Informationssicherheit

Warum Sie jetzt über ISO/IEC 27001 nachdenken sollten

Martin Bodenstein Martin Bodenstein

Geschäftsgeheimnisse, Entwicklungs- und Betriebsinformationen sowie Steuerungsdaten von Produktionsmaschinen sind hoch sensible Unternehmenswerte, an die besondere Schutzanforderungen gestellt werden. Managementsysteme für IT und Informationssicherheit bieten eine Möglichkeit, die Umsetzung definierter Schutzmechanismen mit einem Reifegradmodell und somit den professionellen Umgang mit sensiblen Informationen im Rahmen einer Zertifizierung offiziell zu dokumentieren.
Unsere jüngsten Erfahrungen zeigen, dass an mittelständische Unternehmen im Maschinen- und Anlagenbau zunehmend konkrete Anforderungen an die Informationsverarbeitung gestellt werden, die ganzheitliche Sicherheitskonzepte in naher Zukunft unausweichlich machen.

Ganzheitliche Informationssicherheit

Managementsysteme für Informationssicherheit (ISMS) sind grundsätzlich nichts Neues. Allgemein sind sie als Rahmenwerke zum Aufbau und Betrieb eines ganzheitlichen und risikoorientierten Sicherheitsprofils zu verstehen. Im Rahmen definierter Prozesse wird die gesamte Informationsverarbeitung (digital sowie analog) in allen relevanten Unternehmensbereichen berücksichtigt. Abbildung 1 zeigt exemplarisch behandelte Themenbereiche aus der Norm ISO/IEC 27001.

ISMS-Grafik-frei.png

Der wohl am weitesten verbreitete Ansatz zum Aufbau eines ISMS orientiert sich an der Norm ISO/IEC 27001 mit insgesamt 114 Maßnahmen zur Definition eines individuellen Sicherheitsprofils. Doch es gibt noch weitere Rahmenwerke (wie zum Beispiel  die Norm ISA/IEC 62443), die zur Orientierung dienen können, um branchenspezifisch eine effektive Sicherheitsumgebung schaffen zu können. Das Ziel besteht stets darin, den Fluss schützenswerter Informationen in Gänze abzusichern und sich gegen Missbrauch, Betriebsstörungen und Angriffe zu schützen.

Industrial Security im Produktions- und Automatisierungsbereich

Speziell für den Maschinen- und Anlagenbau beschreibt die Norm ISA/IEC 62443 einen Sicherheitsstandard für „Industrial Automation and Control Systems“ (IACS). Eine Serie von Dokumenten befasst sich mit dem Aufbau eines umfassenden, „defense-in-depth“ Sicherheitskonzepts. Die Norm ist in vier zusammenhängende Abschnitte unterteilt (siehe Abbildung 2), die wiederum einzelne Rahmenwerke zu einzelnen Schwerpunktthemen beinhalten. IACS steht hierbei umfassend für sämtliche Bestandteile im Produktions- und Automatisierungsbereich, wie:

  • Systeme,
  • Komponenten (einschließlich Softwarekomponenten und Anwendungen),
  • Prozesse sowie
  • organisatorische Teile,

die für den sicheren Betrieb erforderlich sind.

Im Vergleich zu der Norm ISO/IEC 27001 sind bei der ISA/IEC 62443 die Sicherheitsmaßnahmen sehr branchenspezifisch angepasst bzw. erweitert worden. Somit bauen die Normen aufeinander auf und ergänzen etablierte und bewährte Sicherheitsprinzipien.

Ein für die Branche wichtiges Merkmal in der ISA/IEC 62443 ist die Betrachtung unterschiedlicher Rollen oder Instanzen mit Einfluss auf die Betriebsprozesse innerhalb des Sicherheitskonzepts. Alle Rollen werden in eigenen Abschnitten behandelt und unterteilen sich in erstens den Hersteller einzelner Systemkomponenten, zweitens den Systemintegrator oder auch Maschinen- und Anlagenbauer, und drittens den eigentlichen Betreiber der gesamten Anlage. Fließende Übergänge zwischen den Rollen und deren Verknüpfungen werden ebenfalls berücksichtigt.

Eine weitere Ergänzung zur ISO/IEC 27001 ist ein Reifegradmodel, das bei der Norm ISA/IEC 62443 Berücksichtigung findet. Es wird zwischen technischen / funktionalen Sicherheitsstufen („Security-Levels“) und dem Reifegrad der organisatorischen Prozesse einschließlich der Mitarbeiter („Maturity-Levels“) unterschieden. Die Sicherheitsstufen bewerten einzelne Systeme, Komponenten und Netze, wohingegen die Reifegradstufen die Professionalität der prozessualen und organisatorischen Maßnahmen (Polices) berücksichtigen. Diese Kombination der unterschiedlichen Ansichten ermöglicht den Aufbau eines, wie eingangs erwähnt, „defense-in-depth“-Sicherheitskonzepts.
Das Prinzip ist hier ein mehrschichtiges Sicherheitsnetz aus Maßnahmen, die im Falle eines Störfalls (Incidents) den Betrieb weiterhin sicherstellen. Durch die ganzheitliche Betrachtung und Erweiterung der Sicherheitsfunktionen ist der Ausfall einzelner Maßnahmen (oder Umgehung zum Beispiel  durch Angreifer) nicht unmittelbar kritisch für die Geschäftsabläufe. Besonders in industriellen Produktions- und kritischen Automatisierungsbereichen ist dieser Ansatz sehr sinnvoll. Das betrifft grundsätzlich alle Industriezweige und besonders Unternehmen, die seitens des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Betreiber einer kritischen Infrastruktur eingestuft werden.

Die Möglichkeit, Reifegrade einheitlich zu bewerten und zu vergleichen, ist in anderen Rahmenwerken eher eingeschränkt durchführbar. So legt ein Unternehmen zum Beispiel  bei einem ISMS gemäß ISO/IEC 27001 den eigenen Schutzbedarf (somit die Schutzziele) und die Wirksamkeitsmessung der Schutzmaßnahmen individuell selbst fest. Um in diesem Fall ein ISMS im Hinblick auf Umfang und Reifegrad objektiv bewerten zu können, ist die Bestätigung durch ein alleinstehendes ISO/IEC 27001 Zertifikat nicht ausreichend. Es sind tiefere Einblicke und Bewertungen notwendig, um bewerten zu können, ob alle Bereiche in dem zu bewertenden ISMS den Schutzanforderungen entsprechen.

Beispiel aus der Praxis:

Durch die Definition eines eingeschränkten oder verkleinerten Anwendungsbereichs für das ISMS (zum Beispiel nur für einzelne Unternehmensbereiche) kann eine Zertifizierung bereits mit begrenzten Ressourcen angestrebt werden.

Aus unserer Erfahrung heraus ist die Betrachtung eines ISMS aus der eigenen Unternehmenssicht stets sinnvoll (die eigenen „Kronjuwelen“ schützen). Die beschriebenen Instanzen im Maschinen- und Anlagenbau haben jedoch eine etwas abweichende Sichtweise mit anderen Schwerpunkten. So ist für sie der Schutz ihrer eigenen Komponenten ggf. vorranging. Als Grundlage für eine Geschäftsbeziehung fordern einige Hersteller insofern mittelweile eine Zertifizierung, um sicherzustellen, dass eigene Vorgaben umgesetzt und einhalten werden.

Ein bestehendes ISMS nach ISO/IEC 27001 kann (sofern vorhanden) hervorragend als Basis für die Maßnahmen der ISA/IEC 62443 dienen und nach Bedarf bzw. Anforderungen erweitert oder im Reifegrad gesteigert werden.

Im Rahmen unserer Projekte starten wir mit unterschiedlichsten technischen und prozeduralen Rahmenbedingungen in den Unternehmen und implementieren Managementsysteme bzw. auditieren diese auch im Hinblick auf ein anstehendes Zertifizierungsverfahren.


Ein Blick in die Zukunft

Der Schutzbedarf für Entwicklungs-, Produktionssteuerungs- und Logistikdaten wird angesichts der stetig wachsenden Bedrohungen im Cyber-Umfeld unumstritten steigen. Dies belegen zahlreiche Studien mit gemessenen Kennzahlen. Die Vergangenheit hat gezeigt, dass native ISO/IEC 27001 Zertifizierungen als gute Basis für aufbauende branchenspezifische Standards dienen können. Im Kern steht immer ein ISMS unter Berücksichtigung aller vorhandenen Anforderungen.

Mit der Norm ISA/IEC 62443 ist ein Rahmenwerk geschaffen, das im Interesse der Branche Schutzmaßnahmen einschließlich der implementierten Reifegrade klar beschreibt und mittels Zertifizierung offenlegen kann.

Es ist absehbar, dass Forderungen im Umfeld des Maschinen- und Anlagenbaus ansteigen werden. Dies ist im Kern zu begründen durch das Interesse, branchenspezifische Sicherheitsumgebungen zu schaffen, aber auch durch den Gesetzgeber im Hinblick auf das kommende „IT-Sicherheitsgesetz 2.0“. Aktuell noch in der Diskussion und Abstimmung sollen ab 2020 auch weitere Branchen im neuen Gesetz (in der Verantwortung des Bundesministeriums des Innern, für Bau und Heimat) als Unternehmen der kritischen Infrastruktur (KRITIS), einschließlich der entsprechenden gesamten Zuliefererkette, eingestuft werden.