Das Risiko durch Cyberattacken auf Maschinen und Anlagen ist in den letzten Jahren deutlich gestiegen. Für die Cybersicherheit zur Erkennung und Abwehr dieser Angriffe ist die Sicherheit in der IT (Informationstechnologie) und in der OT (Operational Technology, Betriebstechnologie) erforderlich. Dabei unterscheiden sich IT-Sicherheit und OT-Sicherheit in vielen Punkten. Sicherheitskonzepte zur Minimierung der Cyberrisiken bei Anlagen und Maschinen müssen diese Unterschiede beachten, um erfolgreich zu sein.
Definitionen
Informationssicherheit versus IT-Sicherheit versus Cybersicherheit
Aufgabe der Informationssicherheit ist der angemessene Schutz der Grundwerte Vertraulichkeit, Integrität (Unverfälschtheit) und Verfügbarkeit von Informationen. Dazu gehört auch die Absicherung der Informationsverarbeitung, also insbesondere der IT, wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) erklärt.
Oftmals spricht man auch von der IT-Sicherheit oder Sicherheit der IT (Informationstechnologie). Dabei ist Informationssicherheit und IT-Sicherheit nicht das gleiche. Der Gegenstand der IT-Sicherheit ist der Schutz der IT-Systeme vor Beschädigung und Störung.
In der Praxis werden jedoch die Begriffe der Informationssicherheit und IT-Sicherheit häufig vertauscht und als Synonyme verwendet.
Ebenso werden auch IT-Sicherheit und Informationssicherheit oftmals mit Cybersicherheit gleichgesetzt. Aber auch hierzu bestehen Unterschiede. Unter Cybersicherheit versteht man nach Definition des BSI alle Aspekte der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyberraum ausgeweitet. Der Cyberraum umfasst alle weltweit auf Datenebene vernetzten oder vernetzbaren informationstechnischen Systeme. Dem Cyberraum liegt als öffentlich zugängliches Verbindungsnetz das Internet zugrunde, welches durch beliebige andere Datennetze erweitert werden kann.
Für die Definition und Erstellung eines Sicherheitskonzepts ist eine genaue Definition und Verwendung der Begriffe elementar. Nur so kann sichergestellt werden, dass alle Beteiligten von der gleichen Aufgabe ausgehen, wenn zum Beispiel über Maßnahmen zur Steigerung der IT-Sicherheit gesprochen wird.
Noch mehr Klärungsbedarf besteht bei dem Begriff OT-Sicherheit.
Bedeutung der OT-Sicherheit
Unter OT (Operational Technology) versteht man Hardware und Software, die durch die direkte Überwachung und/oder Steuerung von Industrieanlagen, Anlagen, Prozessen und Ereignissen eine Änderung erkennt oder verursacht.
Das NIST (National Institute of Standards and Technology) definiert OT so: OT umfasst eine breite Palette programmierbarer Systeme oder Geräte, die mit der physischen Umgebung interagieren (oder Geräte verwalten, die mit der physischen Umgebung interagieren). Diese Systeme/Geräte erkennen oder bewirken eine direkte Änderung durch die Überwachung und/oder Steuerung von Geräten, Prozessen und Ereignissen. Beispiele umfassen Industriesteuerungssysteme (ICS), Gebäudeautomatisierungssysteme, Transportsysteme, physische Zugangskontrollsysteme, Überwachungssysteme für physische Umgebungen und Messsysteme für physische Umgebungen.
Das Analystenhaus Gartner hat für die Sicherheit von OT diese Definition: Praktiken und Technologien, die verwendet werden, um (a) Personen, Vermögenswerte und Informationen zu schützen, (b) physische Geräte, Prozesse und Ereignisse zu überwachen und/oder zu steuern und (c) Zustandsänderungen an unternehmensweiten OT-Systemen einzuleiten.
Vorgaben für die IT-Sicherheit und OT-Sicherheit im Bereich Maschinen und Anlagen
Trotz der unterschiedlichen Schutzbereiche und Aufgaben der IT-Sicherheit und der OT-Sicherheit ist es für die Sicherheit von Anlagen und Maschinen von zentraler Bedeutung, sowohl IT-Sicherheit als auch OT-Sicherheit zu gewährleisten.
Für die Umsetzung der OT-Sicherheit und der IT-Sicherheit gibt es mehrere Leitfäden, Handlungsempfehlungen und Standards, darunter insbesondere die internationale Normenreihe IEC 62443, die sich mit der Cybersecurity von „Industrial Automation and Control Systems“ (IACS) befasst, das ICS-Security-Kompendium des BSI und die ISO/IEC 27001.
Weiterführende Links
BSI (Bundesamt für Sicherheit in der Informationstechnik) (https://www.bsi.bund.de/DE/Home/home_node.html)
NIST (National Institute of Standards and Technology) (https://www.nist.gov/)
NIST SP 800-82 Rev. 3 (Draft) Guide to Operational Technology (OT) Security (https://csrc.nist.gov/publications/detail/sp/800-82/rev-3/draft)
Gartner Research (https://www.gartner.com)
ICS-Security-Kompendium des BSI (https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Industrielle-Steuerungs-und-Automatisierungssysteme/Allgemeine-Empfehlungen/allgemeine-empfehlungen_node.html)
ISO/IEC 27001 (https://www.iso.org/isoiec-27001-information-security.html)
IEC 62443 (https://www.iec.ch/blog/understanding-iec-62443)