Cybersecurity erfordert mehr Taten, nicht mehr Regulierung
NAMUR Kolumne CHEManager 6/2022
Kürzlich erläuterte der ehemalige NATO-General Koen Gijsbers anhand einer Reihe von Beispielen, dass Cyberangriffe ein etabliertes Mittel in Konflikten zwischen Nationen sind. Während im Zusammenhang mit dem aktuellen russisch-ukrainischen Krieg eine deutliche Zunahme von Cyber-Attacken erwartet, diese jedoch bislang nicht beobachtet wurde, steht fest: Das nächste große Cyber-Ereignis wird kommen. Weiterhin bleiben der „gelangweilte Teenager“ oder der professionelle Cyberkriminelle eine ständige Bedrohung auch für jedes Unternehmen der Prozessindustrie.
Gesetze, Verordnungen, Dokumente
Dies beunruhigt auch die öffentlichen Regulierungsbehörden: infolgedessen sehen wir eine wachsende Zahl von Gesetzen, Verordnungen und zusätzlichen Dokumenten, die alle darauf abzielen, ein Problem zu lösen, an dessen Lösung die Prozessindustrie selbst ein großes Interesse hat. In Deutschland beispielsweise werden Anlagen, die unter die Seveso-Richtlinie der EU („Störfallbetriebe“) fallen, durch das BImSchG und die entsprechende Störfallverordnung geregelt, die in den Zuständigkeitsbereich des Bundesministeriums für Umwelt fallen. Dessen Kommission für Anlagensicherheit hat einen Leitfaden „Maßnahmen gegen Eingriffe Unbefugter“ herausgegeben, einschließlich eines Anhangs mit IT-Sicherheitsanforderungen. Im föderalen System Deutschlands müssen die Länder dies umsetzen, was NRW dazu veranlasst hat, einen sehr detaillierten Anforderungskatalog zu erstellen, der im Rahmen von Standortbesuchen und Genehmigungsverfahren herangezogen wird.
Andere Bundesländer können sich daran orientieren oder eigene Listen und Anforderungen erstellen. Parallel dazu wurde unter Federführung des Bundesinnenministeriums das IT-Sicherheitsgesetz überarbeitet und 2021 als „ITSiG2.0“ veröffentlicht, dessen Anwendungsbereich deutlich erweitert wurde und nun auch z.B. Anlagen einschließt, die unter die Störfallverordnung fallen. Schließlich ist aus Sicht des Arbeitsschutzes - anderes Bundesministerium - eine Technische Regel Betriebssicherheit für Cybersicherheit in Vorbereitung. Es ist unnötig zu erwähnen, dass auf internationaler Ebene bereits Standards entwickelt wurden, die gut akzeptiert sind und seit einiger Zeit die Grundlage für die Implementierung und Systementwicklung bilden, wie z. B. IEC62443 und andere.
Gebündelte Kompetenz
Erfreulicherweise bündeln das Bundesamt für Sicherheit in der Informationstechnik, der TÜV-Verband, Fachbehörden der Länder, die NAMUR und der VCI ihre Kompetenzen in einem Kompendium, das technische Hinweise und einen risikobasierten Ansatz zur Sicherung von Industrieanlagen bieten soll. Anstatt weitere Dokumente zu erstellen, möchten wir einen anderen Ansatz vorstellen, den eines der NAMUR-Mitgliedsunternehmen vor kurzem verfolgt hat: die Teilnahme an einer Table-Top-Übung in den USA namens Cyberstorm, die von der Cybersecurity and Infrastructure Security Agency unter der Leitung des Department of Homeland Security gesponsert wird. Die Planung und Durchführung dieser Übung findet seit 2006 alle zwei Jahre statt. Das für Cyberstorm ausgewählte Angriffsszenario unterscheidet sich von Übung zu Übung und baut auf den Erfahrungen aus früheren Cyberstorm-Übungen auf. Bei dem jüngsten Cyberstorm basierte der Angriff auf einer neuen, unentdeckten Version von Ransomware.
Repräsentative Unternehmen aus vielen verschiedenen kritischen US-Wirtschaftszweigen werden im Rahmen von Cyberstorm mit wichtigen Regierungsbehörden zusammengebracht, um ein simuliertes Angriffsszenario durchzuspielen. Eines der Primärziele dieser Übung ist es, zu verstehen, wie ein groß angelegter Cyberangriff auf zahlreiche Organisationen erfolgen könnte und wie diese durch einen solchen Angriff beeinträchtigt werden könnten. Die Übung ermöglicht es den Teilnehmern, ihre Reaktionsfähigkeit ohne die Folgen eines realen Ereignisses zu testen, und soll aufzeigen, wo Lücken und Schwachstellen in der operativen Sicherheit und in den Cyber-Reaktionsplänen der teilnehmenden Organisationen bestehen.
Zu dieser Übung gehört auch eine „simulierte“ Social-Media-Umgebung, die die Kommunikation zwischen den teilnehmenden Organisationen/ Unternehmen und an der Übung beteiligten Regierungsbehörden fördern und unterstützen soll, und natürlich eine anschließende Auswertung.
Unterm Strich bleibt: wir brauchen die richtige Balance aus rahmengebenden Vorschriften und praktischer Erfahrung und Austausch, möglichst in einer gesicherten Umgebung. Gerade bei Erfahrung und Austausch unterstützt NAMUR aktiv.
Downloads
Kontakt
NAMUR - Interessengemeinschaft Automatisierungstechnik der Prozessindustrie e.V.
c/o Bayer AG
51368 Leverkusen
Deutschland
+49 214 30 71034
+49 214 30 96 71034