Gemeinsam gegen Hacks - Sichere IT-Strukturen in der Prozessindustrie
NAMUR (Interessengemeinschaft Automatisierungstechnik der Prozessindustrie) und BSI (Bundesamt für Sicherheit in der Informationstechnik) eint das Ziel sicherer IT-Strukturen in de...
NAMUR (Interessengemeinschaft Automatisierungstechnik der Prozessindustrie) und BSI (Bundesamt für Sicherheit in der Informationstechnik) eint das Ziel sicherer IT-Strukturen in der Prozessindustrie. Deshalb wurde im Herbst 2018 die enge Zusammenarbeit beschlossen und institutionalisiert. Wie sieht der aktuelle Stand der Kooperation aus? Lesen Sie hierzu ein Interview mit Felix Hanisch, dem Vorstandsvorsitzenden der NAMUR und Leiter Industrial Automation bei Bayer. Das Gespräch führte Volker Oestreich für die Wiley-Fachzeitung CHEManager.
NAMUR (Interessengemeinschaft Automatisierungstechnik der Prozessindustrie) und BSI (Bundesamt für Sicherheit in der Informationstechnik) eint das Ziel sicherer IT-Strukturen in der Prozessindustrie. Deshalb wurde im Herbst 2018 die enge Zusammenarbeit beschlossen und institutionalisiert. Wie sieht der aktuelle Stand der Kooperation aus? CHEManager sprach dazu mit Felix Hanisch, dem Vorstandsvorsitzenden der NAMUR und Leiter Industrial Automation bei Bayer. Das Gespräch führte Volker Oestreich.
CHEManager: Herr Hanisch, mit der zunehmenden Vernetzung ergeben sich auch für die Chemieindustrie neue Bedrohungsszenarien. Wie sieht es
mit der Cyber-Security in der Branche aus?
Felix Hanisch: Für die Chemie- und Pharmaindustrie steht Sicherheit schon lange an erster Stelle bei allem, was wir tun. Dabei geht es um die Sicherheit unserer Produkte, Prozesse und Anlagen, um die Sicherheit und den Schutz der Mitarbeiter, Kunden und Partner sowie der Umwelt. Sicherheit hat viele Facetten und IT-Security ist eine weitere, die in den letzten Jahren für uns in der Prozessindustrie ständig an Bedeutung gewonnen hat. Heute ist IT-Security integraler Bestandteil unseres Sicherheitsmanagements.
Vor diesem Hintergrund haben wir uns bei der NAMUR letztes Jahr besonders gefreut, als das BSI auf unserer Hauptsitzung 2018 NAMUR-Mitglied geworden ist. Gleichzeitig haben wir uns dazu verpflichtet, die Allianz für Cybersicherheit des BSI in der Prozessindustrie bekannter zu machen und deren Ziele aktiv zu unterstützen.
Was kann die NAMUR in diese Zusammenarbeit einbringen?
F. Hanisch: Die NAMUR kann hier mit viel eigener Kompetenz punkten: seit vielen Jahren befasst sich unser Arbeitskreis 4.18 „Automation Security“ unter der Leitung von Erwin Kruschitz und mit Beteiligung des BSI bereits mit den speziellen Aspekten von IT-Sicherheit in der automatisierungstechnischen Praxis. 2015 hat der Arbeitskreis mit der NAMUR Empfehlung NE 153 „Automation Security Agenda 2020“ technologische Anforderungen an zukünftige Automatisierungslösungen formuliert. Hier war die Forderung klar: IT-Security muss integraler Bestandteil aller zukünftigen Komponenten sein und darf nicht beim Betreiber „on top“ draufgesattelt werden müssen. Vor diesem Hintergrund ist es bedauerlich, dass wir noch immer mit Lieferanten, insbesondere von Anlagenmodulen oder Package Units, über IT-Security entlang des gesamten Lebenszyklus diskutieren müssen. Hier herrscht nach wie vor eine Denke von „gekauft wie gesehen“. Sobald das Modul beim Betreiber steht, muss er sich drum kümmern. Fragen von Software-Versionierung und Hardware-Kompatibilität in der Zukunft werden gerne dem Kunden überlassen.
Die besonders enge Verknüpfung von Anlagensicherheit und IT-Security greifen wir mit dem NAMUR-Arbeitsblatt 163 auf …
Das was genau beinhaltet?
F. Hanisch: Bei der NA 163 geht es um die „IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen“: Die IEC 61511 fordert IT- Risikobeurteilungen für PLT-Sicherheitseinrichtungen. NA 163 erläutert, für welchen Umfang, durch wen und wie häufig eine solche Risikobeurteilung durchzuführen ist. Anhand einer Checkliste kann diese Risikobeurteilung durch einen PLT-Ingenieur mit Grundkenntnissen in IT und Netzwerktechnik durchgeführt werden.
Unmittelbar vor der Veröffentlichung steht das NA 169 „Automation Security Management in der Prozessindustrie“, womit konkrete Schritte zur Einrichtung eines systematischen Security-Managements unter Bezug auf die etablierten Normen und Standards wie IEC 61442, die ISO27000-Familie und VDI 2182 beschrieben werden. Und da sich die Bedrohungslage ständig und schnell verändert, haben wir mit der NAMUR „AK-Praxis“ ein Format geschaffen, in dem Arbeitskreise sich schneller zu aktuellen Entwicklungen äußern können. Hier sind vom AK 4.18 Dokumente zum Patch-Management, zur Härtung oder Architektur von IT-Systemen veröffentlicht worden.
Was sind aktuell wichtige Themen, die die Zusammenarbeit zwischen NAMUR und BSI betreffen?
F. Hanisch: Mit dem vorliegenden Referentenentwurf zum IT-Sicherheitsgesetz 2.0 werden nicht nur die Befugnisse des BSI deutlich ausgeweitet, sondern auch die Anforderungen an und die Zugehörigkeit zu den KRITIS-Bereichen. Beides sind gute Gründe – neben dem schon gelebten intensiven fachlichen Austausch – warum NAMUR und BSI auch zukünftig weiter gemeinsam gegen Hacks vorgehen werden. Zu tun gibt es genug: der rasche Austausch zu Ereignissen in der Prozessindustrie, der das einzelne betroffene Unternehmen schützt, aber trotzdem eine zeitnahe Information aller ermöglicht, die Analyse neuer Angriffsvektoren und die Weiterentwicklung und Kommunikation von Gegenmaßnahmen.