{"id":21329,"date":"2022-06-23T11:21:00","date_gmt":"2022-06-23T09:21:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=21329"},"modified":"2022-06-14T09:30:10","modified_gmt":"2022-06-14T07:30:10","slug":"it-zertifikate-rund-um-das-iiot-wie-sie-mensch-und-lieferkette-schuetzen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=21329","title":{"rendered":"IT-Zertifikate rund um das IIoT: Wie sie Mensch und Lieferkette sch\u00fctzen"},"content":{"rendered":"\n

Autor\/Redakteur: Sudhir Ethiraj, Global Head of Cybersecurity Office (CSO) bei T\u00dcV S\u00dcD<\/a>\/gg<\/p>\n\n\n\n

Unternehmen, Mitarbeiter und Kunden sind in Gefahr, wenn die IT-Sicherheit im Internet der Dinge nicht widerstandsf\u00e4hig ist. Dieser Beitrag geht darauf ein, wie IT-Zertifikate die Arbeitssicherheit, Lieferkettensicherheit und Betriebssicherheit im Zusammenhang mit dem Industrial Internet-of-Things gew\u00e4hrleisten und wo noch Handlungsbedarf besteht.<\/p>\n\n\n\n

\"\"<\/a>
Bild: T\u00dcV S\u00dcD<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Cyberangriffe k\u00f6nnen dramatische Auswirkungen auf Unternehmen oder die Lieferketten haben. Sicherheitsl\u00fccken in der digitalen Welt k\u00f6nnen sich drastisch auf den Alltag auswirken und die Sicherheit der gesamten Bev\u00f6lkerung gef\u00e4hrden. Die Bedrohungslandschaft w\u00e4chst rasant und gerade die Betreiber der Kritischen Infrastrukturen (KRITIS) sind ein bevorzugtes Ziel von Hackern, weshalb Unternehmen im Ernstfall schnell agieren m\u00fcssen. Es kann f\u00fcr Tausende von Menschen oder f\u00fcr ganze Nationen zum Risiko werden, wenn die IT-Infrastruktur, die Kraftstoffversorgung oder gar die Gesundheitsversorgung betroffen sind.<\/p>\n\n\n\n

Durch das IIoT (Industrial Internet of Things) werden Produktionsdaten am Ort des Geschehens erhoben und analysiert, um Prozesse zu optimieren und damit die Gesch\u00e4ftsergebnisse zu steigern. Die Verbindung der IT des Unternehmens mit der OT (Operational Technology) stellt eine Schwachstelle f\u00fcr die Sicherheit des gesamten Unternehmens dar. In solchen vernetzten Industrieumgebungen ist die Verf\u00fcgbarkeit von Informationen \u00e4u\u00dferst wichtig. Denn wenn die Produktion beispielsweise durch einen Cyberangriff auf eines der industriellen Steuersysteme \u00fcber die IIoT-Komponente beeintr\u00e4chtigt wird, w\u00fcrde der Betriebsausfall die Unternehmen Millionen, wenn nicht sogar Milliarden kosten. Diese Angriffe k\u00f6nnen sehr oft auch lebensbedrohlich sein.\u00a0<\/p>\n\n\n\n

Wie die Angriffe gegen Florida Water Works oder Colonial Pipelines zeigen, ist es m\u00f6glich, dass unter solchen Schwachstellen die Kraftstoff- oder Trinkwasserversorgung leidet. Richtlinien und Sicherheitszertifizierungen minimieren solche Gefahren f\u00fcr Versorgungsketten drastisch und sch\u00fctzen damit nicht nur einzelne Unternehmen, sondern die nationale und internationale Sicherheit.<\/p>\n\n\n\n

Orientierung anhand bestehender Beispiele<\/strong><\/p>\n\n\n\n

Es existieren bereits einige freiwillige und bindende Zertifizierungen, die sowohl die Software als auch die Hardware betrachten, um das Risiko zu minimieren, dass das Netzwerk zwischen industriellen Anlagen und IT ein Einfallstor f\u00fcr Cyber-Angriffe ist. Es gibt nationale, europ\u00e4ische und internationale Bestrebungen, um Cybersecurity zu optimieren und zu vereinheitlichen.<\/p>\n\n\n\n

Ein Zertifizierung nach IEC 62443-4-1 best\u00e4tigt einen sicheren Entwicklungsprozess, in dem Cybersecurity durchg\u00e4ngig bereits bei der Entwicklung ber\u00fccksichtigt wird. Darauf aufbauend sind Komponentenzertifizierungen nach IEC 62443-4-2 m\u00f6glich. Neben Produktzertifizierungen sind auch System- und Prozesszertifizierungen f\u00fcr Lieferanten, Dienstleister und Integratoren nach anderen Abschnitten der IEC 62443 denkbar.<\/p>\n\n\n\n

Bei der Zertifizierung von IIoT-Systemen wird zudem stets doppelt verifiziert: Hardware und Software werden \u00fcberpr\u00fcft. Die Hardware wird auf Sicherheitsl\u00fccken untersucht und muss Penetrationstests standhalten, w\u00e4hrend bei der Software der Quellcode und die Entwicklungsprozesse unter die Lupe genommen werden.<\/p>\n\n\n\n\n\n\n\n

Rundum-Sicherheit in der Lieferkette & Internationale Standards<\/strong><\/p>\n\n\n\n

Die Lieferkettensicherheit spielt insbesondere bei der Softwarepr\u00fcfung eine Rolle. Alle m\u00f6glichen Risiken der Produktionskette m\u00fcssen analysiert werden, da nur so sichergestellt werden kann, dass die Anbieter zum Beispiel regelm\u00e4\u00dfige Aktualisierungen zur Verbesserung der Sicherheit bereitstellen und damit die Update-Routine reibungslos m\u00f6glich ist.<\/p>\n\n\n\n

Viele Experten verlangen seit einiger Zeit international einheitliche Standards f\u00fcr IT-Sicherheit, um die globalen Lieferketten abzusichern. Die Mitglieder der Charter of Trust<\/a>, einer Selbstorganisation der Wirtschaft, arbeiten bereits seit 2018 an angemessenen Regeln f\u00fcr die Cybersicherheit im vernetzten, globalen Leben. International verbindliche Regelwerke existieren allerdings nicht. Die USA und die EU haben eigene Standards f\u00fcr IT-Security etabliert.<\/p>\n\n\n\n

Die NIS-Richtlinie (EU 2016\/1148) wurde 2016 verabschiedet und ist die erste Rechtsvorschrift, die Standards im Bereich Cybersecurity vorgibt. Erg\u00e4nzt wird diese nun durch das neue EU-Cybersicherheitsgesetz zu IT-Verfahren, -Diensten und -Produkten. US-amerikanische Unternehmen orientieren sich wiederum an den Standards des National Institute of Standards and Technology (NIST). F\u00fcr verschiedene Bereiche und Hersteller gelten dabei unterschiedliche Zertifizierungen: NIST SP 800-53 dient als Steuerungskatalog f\u00fcr den CS-Bedarf des Bundes f\u00fcr das Internet of Things, w\u00e4hrend NISTIR 8228 die Standards f\u00fcr Cybersicherheits- und Datenschutzrisiken vorgibt. NISTIR 8259 wiederum betrifft IoT-Hersteller und SP 800-161 regelt Zertifizierungen f\u00fcr Risikomanagement innerhalb von Lieferketten.<\/p>\n\n\n\n

Ganzheitlicher Schutz im Fokus<\/strong><\/p>\n\n\n\n

Die Zertifizierungen der IT-Sicherheit sch\u00fctzen nicht nur Unternehmensdaten. Sie optimieren, insbesondere im Kontext von IIoT-Systemen, die Resilienz ganzer Versorgungskreisl\u00e4ufe und sch\u00fctzen Mitarbeiter, indem sie die Betriebssicherheit verbessern.<\/p>\n\n\n\n

Durch die Schnittstellen von IT und OT werden IT- und Arbeitssicherheit im industriellen Sektor zu einem komplexen, untrennbaren Geflecht. Eine \u00fcbergreifende Sicherheit l\u00e4sst sich am besten mit der Orientierung an den Normen IEC 62443 (Cybersecurity in der Industrieautomatisierung) und IEC 61508 (Funktionale Sicherheit von Steuerungssystemen) herstellen. Nur unter Ber\u00fccksichtigung beider Aspekte ist ein umfassendes Sicherheitskonzept realisierbar: Informationssicherheit ohne Betriebssicherheit bringt nichts, was auch umgekehrt gilt. Gehackte Endger\u00e4te, wie Lautsprecher mit integrierten KI-Systemen im Smart Home-Bereich, sind vergleichsweise harmlose Beispiele f\u00fcr die Gefahren im Zusammenhang mit IoT. Im industriellen IoT steht mehr auf dem Spiel. Der einzige Weg, dort gr\u00f6\u00dftm\u00f6gliche Sicherheit zu garantieren \u2013 f\u00fcr Unternehmen, ihre Mitarbeiter, Partner und Kunden \u2013 sind regelm\u00e4\u00dfige Risikobeurteilungen und Zertifizierungen von IT- und OT-Ausr\u00fcstung nach den aktuellen verf\u00fcgbaren Standards.<\/p>\n","protected":false},"excerpt":{"rendered":"

Unternehmen, Mitarbeiter und Kunden sind in Gefahr, wenn die IT-Sicherheit im Internet der Dinge nicht widerstandsf\u00e4hig ist. Dieser Beitrag geht darauf ein, wie IT-Zertifikate die Arbeitssicherheit, Lieferkettensicherheit und Betriebssicherheit im Zusammenhang mit dem Industrial Internet-of-Things gew\u00e4hrleisten und wo noch Handlungsbedarf besteht.<\/p>\n","protected":false},"author":81,"featured_media":21331,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,3831],"tags":[8728,5834,9825,16527,3351],"class_list":["post-21329","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-m2miot","tag-iiot","tag-kritis","tag-ot","tag-tuev-sued-2","tag-zertifikat"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21329","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=21329"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21329\/revisions"}],"predecessor-version":[{"id":21332,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21329\/revisions\/21332"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/21331"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=21329"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=21329"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=21329"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}