Organisatorische Maßnahmen

Von /

Organisatorische Maßnahmen werden über das IACS Security Program (IACS-SP) nach IEC 62443-2-1 beschrieben. Dieses Programm konzentriert sich auf Vertraulichkeit, Integrität und Verfügbarkeit. Es ist ein Managementsystem mit Prozessen und Maßnahmen zur Gewährleistung der System-Security im OT-Bereich. Es soll zur Sicherung des firmeneigenen Maschinenparks und über alle Betriebsphasen einer Maschine oder Anlage hinweg eingerichtet werden. Dieser Weg ist besonders dann sinnvoll, wenn bereits ein ISMS vorhanden ist oder eine Zertifizierung nach ISO 27001 angestrebt wird, weil eine hohe Kompatibilität mit internationalen Normen besteht.

Im Allgemeinen besteht das IACS-SP aus der Umsetzung und Pflege verfahrenstechnischer Fähigkeiten, personeller Fähigkeiten und technologischer Fähigkeiten. Sein Zweck ist die Verringerung der Securityrisiken in der Produktion. Dabei gelten drei Leitlinien: Die IACS-Security-Programme verschiedener Anlagen sollen miteinander kompatibel sein, das IACS-SP soll das ISMS der Betreiberorganisation ergänzen, und dafür soll ein Information Security Team (IST) eingerichtet werden. Gleichzeitig gilt, dass ein ISMS im Allgemeinen nicht auf die Safety- und Betriebsanforderungen eines IACS eingeht.

Zum IACS-SP gehören die Erstellung eines Defense-in-Depth-Konzepts, Security-Richtlinien, Tests zur Verifikation und Validierung der Security, Secure Implementierung, Security durch Design beziehungsweise Konstruktion sowie die Spezifikation der Security-Anforderungen. Organisatorische Maßnahmen bilden dabei zusammen mit den technischen Maßnahmen ein Zwei-Säulen-Modell: Auf der organisatorischen Seite stehen die Security Program Elements (SPE 1 bis SPE 8), auf der technischen Seite die Foundational Requirements (FR 1 bis FR 7).

Ein IACS-SP besteht aus acht Security Program Elements. Diese beschreiben Prozesse und organisatorische Maßnahmen:

  1. Organisatorische Sicherheitsmaßnahmen
  2. Konfigurationsmanagement
  3. Netzwerk- und Kommunikationssicherheit
  4. Komponentensicherheit
  5. Schutz der Daten
  6. Benutzerzugriffskontrolle
  7. Ereignis- und Vorfallmanagement
  8. Systemintegrität und -verfügbarkeit.
    Als jeweils zutreffendste technische Bezüge werden dazu Foundational Requirements zugeordnet: SPE 1 → FR 3, SPE 2 → FR 3 und 7, SPE 3 → FR 1, 2 und 5, SPE 4 → FR 3 und 7, SPE 5 → FR 1, 3 und 4, SPE 6 → FR 1, 2, 3 und 6, SPE 7 → FR 2 und 6, SPE 8 → FR 3 und 7.

SPE 1 – Organisatorische Sicherheitsmaßnahmen

Dazu gehören OT-Sicherheitsrollen und -verantwortlichkeiten. Das ISMS der IT und das IACS-SP der OT müssen koordiniert sein, zum Beispiel durch die Einführung eines IST. Hinzu kommen Schulungen zum OT-Sicherheitsbewusstsein für Personal, Mitarbeiter, Auftragnehmer, Berater, Dienstleister und Lieferanten, die mit IACS interagieren, sowie Background-Checks für Mitarbeiter. Außerdem gehören dazu Richtlinien, die sensible Aspekte der Security beschreiben, etwa Least Privilege, Anomalie-Erkennung, Entwicklungslebenszyklus und Defense in Depth. Ergänzend werden Risikomanagement als andauernde oder ereignisbedingt wiederkehrende Strategie aus Risikoanalyse und Risikominderung, Lieferkettensicherheit über formelle Prozesse mit Anforderungen an Lieferanten von IACS und Dienstleistungen sowie die Sicherheit des physischen Zugriffs auf IACS, Anlage, Ausrüstung und Verkabelung genannt.

SPE 2 – Konfigurationsmanagement

Die IACS-Architektur soll dokumentiert werden, und diese Dokumentation muss gepflegt werden. Das Konfigurationsmanagement dient der Bestandsaufnahme bestehender Anlagen, das Change-Management der Steuerung von Änderungen. Dazu gehören eine Inventarliste mit Hersteller, Modell, Versionsnummer, Seriennummer, Patchständen und Verlauf, die Dokumentation von Konfigurationseinstellungen wie Parametern und Einstellungen sowie eine Änderungskontrolle mit Angaben zur juristischen Person, zum Grund der Änderung und zu Konfigurationsrichtlinien.

SPE 3 – Netzwerk- und Kommunikationssicherheit

Diese organisatorische Ebene soll vor Angriffen schützen, die über Netzwerk und Kommunikationsmöglichkeiten ausgeführt werden. Dafür müssen Segmentierungs- und Kommunikationsrichtlinien auf Basis von Zonen und Conduits definiert und durchgesetzt werden. Im IACS eingesetzte drahtlose Protokolle müssen von Industrie und Securitykreisen allgemein für die Verwendung im IACS akzeptiert sein und dürfen nur im Rahmen bestimmter Richtlinien verwendet werden. Fernzugriffsanwendungen dürfen nur explizit erlaubt sein, und alle Verbindungen müssen über definierte Regeln gesteuert werden.

SPE 4 – Komponentensicherheit

Das IACS und seine Komponenten sollen unter anderem durch Gerätehärtung angemessen vor Schadsoftware geschützt werden. Komponenten müssen Schutzmechanismen enthalten, die validiert werden können. Zum organisatorischen Patch-Management gehört, dass Patches auf Authentizität und Integrität geprüft, dokumentiert und rechtzeitig installiert werden. Gleichzeitig darf die Installation von Security-Patches nicht zu einer Beeinträchtigung der Security führen.

SPE 5 – Schutz der Daten

Alle schutzbedürftigen IACS-Daten müssen ermittelt und ihrem Schutzbedarf entsprechend eingestuft werden. Diese Daten müssen vor Kompromittierung geschützt sein. Änderungen an Daten dürfen nur in einem Konfigurationsmodus erfolgen. Zusätzlich werden kryptographische Methoden gefordert. Außerdem muss das IACS in einen vorher festgelegten Zustand zurückversetzt werden können.

SPE 6 – Benutzerzugriffskontrolle

Es muss ein Prozess verwendet werden, um Benutzern – also menschlichen Benutzern, Softwareprozessen und Geräten – IACS-spezifische Identifikations- und Authentifizierungsrollen zuzuweisen. Alle Rollen müssen klar definierte Berechtigungen haben. Für kritische Funktionen sind zusätzliche Mechanismen vorgesehen, etwa mehrfache Genehmigungen durch verschiedene Nutzer. Die zugewiesenen Zugriffsrechte müssen für alle Benutzer durchgesetzt werden.

SPE 7 – Ereignis- und Vorfallmanagement

Probleme und Verstöße müssen in Protokollen identifizierbar sein, damit Ereignisse analysiert werden können. Der Betreiber muss sicherstellen, dass IACS-Ereignisse erkannt werden. Dazu gehören gültige und ungültige Anmeldeversuche, Zugriff auf kontrollierte Befehle und Daten, Login-Ereignisse, Fehler, Backup- und Wiederherstellungsaktivitäten, Änderungen der Konfiguration, mögliche Aufklärungsaktivitäten und Audit-Log-Ereignisse.

SPE 8 – Systemintegrität und -verfügbarkeit

Dieser Bereich umfasst Backup Management, also Backupintegrität sowie Recovery- und Archivmanagement. Der Betreiber muss sicherstellen, dass ein Disaster Recovery Plan (DRP) oder ein Business Continuity Plan (BCP) für den Standort angewendet und aktuell gehalten wird. Der Plan muss Katastrophenszenarien, Verfahren zur Behandlung von Fehlern und Prozesse zur Aufrechterhaltung der erforderlichen Betriebsabläufe enthalten. Ziel ist der Schutz der Integrität und Verfügbarkeit des Systems.

Zusammenfassung

Organisatorische Maßnahmen in der OT-Security werden über ein IACS Security Program aufgebaut. Dieses Programm ergänzt das ISMS, ist auf Vertraulichkeit, Integrität und Verfügbarkeit ausgerichtet und bündelt organisatorische Prozesse in acht Security Program Elements. Diese acht Elemente decken Rollen und Richtlinien, Konfigurationsmanagement, Netzwerk- und Kommunikationssicherheit, Komponentensicherheit, Datenschutz, Benutzerzugriffskontrolle, Ereignis- und Vorfallmanagement sowie Systemintegrität und -verfügbarkeit ab. Dadurch entsteht ein organisatorisches Gegenstück zu den technischen Foundational Requirements und ein vollständiger Managementrahmen für Security im OT-Bereich.

Nach oben scrollen