Kontakt · Newsletter · ENGLISH
Verschiedene EU-Regularien, die überwiegend in 2022 auf den Weg gebracht wurden und nun nach und nach in den Mitgliedsländern in nationales Recht umgesetzt werden, verschaffen der Cybersecurity auch für vernetzte Maschinen und Anlagen eine völlig neue Bedeutung.
Dazu zählen die EU-NIS-2-Direktive zur Netzwerk- und Informationssicherheit (EU-Richtlinie 2022/2555) zusammen mit der Resilienz-Richtlinie 2022/2557, die EU-Maschinenverordnung 2023/1230 sowie die Entwürfe zum EU-Cyber Resilience Act (CRA). Aber auch der EU-Kommissionsentwurf für ein neues Produkthaftungsrecht gehört dazu (siehe den Vorschlag für eine Richtlinie über die Haftung für fehlerhafte Produkte, also das ProdHaftRL-E aus Dezember 2022). Dadurch wird beispielsweise Software zum Produkt.
Das dürfte einige gravierende Veränderungen für die vernetzten Steuerungen von Maschinen und Anlagen zur Folge haben. Aber auch KI-Implementierungen und 3D-CAD-Daten werden zukünftig in die Produkthaftung einbezogen. Man könnte auch noch auf den Entwurf der KI-Haftungsrichtlinie (KI-HaftRL-E) oder das neue Funkanlagenrecht (EU-Verordnung 2022/30) verweisen. Schließlich sind Maschinen mit Bluetooth, WLAN, 4G oder 5G hinsichtlich der Cybersecurity auch von diesem EU-Regelwerk betroffen.
Wie lässt sich der auf den ersten Blick beeindruckenden Verordnungsflut begegnen? Zunächst empfiehlt es sich, durch ein systematisches Vorgehen zu prüfen, inwieweit man durch die jeweilige Verordnung betroffen ist und ab wann das Regelwerk gilt. Die neue Maschinenverordnung beispielsweise ist zwar im Juli 2023 formal in Kraft getreten.
Sie ist aber erst nach einer dreieinhalbjährigen Übergangszeit verbindlich anzuwenden.
Beim CRA existiert ein Entwurf aus September 2022. Er ist sehr weitreichend und betrifft praktisch alle Produkte mit digitalen Elementen, also auch die gesamte Consumer-Elektronik. Wann und wie der CRA umgesetzt wird, ist aber noch nicht vollständig geklärt. Sehr ähnlich sieht es beim ProdHaftRL-E aus. Hier gibt es wohl auch noch größeren Diskussionsbedarf, etwa über die Schnittmengen zur EU-KI-Verordnung, den Umgang mit Beweismitteln, Sammelklagenaspekte durch den Wegfall des 500-Euro-Selbstbehaltes und einiges mehr.
Stand heute sollten sich Managementverantwortliche zuerst mit der NIS-2-Direktive eingehender befassen. Sie richtet sich an die "wesentlichen" und "wichtigen" Betreiber von Netzwerken und IT-Systemen in bestimmten Bereichen. Diese Vorgabe wird im Oktober 2024 EU-weit gesetzlich verpflichtend und gilt nicht nur für die IT, sondern auch für die vernetzten Maschinen und Anlagen (also die sog. "Operation Technology"). Der entsprechende Referentenentwurf aus dem Bundesinnenministerium zur NIS-2-Umsetzung existiert unter dem Namen "NIS2UmsuCG" seit Juli 2023 auch schon.
Hier sind nicht nur die Regeln einiger seit vielen Jahren existierender EU-Rechtsvorschriften – also die NIS-1-Richtlinie 2016/1148 sowie die 910/2014 und 2018/1972 – überarbeitet, sondern auch erhebliche Strafzahlungen für Gesetzesverstöße spezifiziert – ähnlich zur Datenschutzgrundverordnung, allerdings mit einer deutlichen Ausweitung der privaten Managerhaftung.
Gleichzeitig wurde auch der Anwendungsbereich betroffener Organisationen deutlich ausgedehnt. NIS-1 umfasst praktisch nur die "Sektoren mit hoher Kritikalität", also im Wesentlichen die kritische Infrastruktur.
Durch die neue NIS-2-Richtlinie werden nun z.B. auch die Hersteller von elektrischer Ausrüstung und Geräten, Maschinen und PKWs ab einer gewissen Betriebsgröße (50+ Mitarbeiter und/oder 10+ Mio. Euro Umsatz) einbezogen. Sie werden in der Richtlinie als "sonstige kritische Sektoren" bezeichnet.
Schätzungen gehen davon aus, dass im Vergleich zu NIS-1 allein in Deutschland rund 29.000 Unternehmen zusätzlich unter die neuen gesetzlichen Vorgaben zur Netzwerk- und Informationssicherheit fallen. Der Großteil der neu Betroffenen weiß vermutlich bisher noch nicht, dass die NIS-2-Vorgaben auf sie zutrifft.
Der Schutz gegen Cyberangriffe im Umfeld vernetzter Maschinen und Anlagen ist besonders an den Verbindungspunkten zwischen IT- und OT-Netzwerken eine anspruchsvolle Herausforderung. Hier liegt der Schwerpunkt unseres Webinars, in dem wir u.a. folgende Fragen behandeln:
Selbstverständlich beantworten wir auch gerne Ihre individuellen Fragen!
Schlagen Sie uns einen Termin vor und wir setzen uns mit Ihnen Verbindung.
(Dauer des Webinars ca. 60 Minuten, Teilnahme kostenlos)
Die deutschsprachige Übersetzung der NIS-2-EU-Verordnung besteht aus 46 Artikeln und umfasst insgesamt 73 Seiten (aus Sicht der betroffenen Organisationen sind die Artikel 21 und 23 von besonderer Bedeutung; siehe Webtipp). Tabelle 1 liefert eine Übersicht der zu erfüllenden NIS-2-Mindestanforderungen für ein einheitliches Cybersicherheitsniveau.
Damit will die EU erreichen, dass wesentliche und wichtige Einrichtungen (essential and important entities) mit technischen und organisatorischen Maßnahmen einen sicheren Betrieb ihrer operativ erforderlichen Netzwerk- und Informationssysteme gewährleisten.
Die Verordnung fordert des Weiteren geeignete Aktivitäten, um die Auswirkungen von Sicherheitsvorfällen in den betroffenen Organisationen möglichst gering zu halten und die Nutzer der Dienstleistungen und Produkte einer unter NIS-2 fallenden Einrichtung entsprechend zu unterstützen.
Zusammen mit den Registrierungs- und Meldepflichten des Artikel 23 wirken die Anforderungen auf den ersten Blick in Bezug auf lokale Netzwerke und IT-Systeme insgesamt umsetzbar.
| ANFORDERUNG | KURZBESCHREIBUNG |
|---|---|
| Strategien zur Risikoanalyse | Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme. |
| Umgang mit Sicherheitsvorfällen | Bewältigung von Sicherheitsvorfällen (Incident Handling). |
| Operative Kontinuität | Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall sowie ein geeignetes Krisenmanagement. |
| Lieferkettensicherheit | Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern. |
| Allgemeine Betriebsrichtlinien | Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen. |
| Bewertungs- und Messsystem | Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit. |
| Kontextbezogene Mitarbeiterschulung | Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit. |
| Kryptographierichtlinien | Konzepte und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung. |
| Personal- und Anlagensicherheit | Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Anlagenmanagement. |
| Richtlinien zur Authentifizierung und sicheren Kommunikation | Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung. |
Tabelle 1: Übersicht der erforderlichen Mindestmaßnahmen gemäß Artikel 21 des EU-Amtsblatt 2022/2555, um die Netzwerk- und Informationssysteme sowie die physische Umwelt der betroffenen Systeme vor Sicherheitsvorfällen zu schützen. Die Maßnahmen müssen darüber hinaus auf einem gefahrenübergreifenden Ansatz beruhen.
Durch die Forderung der "Operativen Kontinuität" in der Tabelle 1 wird allerdings deutlich, dass sich die NIS-2-Vorgaben nicht nur auf die Unternehmens-IT beziehen, sondern auch auf die vernetzten Maschinen und Anlagen in der Produktion, ja sogar auf den einzelnen Schaltschrank mit einem Profinet- oder TSN-basierten Netzwerk zur Steuerung einer Maschine sowie auf das Modbus-Netzwerk für das Gebäudemanagement.
Im Grunde betrifft die Verordnung also auch alles, was man mittlerweile unter dem Oberbegriff "Operation Technology" (OT) zusammenfasst.
Hier wird es dann schon wesentlich anspruchsvoller, da OT-Technik häufig als "Black Box" betrieben wird.
Die Abbildung 1 zeigt die groben Zusammenhänge für die Prozesse eines EMS-Dienstleisters (EMS = Electronic Manufacturing Service) mit Firmensitz innerhalb der EU in der Rolle als Maschinen- und Anlagenbetreiber:
Die Kunden des EMS-Dienstleisters entwickeln mit Hilfe Ihrer CAD-Systeme elektronische Baugruppen und laden die CAD-Daten einer Baugruppe (das Produkt X) in eine Cloud des EMS-Dienstleisters.
Diese Daten durchlaufen anschließend verschiedene Instanzen an unterschiedlichen Orten. Dabei werden auch externe Teilfertigungsprozesse angestoßen: die Gerber-Daten der Leiterplatte aus den CAD-Daten des Produkts X gehen z.B. nach China, um dort die Rohlinge anfertigen zu lassen; die Firmware-Binärdateien gehen an einen Chip-Programmier-Dienstleister, der die Firmware in Flash-Speicherchips programmiert.
Am Ende des gesamten Fertigungsprozesses wird vom EMS-Dienstleister eine vollständig bestückte und getestete Baugruppe an den Kunden ausgeliefert.
Aus Sicht der Cybersecurity könnte man nun z.B. fragen:
Wie stellt der EMS-Dienstleister sicher, dass im Endprodukt kein Datenintegritätsfehler enthalten ist?
Abbildung 1: Anwendungsbeispiel EMS
Um NIS-2 in der Praxis umzusetzen, wird eine sowohl IT als auch OT umfassende Cybersecurity-Strategie benötigt. In Bezug auf die OT/IT-Verbindungen kann man sich diese Strategie als eine vierstufige Handlungsschleife vorstellen. Die vier elementaren Bausteine für einen solchen Cybersecurity-Management-Prozess wären beispielsweise:
Eine solche "Check-Measure-Plan-Do and Document-Loop", wird – ähnlich wie ein ISO 9001:2015-basiertes Qualitätsmanagementsystem – immer wieder durchlaufen, um die NIS-2-Pflichten zu erfüllen sowie die Cybersecurity und Cyber-Resilienz schrittweise zu verbessern und das auch nachweisen zu können.
Wichtig ist, dass jeder einzelne Datenfluss zwischen allen OT- und IT-Anwendungen vollständig transparent erfasst und mit allen Schnittstellen in einem Datenflussdiagramm visualisiert wird, um weitere Analysen zu ermöglichen.
Wir haben eine Vorlage (Template) für eine solche Cybersecurity-Strategie entwickelt, die wir in unseren Projekten anwenden und die wir jeweils an die individuellen Kundenanforderungen angepassen.
Abbildung 2: OT/IT Cybersecurity Management Process
Es reicht allerdings nicht aus, einen OT/IT-Integrationspunkt nur gegen Zugriffs-basierte Angriffsarten (siehe Tabelle 2) zu schützen:
| ANGRIFFSARTEN | BESCHREIBUNG |
|---|---|
| DoS | Ein Denial-of-Service (DoS)-Angriff zielt darauf ab, ein Netzwerk oder eine Ressource zu blockieren, indem ein Ziel mit künstlichem Datenverkehr überflutet wird. Dadurch wird die normale Nutzung des angegriffenen Dienstes eingeschränkt oder sogar auf Grund der Überlast völlig unmöglich. |
| DDoS | Verteilter Denial-of-Service-Angriffe (DDoS). Wird von mehreren Agenten gleichzeitig gegen ein einziges Opfer durchgeführt. Im Wesentlichen erzeugen alle angreifenden Agenten gemeinsam sehr viele Datenpakete in Richtung des Opfers, um es mit Protokoll-spezifischen Anfragen zu überhäufen und so die Ressourcen des Opfers zu überlasten. |
| Brute Force | Ein Brute-Force-Angriff ist ein Versuch, um einen bestimmten Passwortschutz bzw. einen Benutzernamen zu knacken, eine versteckte Website, andere Dienste oder einen kryptografischen Schlüssel zu finden. |
| XSS | Cross-Site-Scripting (XSS) ist ein Angriff auf bestimmte Webanwendungen. XSS-Angriffe ermöglichen es Angreifern, clientseitige Skripte in Webseiten einzuschleusen, die dann von anderen Benutzern aufgerufen werden. |
| SQL Injection | SQL-Injection ist ein Angriff auf SQL-Datenbanken. Der Angreifer kann dabei Datenbankbefehle einspeisen, Daten lesen, löschen und verändern oder die gesamte Datenbank zerstören. |
Tabelle 2: Zugriffs-basierte Angriffsarten
NIS-2 fordert im Artikel 21 nämlich auch explizit Maßnahmen zur Personal- und Anlagensicherheit.
Dazu gehören auch Zutrittskontrollsysteme und eine Umgebungsüberwachung.
Cyberangriffe sind außerdem durch gezielte Manipulationen der Umgebungsbedingungen über eine größere Entfernung möglich. Nutzt eine Anlage beispielweise Funkkommunikation, so kann eine gezielte Störung der jeweiligen Frequenzbänder erhebliche Schäden verursachen.
Ein unidirektionales Gateway ist eine Sicherheitskomponente in Computernetzwerken, die dazu dient, den Datenfluss in eine einzige Richtung zu erzwingen. Man spricht daher auch von einer "Datendiode". Sie wird in Netzwerken verwendet, in denen eine strikte Sicherheitszonentrennung (Segmentierung) erforderlich ist.
Die Hauptfunktion einer solchen Datendiode besteht darin, den Datenfluss zwischen zwei Netzwerken ausschließlich in eine Richtung zu ermöglichen. Dies bedeutet in der vernetzten Automatisierungstechnik, dass beispielsweise ausschließlich Daten vom OT- in das IT-Netzwerk fließen können, aber nicht in Gegenrichtung.
Abbildung 3: Unidirektionales OT/IT-Gateway
Unidirektionale Gateways für Datendioden-Anwendungen können unterschiedliche Sicherheitsausprägungen aufweisen. Im einfachsten Fall wird der Datenverkehr entgegen der Flussrichtung durch spezielle Funktionen unterbunden. Im Maximalausbau existieren die (PHY-RX-) Empfangssignale an der IT-Schnittstelle überhaupt nicht.
Unser multifunktionales OT/IT-Gateway IGW/936A wurde genau für solche Zwecke konzipiert und ist daher auch für den Einsatz als Datendiode bzw. unidirektionales Gateway bestens geeignet.
SSV SOFTWARE SYSTEMS
Dünenweg 5
30419 Hannover
Fon: +49(0)511 · 40 000-0
Fax: +49(0)511 · 40 000-40
Impressum · Datenschutz · AGB
© 2024 SSV SOFTWARE SYSTEMS GmbH. Alle Rechte vorbehalten.
ISO 9001:2015
