

Die nachfolgende Grafik veranschaulicht symbolisch die Abhängigkeiten der fünf wichtigsten deutschen Automobilhersteller (rot) von ihren Lieferanten (blau). Dabei sind die Abhängigkeiten der Zulieferer untereinander noch gar nicht berücksichtigt. Angesichts der möglichen Folgen eines Ausfalls in dieser Lieferkette wird deutlich, dass die Automotive-Branche die aufgezeigten Herausforderungen zur besseren Absicherung ihrer Operational Technology konsequent annehmen muss, um sich vor Vertragsverletzungen, finanziellen Verlusten und Reputationsschäden, sowie ihre Mitarbeiter auch vor physischen Gefahren, zu schützen.

Deshalb verlangt der ISA-Katalog 6.0 die konsequente Übertragung der von TISAX® bekannten Informationssicherheitsmaßnahmen auf die OT-Umgebung. Hinzu kommen spezielle Anforderungen des ISA-Katalogs für die TISAX®-Label zur Verfügbarkeit.

OT Security: Welche Anforderungen stellt TISAX®?

Der ISA-Katalog 6.0 beinhaltet einige Anforderungen an OT, um die angesprochenen Herausforderungen an Cyber Security und Informationssicherheit zu bewältigen. Dabei geht es nicht nur um technische, sondern auch um organisatorische und personelle Maßnahmen und Lösungen für mehr Sicherheit. Unternehmen, die die folgenden Schritte befolgen, stellen die Weichen für ein erfolgreiches TISAX®-Assessment.

• Sensibilisierung: Zunächst ist ein Bewusstsein für die Bedeutung von OT-Sicherheit und Cybersicherheit zu schaffen. Das gilt für die eigenen Mitarbeiter, aber auch für die Zulieferer, die im Supplier Risk Management als wichtig für die eigene Lieferkette identifiziert wurden. Konsequenterweise muss auch von diesen ein angemessenes Schutzniveau in den Infrastrukturen nachgewiesen werden - beispielsweise in Form von TISAX®-Labeln zur Verfügbarkeit. Cybersicherheit und Informationssicherheit geht jeden etwas an und beschränkt sich nicht auf die IT. Zumal die automatisiert arbeitenden OT-Systeme bei jeder Art von Fehlfunktion nicht nur die betriebliche Kontinuität beeinträchtigen, sondern ein ernsthaftes Sicherheitsrisiko für die in der Nähe arbeitenden Mitarbeiter darstellen können.
• Kompetentes Personal: Für OT-Anlagen existieren verantwortliche Mitarbeiter, die als unverzichtbare menschliche Ressourcen über tiefe Kenntnisse der Systeme und deren Konfiguration sowie potenzielle Risiken verfügen. Neben der klassischen Wartung sind diese Mitarbeiter auch dafür zuständig, den Aspekt der Informationssicherheit stets zu beachten. Dazu gehört etwa, bei Sicherheitsupdates oder kritischen Hinweisen des Herstellers auf dem aktuellen Stand zu sein, erkannte Risiken ihrer OT-Anlagen mit Nachdruck an die Unternehmensleitung zu melden und geeignete Gegenmaßnahmen zu ergreifen.
• Inventarisierung aller Assets: Wer seine Assets nicht kennt, sorgt für blinde Flecken und damit für verwundbare Punkte. Sämtliche Komponenten im jeweiligen Netzwerk – und sei es nur die Kamera in der Produktionshalle – sind zu erfassen. Dadurch können den einzelnen OT-Systemen Verantwortliche zugewiesen werden, die sich um deren Bedrohungen und Risiken kümmern.   

• Robuste Cyber-Hygiene: Großflächige Produktionsanlagen mit zahlreichen schwer abzusichernden physischen Netzwerkzugängen sind heute Realität. Um die Operational Technology wirksam vor Cyberattacken zu schützen, müssen offene Schnittstellen reduziert und Sicherheitslösungen wie Firewalls und MAC-Filter konsequent eingesetzt werden. Zudem fordern die TISAX®-Anforderungen regelmäßige technische OT-Systemaudits, in denen die aktuelle Konfiguration der Systeme auf ihre Angemessenheit hinsichtlich des Stands der Technik überprüft wird.
• Schwachstellenscans: Automatisierte Tests mit Schwachstellenscannern gehören zum TISAX®-Label „Sehr hohe Verfügbarkeit (Availability very high)“ und sind ein probates Mittel, um Sicherheitslücken zu finden. Allerdings können diese Tests auch ein Risiko für die Funktionsfähigkeit der OT sein, weshalb es wiederum die Expertise der jeweils verantwortlichen Mitarbeiter braucht, ob und in welcher Form Schwachstellenscans gefahrlos möglich sind. Alternativ sind adäquate Sicherheitsmaßnahmen zu treffen.
• Netzwerksegmentierung: Netze angemessen zu segmentieren, trägt dazu bei, IT und OT zu trennen und so voreinander zu schützen. Unternehmen, die Echtzeit-Daten aus ihrer Produktion für betriebswirtschaftliche Auswertungen erhalten, müssen hier mitunter neue Lösungen am Industrial Edge finden, um ihre Informationssicherheit nicht durch derartige IT-/OT-Verbindungen zu gefährden. Einseitige Kommunikationswege (Daten-Dioden) erlauben der OT einen kontrollierten Datenabgleich zur IT. Mittels Mikrosegmentierung lassen sich bei Bedarf auch einzelne Systeme besonders absichern.
• Konfigurationsmanagement: Konfigurationen von OT-Systemen sind regelmäßig und systematisch zu sichern. Falls eine Anlage aufgrund einer Fehlfunktion, eines Cyberangriffs oder auch eines fehlerhaften Patches oder Updates ausfällt, kann die Betriebsfähigkeit auf einer Ersatzanlage durch die gesicherte Konfigurationsdatei schnell wiederhergestellt werden.
• Zugangskontrolle und externe Dienstleister: Der Zugang zu OT-Netzen und -Geräten – gerade durch externe Dienstleister – erfordert klare vertragliche Regelungen zum Informationssicherheitsniveau sowie strenge Zugangskontrollen und detaillierte Protokolle, um die Sicherheit und Integrität der Systeme zu gewährleisten.

Bei der Umsetzung all dieser Anforderungen gilt es zudem zu berücksichtigen, worauf Auditoren bei einer TISAX®-Zertifizierung besonders achten: Ob Unternehmen sich aktiv Gedanken um ihre Informationssicherheit machen und entsprechend handeln. Dafür ist bei vielen Zulieferern ein Mentalitäts-Shift notwendig, der besonders das Risikomanagement in den Fokus rückt.

Risikomanagement: TISAX® und NIS 2

Bei einer TISAX®-Zertifizierung wollen die Auditoren sehen, dass das geprüfte Unternehmen sich eingehend mit den Risiken beschäftigt, denen es selbst und seine OT ausgesetzt sind. Betriebe jeder Größe sind außerdem dazu angehalten, geeignete Maßnahmen zu ergreifen, um ihre Sicherheitslücken zu minimieren. Ein solches Risikomanagement hat dabei auf der höchsten Unternehmensebene zu erfolgen, auch wenn dieser Prozess mit einer für die Geschäftsführung unangenehmen Transparenz verbunden ist: Die Offenlegung der Risiken sorgt im Management unweigerlich für einen gewissen Entscheidungs- bzw. Handlungszwang dahingehend, ob das Unternehmen ein Problem in Kauf nehmen oder Geld für dessen Lösung ausgeben will.

Diese risikobasierte, vom Management (oberste Leitung) koordinierte Informationssicherheit fordert auch die derzeit allgegenwärtige NIS-2-Richtlinie, die viele Unternehmen direkt oder indirekt über die Lieferkette betrifft. Dabei gibt es zunächst einen entscheidenden Unterschied: TISAX® wird oft standortbezogen aufgrund einer anfragenden Partei eingeführt, die gesetzlichen Anforderungen von NIS 2 gelten aber für das ganze Unternehmen mit allen Standorten.

Der Blick zur NIS 2 hat dabei das Potenzial, einen Perspektivwechsel in der Automotive-Branche anzustoßen. Der Allgefahrenansatz im Rahmen von NIS 2 bedeutet, dass nicht nur klassische Cyberbedrohungen isoliert betrachtet werden, sondern alle möglichen Gefahren – egal ob technischer, organisatorischer, menschlicher oder auch physischer Natur – in das Risikomanagement einbezogen werden müssen. Ein TISAX-konformes Informationssicherheitsmanagementsystem (ISMS) kann nur dann eine positive Wirkung im Sinne von NIS 2 entfalten, wenn das ISMS nicht nur auf einzelne Standorte wirkt, sondern konsequent auf das gesamte Unternehmen angewandt wird (Anwendungsbereich). Auch sollte die Auswahl der TISAX-Label nicht einfach Ergebnis der Anfragen interessierter Parteien sein. Stattdessen sollten TISAX-Label mit ihren zugehörigen Anforderungen so ausgewählt werden, dass sie auch zur Minimierung erkannter Risiken herangezogen werden. 

Die im ISA-Katalog enthaltenen Maßnahmen sollten für NIS 2 als ein hilfreicher Werkzeugkasten für Lösungen gegen Bedrohungen verstanden werden und nicht als Hürden, die es zu überwinden gilt. Zulieferer, die bisher lediglich das Label „Hohe Verfügbarkeit (Availability high)“ anstreben, sollten prüfen, ob ihr Risikoprofil nicht eher den Einsatz der Anforderungen für „Sehr hohe Verfügbarkeit“ oder sogar „Vertraulichkeit“ nahelegt. Während die erweiterten Maßnahmen einerseits die OT-Sicherheit verbessern, sendet ein höheres TISAX-Label andererseits ein starkes Vertrauenssignal an die gesamte Lieferkette.

Voraussetzung für diesen Prozess ist ein proaktiver Informationssicherheitsbeauftragter, der sowohl mit TISAX® als auch mit weiteren Regelwerken vertraut ist und der Unternehmensleitung geeignete Maßnahmen zur Risikominimierung vorschlagen kann. Im Sinne von NIS 2 können dies auch einzelne Maßnahmen des Regelwerks IEC 62443-2-1 sein (IT-Sicherheit für industrielle Automatisierungssysteme - Teil 2-1: Anforderungen an ein IT-Sicherheitsprogramm für IACS-Betreiber), die das TISAX®-konforme ISMS vervollständigen.

OT Security mit TISAX® - ein Fazit

Der ISA-Katalog 6.0 bringt einige Veränderungen mit sich. Die neuen Label für Verfügbarkeit rücken das Thema OT-Sicherheit in den Fokus, um die weitläufig vernetzten Produktions-Infrastrukturen der Automobilindustrie angemessen vor Cyberangriffen und anderen Störungen zu schützen. Viele Unternehmen haben dabei aufgrund veralteter Systeme, komplizierter Update-Prozesse und fehlendem Security-Bewusstsein noch einigen Nachholbedarf.

Für den ganzheitlichen Schutz von OT-Umgebungen gegen Angriffe und Ausfälle braucht es geeignete Maßnahmen auf technischer, organisatorischer und personeller Ebene – von der grundlegenden Sensibilisierung und qualifiziertem Personal über die Implementierung robuster Sicherheitslösungen und Netzwerkstrukturen bis hin zu Sicherungs- und Wiederherstellungsplänen. 

Die neuen gesetzlichen Vorgaben durch NIS 2 verlangen, dass die Automobilindustrie ihre Risiken aktiv reduziert. Dabei sollten IT- und OT-Verantwortliche eng mit dem Management zusammenarbeiten, um passende TISAX®-Label und weitere Maßnahmen aus relevanten Standards auszuwählen. TISAX®-Auditoren werden künftig verstärkt darauf achten, dass im Risikomanagement auch OT-Aspekte angemessen berücksichtigt und die entsprechenden TISAX®-Anforderungen für OT Security konsequent umgesetzt werden.

DQS verlässlicher Partner für verlässliche Lösungen

TISAX® wurde – genau wie das VCS Audit für Vehicle Cyber Security – von der ENX Association entwickelt. Die DQS ist als TISAX®- und VCS-Prüfdienstleister von der ENX zugelassen und kann somit auch als Ihr Partner weltweit Assessments durchführen – und ist überdies selbst nach TISAX® zertifiziert. Und weil viele unserer TISAX®-Auditoren zugleich auch für die internationale Norm für Informationssicherheit ISO 27001 zugelassen sind, können wir beide Standards zeitgleich und mit einem geringeren zusätzlichen Aufwand begutachten. Wir freuen uns auf das Gespräch mit Ihnen.

Hinweis: Der Zugang zu TISAX® erfolgt über eine Teilnehmer-Registrierung, die auf dem ENX-Portal online vorzunehmen ist. Dies ist die Voraussetzung dafür, um einen zugelassenen Prüfdienstleister wie die DQS beauftragen zu können.

Vertrauen und Expertise

Unsere Beiträge und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Inhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: [email protected]

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.