Torben Griebe, Sie haben sich intensiv mit der OT-Security auseinandergesetzt. Im Speziellen mit der Norm IEC 62443. Was ist OT-Security und was behandelt die Norm?
Torben Griebe: OT-Security beschäftigt sich mit der Sicherheit im sogenannten cyber-physischen Raum. Gegenüber der IT, wo alle Aktionen rein digital stattfinden, hat die OT durch die Ansteuerung von Aktoren Auswirkungen auf physische Prozesse.
Diesen Umstand berücksichtigt die Norm. Sie dient als Leitfaden um OT-Systeme sicher aufzusetzen, zu betreiben und zu entwickeln.
Was gilt es für Hersteller und was für Anwender zu beachten?
Torben Griebe: Der Hersteller muss die OT-Systeme so entwerfen und entwickeln, dass die Systeme sicher betrieben werden können. Der Anwender bzw. der Betreiber der Systeme ist dann immer noch in der Verantwortung, die Systeme auch tatsächlich sicher zu betreiben. IEC 62443 bietet hier für beide Parteien detaillierte Hilfestellungen.
Was sind die Herausforderungen, respektive gilt es zu beachten?
Torben Griebe: Kommt man zum ersten Mal in Kontakt mit dem Thema können die Anforderungen etwas überwältigend erscheinen. Hier empfehle ich die Norm erst einmal auf einen kleinen Bereich des Unternehmens anzuwenden.
Gibt es andere relevante Normen für industrielle Hersteller und Anwender?
Torben Griebe: Das BSI gibt z.B. im IT-Grundschutz-Kompendium Empfehlungen für den Betrieb industrieller IT. Auch das amerikanische NIST gibt entsprechende Empfehlungen in der SP 800-82.
Wie stark ist das Thema OT-Security bei den Industriefirmen bereits auf dem Radar?
Torben Griebe: Meiner Erfahrung nach leider noch nicht ausreichend stark. Aber es gerät immer mehr in den Fokus der Firmen. Auch in naher Zukunft gehe ich von einem positiven Trend aus, auch wegen neuen Regulatorien wie z.B. der EU-Maschinenverordnung, welche erstmals explizit Cybersecurity-Anforderungen an Maschinenprodukte stellt.
Was sind die wichtigsten Unterschiede zwischen IT und OT-Security?
Torben Griebe: In der IT haben Vertraulichkeit und Integrität von Informationen die höchste Priorität. Erst danach folgt normalerweise die Anforderung nach Verfügbarkeit.
In der OT ist die Priorität umgedreht. Dort hat die Verfügbarkeit üblicherweise die höchste Priorität.
Wo oder wie startet man als interessiertes Unternehmen idealerweise in dieses Themengebiet?
Torben Griebe: Möchte man wirklich von Null starten, empfehle ich, wie bereits erwähnt, sich bei der Einführung der Norm erst einmal nur auf ein Teilsegment des Unternehmens zu beschränken. Eine business-orientierte Risikoanalyse hilft bei der Auswahl.
Mit steigender Erfahrung kann der Anwendungsbereich dann auf zusätzliche Bereiche erweitert werden.
Zum Abschluss: Welche drei Tipps geben Sie den Lesenden mit auf den Weg?
Torben Griebe:
- Starten Sie Schritt für Schritt. Die gesamte Unternehmung auf einmal nach der Norm auszurichten kann das Vorhaben zum Scheitern bringen.
- Gehen Sie risikobasiert vor. Eine business-orientierte Risikoanalyse hilft bei der Identifikation eines ersten Anwendungsbereichs und hilft bei der effizienten Planung und Umsetzung von Sicherheitsmassnahmen.
- Beachten Sie, dass die gewählten Cybersecurity-Massnahmen auch von den Anwendern akzeptiert werden. Gute Cybersecurity-Massnahmen sollten die tägliche Arbeit vereinfachen, nicht erschweren.
