TOP
Cybersecurity wird zur Pflicht

Cybersecurity wird zur Pflicht

Bislang ist das Thema Cybersecurity hinsichtlich vernetzter Maschinen und Anlagen – bis auf eine überschaubare Anzahl sehr spezieller Anwendungsbereiche – für viele Organisationen von relativ geringer Bedeutung. Das wird sich aber durch aktuelle Gesetzgebungsverfahren für praktisch alle Anbieter und sehr viele Betreiber ändern.

Verschiedene EU-Regularien, die überwiegend in 2022 auf den Weg gebracht wurden und nun nach und nach in den Mitgliedsländern in nationales Recht umgesetzt werden, verschaffen der Cybersecurity auch für vernetzte Maschinen und Anlagen eine völlig neue Bedeutung.

Dazu zählen die EU-NIS-2-Direktive zur Netzwerk- und Informationssicherheit (EU-Richtlinie 2022/2555) zusammen mit der Resilienz-Richtlinie 2022/2557, die EU-Maschinenverordnung 2023/1230 sowie die Entwürfe zum EU-Cyber Resilience Act (CRA). Aber auch der EU-Kommissionsentwurf für ein neues Produkthaftungsrecht gehört dazu (siehe den Vorschlag für eine Richtlinie über die Haftung für fehlerhafte Produkte, also das ProdHaftRL-E aus Dezember 2022). Dadurch wird beispielsweise Software zum Produkt.

Auch Software ist ein Produkt

Das dürfte einige gravierende Veränderungen für die vernetzten Steuerungen von Maschinen und Anlagen zur Folge haben. Aber auch KI-Implementierungen und 3D-CAD-Daten werden zukünftig in die Produkthaftung einbezogen. Man könnte auch noch auf den Entwurf der KI-Haftungsrichtlinie (KI-HaftRL-E) oder das neue Funkanlagenrecht (EU-Verordnung 2022/30) verweisen. Schließlich sind Maschinen mit Bluetooth, WLAN, 4G oder 5G hinsichtlich der Cybersecurity auch von diesem EU-Regelwerk betroffen.

Wer ist betroffen?

Wie lässt sich der auf den ersten Blick beeindruckenden Verordnungsflut begegnen? Zunächst empfiehlt es sich, durch ein systematisches Vorgehen zu prüfen, inwieweit man durch die jeweilige Verordnung betroffen ist und ab wann das Regelwerk gilt. Die neue Maschinenverordnung beispielsweise ist zwar im Juli 2023 formal in Kraft getreten.

Sie ist aber erst nach einer dreieinhalbjährigen Übergangszeit verbindlich anzuwenden.

Beim CRA existiert ein Entwurf aus September 2022. Er ist sehr weitreichend und betrifft praktisch alle Produkte mit digitalen Elementen, also auch die gesamte Consumer-Elektronik. Wann und wie der CRA umgesetzt wird, ist aber noch nicht vollständig geklärt. Sehr ähnlich sieht es beim ProdHaftRL-E aus. Hier gibt es wohl auch noch größeren Diskussionsbedarf, etwa über die Schnittmengen zur EU-KI-Verordnung, den Umgang mit Beweismitteln, Sammelklagenaspekte durch den Wegfall des 500-Euro-Selbstbehaltes und einiges mehr.

Die EU-NIS-2-Direktive

Stand heute sollten sich Managementverantwortliche zuerst mit der NIS-2-Direktive eingehender befassen. Sie richtet sich an die "wesentlichen" und "wichtigen" Betreiber von Netzwerken und IT-Systemen in bestimmten Bereichen. Diese Vorgabe wird im Oktober 2024 EU-weit gesetzlich verpflichtend und gilt nicht nur für die IT, sondern auch für die vernetzten Maschinen und Anlagen (also die sog. "Operation Technology"). Der entsprechende Referentenentwurf aus dem Bundesinnenministerium zur NIS-2-Umsetzung existiert unter dem Namen "NIS2UmsuCG" seit Juli 2023 auch schon.

Hier sind nicht nur die Regeln einiger seit vielen Jahren existierender EU-Rechtsvorschriften – also die NIS-1-Richtlinie 2016/1148 sowie die 910/2014 und 2018/1972 – überarbeitet, sondern auch erhebliche Strafzahlungen für Gesetzesverstöße spezifiziert – ähnlich zur Datenschutzgrundverordnung, allerdings mit einer deutlichen Ausweitung der privaten Managerhaftung.

Gleichzeitig wurde auch der Anwendungsbereich betroffener Organisationen deutlich ausgedehnt. NIS-1 umfasst praktisch nur die "Sektoren mit hoher Kritikalität", also im Wesentlichen die kritische Infrastruktur.

Durch die neue NIS-2-Richtlinie werden nun z.B. auch die Hersteller von elektrischer Ausrüstung und Geräten, Maschinen und PKWs ab einer gewissen Betriebsgröße (50+ Mitarbeiter und/oder 10+ Mio. Euro Umsatz) einbezogen. Sie werden in der Richtlinie als "sonstige kritische Sektoren" bezeichnet.

Schätzungen gehen davon aus, dass im Vergleich zu NIS-1 allein in Deutschland rund 29.000 Unternehmen zusätzlich unter die neuen gesetzlichen Vorgaben zur Netzwerk- und Informationssicherheit fallen. Der Großteil der neu Betroffenen weiß vermutlich bisher noch nicht, dass die NIS-2-Vorgaben auf sie zutrifft.

WEBINAR

Sichere OT/IT-Vernetzung per IEC 62443 und NIS-2

Der Schutz gegen Cyberangriffe im Umfeld vernetzter Maschinen und Anlagen ist besonders an den Verbindungspunkten zwischen IT- und OT-Netzwerken eine anspruchsvolle Herausforderung. Hier liegt der Schwerpunkt unseres Webinars, in dem wir folgende Fragestellungen aufgreifen:

  • Wie sollte eine sichere OT/IT-Vernetzung aussehen?
  • Welche Rolle spielen dabei Normen und Verordnungen (z. B. IEC 62443, NIS-2)?
  • Wie sieht die Vorgehensweise für eine sichere OT/IT-Vernetzung aus?
  • Warum sind 5G-Campusnetzwerke aus Sicht der Cybersecurity nicht ungefährlich?

TERMIN

Donnerstag, 12. Oktober 2023
10:00 - 11:00 Uhr

Die Teilnahme ist kostenlos.

 

Jetzt anmelden!

Welche Anforderungen müssen erfüllt werden?

Die deutschsprachige Übersetzung der NIS-2-EU-Verordnung besteht aus 46 Artikeln und umfasst insgesamt 73 Seiten (aus Sicht der betroffenen Organisationen sind die Artikel 21 und 23 von besonderer Bedeutung; siehe Webtipp). Tabelle 1 liefert eine Übersicht der zu erfüllenden NIS-2-Mindestanforderungen für ein einheitliches Cybersicherheitsniveau.

Damit will die EU erreichen, dass wesentliche und wichtige Einrichtungen (essential and important entities) mit technischen und organisatorischen Maßnahmen einen sicheren Betrieb ihrer operativ erforderlichen Netzwerk- und Informationssysteme gewährleisten.

Die Verordnung fordert des Weiteren geeignete Aktivitäten, um die Auswirkungen von Sicherheitsvorfällen in den betroffenen Organisationen möglichst gering zu halten und die Nutzer der Dienstleistungen und Produkte einer unter NIS-2 fallenden Einrichtung entsprechend zu unterstützen.

Zusammen mit den Registrierungs- und Meldepflichten des Artikel 23 wirken die Anforderungen auf den ersten Blick in Bezug auf lokale Netzwerke und IT-Systeme insgesamt umsetzbar.

ANFORDERUNG KURZBESCHREIBUNG
Strategien zur Risikoanalyse Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme.
Umgang mit Sicherheitsvorfällen Bewältigung von Sicherheitsvorfällen (Incident Handling).
Operative Kontinuität Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall sowie ein geeignetes Krisenmanagement.
Lieferkettensicherheit Sicherheit der Lieferkette einschlie├člich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
Allgemeine Betriebsrichtlinien Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen.
Bewertungs- und Messsystem Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit.
Kontextbezogene Mitarbeiterschulung Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit.
Kryptographierichtlinien Konzepte und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung.
Personal- und Anlagensicherheit Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Anlagenmanagement.
Richtlinien zur Authentifizierung und sicheren Kommunikation Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Tabelle 1: Übersicht der erforderlichen Mindestmaßnahmen gemäß Artikel 21 des EU-Amtsblatt 2022/2555, um die Netzwerk- und Informationssysteme sowie die physische Umwelt der betroffenen Systeme vor Sicherheitsvorfällen zu schützen. Die Maßnahmen müssen darüber hinaus auf einem gefahrenübergreifenden Ansatz beruhen.

Nicht nur IT, sondern auch OT!

Durch die Forderung der "Operativen Kontinuität" in der Tabelle 1 wird allerdings deutlich, dass sich die NIS-2-Vorgaben nicht nur auf die Unternehmens-IT beziehen, sondern auch auf die vernetzten Maschinen und Anlagen in der Produktion, ja sogar auf den einzelnen Schaltschrank mit einem Profinet- oder TSN-basierten Netzwerk zur Steuerung einer Maschine sowie auf das Modbus-Netzwerk für das Gebäudemanagement.

Im Grunde betrifft die Verordnung also auch alles, was man mittlerweile unter dem Oberbegriff "Operation Technology" (OT) zusammenfasst.

Hier wird es dann schon wesentlich anspruchsvoller, da OT-Technik häufig als "Black Box" betrieben wird.

Anwendungsbeispiel EMS

Die Abbildung 1 zeigt die groben Zusammenhänge für die Prozesse eines EMS-Dienstleisters (EMS = Electronic Manufacturing Service) mit Firmensitz innerhalb der EU in der Rolle als Maschinen- und Anlagenbetreiber:
Die Kunden des EMS-Dienstleisters entwickeln mit Hilfe Ihrer CAD-Systeme elektronische Baugruppen und laden die CAD-Daten einer Baugruppe (das Produkt X) in eine Cloud des EMS-Dienstleisters.

Diese Daten durchlaufen anschließend verschiedene Instanzen an unterschiedlichen Orten. Dabei werden auch externe Teilfertigungsprozesse angestoßen: die Gerber-Daten der Leiterplatte aus den CAD-Daten des Produkts X gehen z.B. nach China, um dort die Rohlinge anfertigen zu lassen; die Firmware-Binärdateien gehen an einen Chip-Programmier-Dienstleister, der die Firmware in Flash-Speicherchips programmiert.

Am Ende des gesamten Fertigungsprozesses wird vom EMS-Dienstleister eine vollständig bestückte und getestete Baugruppe an den Kunden ausgeliefert.

Aus Sicht der Cybersecurity könnte man nun z.B. fragen:

Wie stellt der EMS-Dienstleister sicher, dass im Endprodukt kein Datenintegritätsfehler enthalten ist?

Abbildung 1: Anwendungsbeispiel EMS

OT/IT Cybersecurity Management Process

Um NIS-2 in der Praxis umzusetzen, wird eine sowohl IT als auch OT umfassende Cybersecurity-Strategie benötigt. In Bezug auf die OT/IT-Verbindungen kann man sich diese Strategie als eine vierstufige Handlungsschleife vorstellen. Die vier elementaren Bausteine für einen solchen Cybersecurity-Management-Prozess wären beispielsweise:

  • CHECK: Cyber-Bedrohungsanalyse für die eigene Organisation bzw. die vorhandene IT- und OT-Infrastruktur.
  • MEASURE: Bewertung des Reifegrads der existierenden Sicherheitsmaßnahmen.
  • PLAN: Erstellen einer Beschreibung bzw. eines Plans, was sich an den bestehenden Sicherheitsmaßnahmen verbessern lässt.
  • DO & DOCUMENT: Umsetzung der Maßnahmen aus dem Plan (Do) sowie die Dokumentation, aus der jeweils der aktuelle Stand der Cybersecurity-Strategie hervorgeht (Document).

Eine solche "Check-Measure-Plan-Do and Document-Loop", wird – ähnlich wie ein ISO 9001:2015-basiertes Qualitätsmanagementsystem – immer wieder durchlaufen, um die NIS-2-Pflichten zu erfüllen sowie die Cybersecurity und Cyber-Resilienz schrittweise zu verbessern und das auch nachweisen zu können.

Wichtig ist, dass jeder einzelne Datenfluss zwischen allen OT- und IT-Anwendungen vollständig transparent erfasst und mit allen Schnittstellen in einem Datenflussdiagramm visualisiert wird, um weitere Analysen zu ermöglichen.

Wir haben eine Vorlage (Template) für eine solche Cybersecurity-Strategie entwickelt, die wir in unseren Projekten anwenden und die wir jeweils an die individuellen Kundenanforderungen angepassen.

Abbildung 2: OT/IT Cybersecurity Management Process

Es reicht allerdings nicht aus, einen OT/IT-Integrationspunkt nur gegen Zugriffs-basierte Angriffsarten (siehe Tabelle 2) zu schützen:

ANGRIFFSARTEN BESCHREIBUNG
DoS Ein Denial-of-Service (DoS)-Angriff zielt darauf ab, ein Netzwerk oder eine Ressource zu blockieren, indem ein Ziel mit künstlichem Datenverkehr überflutet wird. Dadurch wird die normale Nutzung des angegriffenen Dienstes eingeschränkt oder sogar auf Grund der Überlast völlig unmöglich.
DDoS Verteilter Denial-of-Service-Angriffe (DDoS). Wird von mehreren Agenten gleichzeitig gegen ein einziges Opfer durchgeführt. Im Wesentlichen erzeugen alle angreifenden Agenten gemeinsam sehr viele Datenpakete in Richtung des Opfers, um es mit Protokoll-spezifischen Anfragen zu überhäufen und so die Ressourcen des Opfers zu überlasten.
Brute Force Ein Brute-Force-Angriff ist ein Versuch, um einen bestimmten Passwortschutz bzw. einen Benutzernamen zu knacken, eine versteckte Website, andere Dienste oder einen kryptografischen Schlüssel zu finden.
XSS Cross-Site-Scripting (XSS) ist ein Angriff auf bestimmte Webanwendungen. XSS-Angriffe ermöglichen es Angreifern, clientseitige Skripte in Webseiten einzuschleusen, die dann von anderen Benutzern aufgerufen werden.
SQL Injection SQL-Injection ist ein Angriff auf SQL-Datenbanken. Der Angreifer kann dabei Datenbankbefehle einspeisen, Daten lesen, löschen und verändern oder die gesamte Datenbank zerstören.

Tabelle 2: Zugriffs-basierte Angriffsarten

NIS-2 fordert im Artikel 21 nämlich auch explizit Maßnahmen zur Personal- und Anlagensicherheit.

Dazu gehören auch Zutrittskontrollsysteme und eine Umgebungsüberwachung.

Cyberangriffe sind außerdem durch gezielte Manipulationen der Umgebungsbedingungen über eine größere Entfernung möglich. Nutzt eine Anlage beispielweise Funkkommunikation, so kann eine gezielte Störung der jeweiligen Frequenzbänder erhebliche Schäden verursachen.

OT Security Tipp #1: Unidirektionales Gateway

Abbildung 3: Unidirektionales OT/IT-Gateway

  • Physikalische und logische OT/IT-Segmentierung mit spezieller Gateway-Funktion
  • Anpassung an den Anwendungsfall bzw. die Sicherheitsanforderungen
  • Unidirektionaler Datenfluss vom OT Netz in das IT Netzwerk
  • Keine offenen TCP/UDP Ports vom IT Netz in das OT Netzwerk
  • Der gesamte eingehende ARP/ICMP Verkehr wird blockiert
  • Sensoroption zur Erkennung von Eindringlingen aus der IT Richtung
  • Option zur Erkennung von abnormalem Datenverkehr im OT Netzwerk
  • Schnittstellen für externe Sensoren, z.B. Sabotageerkennung, Schaltschranktür offen

Sie haben Fragen?

Gerne besprechen wir mit Ihnen, wie Sie Ihre vernetzten Maschinen und Anlagen gesetzeskonform und sicher in die Zukunft bringen!

 

Kontakt aufnehmen!

SSV Software Systems GmbH

Dünenweg 5
30419 Hannover

Fon: +49(0)511 · 40 000-0
Fax: +49(0)511 · 40 000-40

sales@ssv-embedded.de


Impressum    ·    Datenschutz    ·    AGB

© 2023 SSV SOFTWARE SYSTEMS GmbH. Alle Rechte vorbehalten.

ISO 9001:2015