IT-Zertifikate rund um das IIoT: Wie sie Mensch und Lieferkette schützen

Autor/Redakteur: Sudhir Ethiraj, Global Head of Cybersecurity Office (CSO) bei TÜV SÜD/gg

Unternehmen, Mitarbeiter und Kunden sind in Gefahr, wenn die IT-Sicherheit im Internet der Dinge nicht widerstandsfähig ist. Dieser Beitrag geht darauf ein, wie IT-Zertifikate die Arbeitssicherheit, Lieferkettensicherheit und Betriebssicherheit im Zusammenhang mit dem Industrial Internet-of-Things gewährleisten und wo noch Handlungsbedarf besteht.

Bild: TÜV SÜD

Cyberangriffe können dramatische Auswirkungen auf Unternehmen oder die Lieferketten haben. Sicherheitslücken in der digitalen Welt können sich drastisch auf den Alltag auswirken und die Sicherheit der gesamten Bevölkerung gefährden. Die Bedrohungslandschaft wächst rasant und gerade die Betreiber der Kritischen Infrastrukturen (KRITIS) sind ein bevorzugtes Ziel von Hackern, weshalb Unternehmen im Ernstfall schnell agieren müssen. Es kann für Tausende von Menschen oder für ganze Nationen zum Risiko werden, wenn die IT-Infrastruktur, die Kraftstoffversorgung oder gar die Gesundheitsversorgung betroffen sind.

Durch das IIoT (Industrial Internet of Things) werden Produktionsdaten am Ort des Geschehens erhoben und analysiert, um Prozesse zu optimieren und damit die Geschäftsergebnisse zu steigern. Die Verbindung der IT des Unternehmens mit der OT (Operational Technology) stellt eine Schwachstelle für die Sicherheit des gesamten Unternehmens dar. In solchen vernetzten Industrieumgebungen ist die Verfügbarkeit von Informationen äußerst wichtig. Denn wenn die Produktion beispielsweise durch einen Cyberangriff auf eines der industriellen Steuersysteme über die IIoT-Komponente beeinträchtigt wird, würde der Betriebsausfall die Unternehmen Millionen, wenn nicht sogar Milliarden kosten. Diese Angriffe können sehr oft auch lebensbedrohlich sein. 

Wie die Angriffe gegen Florida Water Works oder Colonial Pipelines zeigen, ist es möglich, dass unter solchen Schwachstellen die Kraftstoff- oder Trinkwasserversorgung leidet. Richtlinien und Sicherheitszertifizierungen minimieren solche Gefahren für Versorgungsketten drastisch und schützen damit nicht nur einzelne Unternehmen, sondern die nationale und internationale Sicherheit.

Orientierung anhand bestehender Beispiele

Es existieren bereits einige freiwillige und bindende Zertifizierungen, die sowohl die Software als auch die Hardware betrachten, um das Risiko zu minimieren, dass das Netzwerk zwischen industriellen Anlagen und IT ein Einfallstor für Cyber-Angriffe ist. Es gibt nationale, europäische und internationale Bestrebungen, um Cybersecurity zu optimieren und zu vereinheitlichen.

Ein Zertifizierung nach IEC 62443-4-1 bestätigt einen sicheren Entwicklungsprozess, in dem Cybersecurity durchgängig bereits bei der Entwicklung berücksichtigt wird. Darauf aufbauend sind Komponentenzertifizierungen nach IEC 62443-4-2 möglich. Neben Produktzertifizierungen sind auch System- und Prozesszertifizierungen für Lieferanten, Dienstleister und Integratoren nach anderen Abschnitten der IEC 62443 denkbar.

Bei der Zertifizierung von IIoT-Systemen wird zudem stets doppelt verifiziert: Hardware und Software werden überprüft. Die Hardware wird auf Sicherheitslücken untersucht und muss Penetrationstests standhalten, während bei der Software der Quellcode und die Entwicklungsprozesse unter die Lupe genommen werden.