Industry

Mit der voranschreitenden Industrie 4.0 werden Fertigungsprozesse nicht nur von einem sicheren Werkstor geschützt. Industrieanlagen benötigen ein Sicherheitsupdate.

Digitale Bedrohungen stellen Anlagenbetreiber vor große Herausforderungen, denn Hacker richten ihren Fokus zunehmend auf Produktion und Versorgung. Im Oktober 2018 wurde bekannt, dass Hacker in die IT-Infrastruktur eines saudi-arabischen Gaswerks eingedrungen waren. Dort schalteten sie mit Schadsoftware verschiedene Sicherheitssysteme aus, die Explosionen und weitere Unfälle verhindern sollte. So kann aus einem Cyberattacke eine Gefahr für Menschen und Umwelt werden.

Dieses Gefährdungspotenzial hat auch die Kommission für Anlagensicherheit (KAS) erkannt und Leitsätze zum Schutz vor cyberphysischen Angriffen veröffentlicht. „Das neue Merkblatt KAS-44 erweitert die grundsätzlichen Pflichten für Betriebsbereiche, die von der Störfall-Verordnung betroffen sind.“, sagt Hans-Jürgen Salge von TÜV Hessen.

 

Sensible Bereiche betroffen

Als Störfall-Verordnung wird die zwölfte Verordnung zur Durchführung des Bundes-Immissionsschutzgesetzes (12. BImSchV) bezeichnet. Damit soll der Betrieb von technischen Anlagen mit gefährlichen Stoffen gesichert werden, etwa in der chemischen Industrie. Die Verordnung gilt für Betriebsbereiche, in denen große Mengen der gefährlichen Stoffe vorhanden sind. „Zu den allgemeinen Betreiberpflichten zählt der umfassende Schutz dieser Bereiche“, erklärt Hans Jürgen Salge. „Dabei müssen Eingriffe unbefugter Personen berücksichtigt werden: physisch und jetzt auch informationstechnisch.“

Denn Betriebsbereiche mit gefährlichen Stoffen werden immer stärker vernetzt, etwa zur Fernwartung. Als potenzielle Angriffspunkte müssen sie entsprechend geschützt sein. Die Cyber-Sicherheit wird deshalb zu einem wichtigen Bestandteil der betroffenen Anlagen. Um den Schutz angemessen zu gestalten, bezieht sich das Merkblatt KAS-44 nur auf sicherheitstechnisch relevante Systeme. Die Integration der IT-Security in ein Informationssicherheits-Managementsystem kann analog zur ISO-27000-Normenreihe erfolgen. Darin sind zahlreiche Standards enthalten, die Prozesse und Verfahren zum Schutz von IT-Systemen definieren.

 

Anlagen zeitgemäß schützen

Mit den Leitsätzen verfolgt die KAS das Ziel, Anlagenbetreiber auf Cyberangriffe vorzubereiten. „Gerade mittlere und kleinere Unternehmen sind bei der Informationssicherheit nicht immer für digitale Gefahren sensibilisiert“, sagt Stephan Kurth, der das Gremium als Vorsitzender leitet. Das Merkblatt KAS-44 adressiert daher speziell Organisationen und Betriebsbereiche, die noch nicht über die notwendige Security-Kultur verfügen. Davon betroffen sind nicht nur Chemie- und Pharmaunternehmen, sondern auch Lagerstätten, Zulieferer oder Betreiber von Biogasanlagen. Um ein nachhaltiges Bewusstsein für digitale Bedrohungen zu etablieren, wird IT-Security im Merkblatt KAS-44 zur Chefsache. Die Leitung eines Unternehmens ist nicht nur für die Sicherheitsstrategie verantwortlich, sondern auch für die Kommunikation der Konzepte an alle Mitarbeiter, die sich mit der Anlagensicherheit befassen. Dafür werden alle Beteiligten regelmäßig geschult.

Die konkrete technische Umsetzung der eingeführten Cyber-Sicherheitsverfahren ist komplex. Ursache ist der unterschiedliche Modernisierungsgrad von Office und Produktions-IT. Die KAS empfiehlt deshalb die Einführung eines Asset Registers, in dem alle Teile und Komponenten verzeichnet sind, deren Manipulation eine Auswirkung auf die funktionale Sicherheit der Anlage hat. Ein visualisiertes Netzwerkregister veranschaulicht zusätzlich die internen Kommunikationsbeziehungen zwischen den Assets.

Beim Bau und Betrieb von Anlagen soll Informationssicherheit künftig zudem eine integrale Rolle einnehmen. Die Anforderungen werden bereits während der Planung vom Betreiber festgelegt. Anschließend soll ein Cyber-Risk-Managementsystem den konstanten Schutz gewährleisten. Dazu zählt neben dem rechtzeitigen Erkennen auch eine wirksame Strategie, um IT-Sicherheitsvorfälle zu bekämpfen. „Während der Entwicklung unserer Leitsätze profitierten wir von den Erfahrungen großer Unternehmen und Industrieverbände“, bilanziert Stephan Kurth. „Gemeinsam mit etablierten Richtlinien wie der ISO 27000-Normenreihe konnten wir die Grundpflichten der Betreiber auf aktuelle Anforderungen anpassen und konkretisieren.“ Bei den Leitsätzen der KAS-44 soll es nicht bleiben. Weitere Merkblätter und Hinweise werden auch künftig auf zeitgemäße Gefahren für die Anlagensicherheit hinweisen.