Wie ein weltweiter Standard für Cyber-Sicherheit und ein Schema zur Konformitätsbewertung vernetzter Produkte Ausfallzeiten und Umsatzverluste reduzieren können.

In der modernen, global vernetzten Welt sind sichere Geräte das Rückgrat einer zuverlässigen Netzwerkumgebung. Doch je mehr Hersteller und Industrien intelligente Geräte für das Industrial Internet of Things (IIoT) bauen und einsetzen, desto wichtiger und schwieriger wird die Sicherung und Sicherheit von Systemen, die grundlegende Abläufe ermöglichen. Die Problematik ist zum Teil zurückzuführen auf das Fehlen eines weltweiten, allgemein akzeptierten Cyber-Sicherheitsstandards sowie eines Schemas zur Konformitätsbewertung für die Validierung vernetzter Produkte.

Heute werden in Ländern auf der ganzen Welt Anforderungen ohne Rücksicht auf globale Konformität formuliert. Diese Konformitätslücke erschwert es den Herstellern, Normen zu bestimmen, nach denen sie produzieren und zu denen sie sich verpflichten. Dies gilt umso mehr, wenn Produkte auf der ganzen Welt hergestellt und verkauft werden. Daher sollten Industriepartner und Normungsorganisationen meiner Meinung nach proaktive Schritte unternehmen, um Sicherheitserwartungen und Best Practices für IIoT-Umgebungen festzulegen. Somit könnte sichergestellt werden, dass Produkte konsequent auf Sicherheit ausgerichtet sind. Dies wird den Unternehmen letztlich Kosten in Milliardenhöhe für Systemdesign und Wiederherstellung nach Cyber-Angriffen einsparen.

Sicherheitsrelevante Herausforderungen für Unternehmen

Mit der zunehmenden Integration von IIoT-Geräten in vorhandene Systeme und Lösungen werden kritische Infrastrukturen und andere industrielle Steuersystemnetzwerke anfälliger für Cyber-Attacken. Diese sind zudem immer schwieriger abzuwehren. Heute wird der Gesamtschaden, der durch Cyber-Kriminalität verursacht wird, auf 600 Milliarden Dollar¹ geschätzt. Dies entspricht 0,8 Prozent des globalen BIP. Mehrere Vorfälle in den letzten Jahren zeigten sich in einer Reihe schwerwiegender Sicherheitslücken, die weltweite Aufmerksamkeit erregten. Beispiele hierfür sind der „Industroyer" oder auch „Crash Override", eine Malware, die das ukrainische Stromnetz im Jahr 2015 zum Absturz brachte, sowie die massiven Mirai-Botnet-Angriffe im Jahr 2016, bei denen IoT-Überwachungskameras und -Router manipuliert wurden, um mehrere verteilte „Denial of Service“-Angriffe zu starten.

Solche Angriffe sind in ihrem Ausmaß und ihren Folgen für das betroffene Gesamtsystem in der Regel raffinierter und schädlicher als viele Cyber-Attacken aus der Zeit vor dem IIoT. Die Abwehr dieser Angriffe gestaltet sich entsprechend schwieriger. Zwar veröffentlichen Regierungen und Hersteller Warnhinweise zur Cyber-Abwehr und schlagen Aktualisierungen vor. Doch die Einhaltung der Protokolle hängt davon ab, inwieweit die einzelnen Anlagenbesitzer diese beachten und die detaillierten Anweisungen befolgen. Obwohl die von Regierungsbehörden und Herstellern ausgesprochenen Empfehlungen in den meisten Fällen rechtzeitig erfolgen, können die Verfahren zur Aktualisierung der Systeme langsam, ineffektiv und schwerfällig sein. Häufig fehlt es in Unternehmen an Systemarchitekturen, die Systemaktualisierungen bei laufendem Betrieb ohne Beeinträchtigung der Ausfallzeiten unterstützen. Diese kritischen Infrastruktursysteme für Aktualisierungen offline zu setzen, würde zu Produktivitäts- und Umsatzeinbußen führen. Meistens sind Updates für die Cyber-Sicherheit im Voraus zu planen oder mit den jährlichen Wartungsplänen abzustimmen. 

Herausforderungen und potenzielle Lösungen zur Sicherung vernetzter Umgebungen

Die besonderen Merkmale der IIoT-Technologien bringen technische und wirtschaftliche Herausforderungen mit sich. Aus technischer Sicht haben IIoT-Geräte begrenzte Rechen- und Speicherfähigkeiten. Sie sind nicht dafür ausgelegt, wirksame Sicherheitsmaßnahmen wie fortgeschrittene Verschlüsselung oder Schwachstellen- und Patch-Management zu unterstützen. Um diese Herausforderung zu bewältigen, müssen schlanke kryptographische Algorithmen und Geschäftsmodelle entwickelt werden. Nur so können Upgrades von IIoT-Produkten schneller durchgeführt und Systeme entwickelt werden, die Firmware-Aktualisierungen über Funk unterstützen. Für mich ist die Sicherheit eines Netzwerks oder Systems nur so stark wie sein schwächstes Glied. Unternehmen sollten eine grundlegende Cyber-Sicherheitshygiene einhalten und neu auftretende Bedrohungen ständig analysieren, um so die sichere Bereitstellung von Systemen zu gewährleisten. Darüber hinaus sollten Unternehmen eine Bestandsaufnahme von sämtlichen mit ihren Netzwerken verbundenen Komponenten vornehmen und sich an einem Zero-Trust-Modell orientieren. Um Bedrohungen effektiv identifizieren zu können, ist eine Partnerschaft und Zusammenarbeit mit vertrauenswürdigen Anbietern erforderlich. 

Die wirtschaftlichen Herausforderungen für den Schutz der IIoT-Umgebungen ergeben sich aus der komplexen Fertigungslieferkette und der Schwierigkeit, Herstellern und Systemintegratoren klare Verantwortlichkeiten für etwaige eingeführte Sicherheitslücken zuzuweisen. Die meisten Produkte und Systembaugruppen bestehen aus Komponenten von verschiedenen Lieferanten. Wo genau liegen also die Verantwortlichkeiten, wenn es kein globales Konformitätsbewertungsschema gibt, das sicherstellt, dass integrierte Komponenten keine Sicherheitslücken aufweisen? Eine ausgezeichnete Ausgangsbasis wäre ein gemeinsamer Katalog verifizierter Produktanforderungen auf globaler Ebene – vergleichbar mit dem, was wir bereits für Sicherheitsbewertungen haben. Zu den möglichen Lösungen für das Haftungsproblem gehören Konformitätsbewertungen von IIoT-Gerätekomponenten durch Dritte sowie eine regelmäßige Bestandsaufnahme der in Netzwerken eingesetzten IIoT-Technologien. So kann sichergestellt werden, dass nur vertrauenswürdige Geräte installiert werden. 

Fehlender weltweiter Standard für die Einhaltung der Cyber-Sicherheit

Die von mir erwähnten Lösungen sind zwar realisierbar. Doch das Fehlen harmonisierter globaler Produktstandards für die IIoT-Sicherheit verlangsamt Akzeptanz und Anwendung solcher Maßnahmen dramatisch. Unkoordinierte Cyber-Sicherheitsstandards, -richtlinien und -vorschriften unterschiedlicher Organisationen auf der ganzen Welt erschweren es, auf Systemebene allgemeingültige IIoT-Cyber-Sicherheitsanforderungen für Hersteller anzugleichen. Fall dies überhaupt möglich ist. Viele Staaten, Regionen und Kommunalverwaltungen entwickeln ihre eigenen Best Practices und Standards für Cyber-Sicherheit bei IIoT-Geräten und kritischen Infrastrukturen. Eine Übereinstimmung ist nicht vorhanden. Oft fehlt diesen Regierungsstellen das erforderliche Fachwissen, um die Komplexität der IIoT-Geräte und ihrer Anwendung beurteilen zu können.

Die verschiedenen Regierungen haben damit begonnen, IIoT-Technologien auf sehr unterschiedliche und manchmal widersprüchliche Weise zu regulieren. Daher sind die Standards und Anforderungen an die Cyber-Sicherheit nach Region und Land stark fragmentiert.   Dies stellt Hersteller und Systemintegratoren vor besondere Herausforderungen, wenn sie versuchen, Dienstleistungen für einen globalen Markt zu entwickeln und bereitzustellen.

Weltweiter Industriestandard und Schnellverfahren zur Konformitätsbewertung für IIoT

Branchen- und Normungsgremien müssen sich für geeignete Konformitätsbewertungsschemata einsetzen, um bei der Validierung globaler Anforderungen an Produkte und Systeme zu helfen. Nur so können die komplexen Probleme gelöst werden, die sich aus den unübersichtlichen Anforderungen verschiedener Länder und Regionen ergeben.

Ich bin der festen Überzeugung, dass Normungsgremien bei der Entwicklung globaler IIoT-Cyber-Sicherheitsstandards, einschließlich geeigneter Konformitätsbewertungssysteme, die Federführung übernehmen sollten. Globale Standards werden auch den Weg für Partnerschaften zwischen Unternehmen und akademischen Einrichtungen ebnen. Diese Beziehungen werden dazu beitragen, die langfristige Talentvorsorge zu stärken. Auf diese Weise kann der Fachkräftemangel auf dem Gebiet der Cyber-Sicherheit, und insbesondere im Bereich des IIoT, verringert werden. 

Was Industriebranchen jetzt tun können

Die vor uns liegende Herausforderung besteht darin, den Dialog zwischen den Normungsgremien zu intensivieren. Dazu müssen Hersteller, Lieferanten und Verbraucher im Bereich des IIoT über die Risiken in Verbindung mit ungesicherten Produkten und Lösungen aufgeklärt werden. Obwohl ich der Meinung bin, dass Normungsgremien beim Thema Cyber-Sicherheit eine Vorreiterrolle spielen sollten, ist die Cyber-Sicherheit selbst abhängig vom Zusammenspiel aller Beteiligten. Und Zusammenarbeit braucht Zeit – insbesondere in Bereichen, die langsamer auf technologische Fortschritte reagieren.

Die verschiedenen Industriebranchen beginnen allmählich, die Cyber-Sicherheit zu verstärken. Folgende Maßnahmen können Geschäftsinhaber und Facility Manager heute schon unternehmen, um die Cyber-Sicherheitsrisiken in Systemen und Netzwerken zu verringern: 

Integration von Cyber-Sicherheit in Produktdesign und -entwicklung 

Die Sicherheit ist eine kontinuierliche Herausforderung. Sowohl die Komplexität der Produkte als auch die Bedrohungsszenarien und Technologien entwickeln sich ständig weiter. Daher ist es von entscheidender Bedeutung, dass für jede Phase des Produktentwicklungszyklus Protokolle erstellt werden – von Modellen zur Bedrohung über Anforderungsanalysen bis zur Verifizierung und laufenden Wartung. Dank dieser Maßnahmen können Unternehmen aufkommende Bedrohungen erkennen, Möglichkeiten zur Abwehr dieser Bedrohungen identifizieren und ihre Kunden dabei unterstützen, Effizienz, Zuverlässigkeit und Sicherheit zu maximieren. Der Secure Development Life Cycle (SDLC)-Prozess von Eaton ist ein hervorragendes Beispiel für ein Modell, bei dem Sicherheit in jeder Phase der Produktentwicklung eine Rolle spielt.  

Anwendung grundlegender Cyber-Sicherheitshygiene in Netzwerken

Eine grundlegende Cyber-Sicherheitshygiene stellt sicher, dass von allen systemrelevanten Objekten ein aktuelles Inventar geführt wird. Dadurch wird gewährleistet, dass alle vernetzten Geräte bekannt sind. Diese sollte technische Anlagen und Datenbestände ebeno umfassen wie die Anwendung von Patches bei der Entdeckung von Sicherheitslücken, strenge Zugangskontrollrichtlinien und die kontinuierliche Überwachung von Protokollen und Systemen auf anormales Verhalten. Weiterhin sollten Unternehmen daran arbeiten, eine Reihe von Cyber-Sicherheitsaktualisierungen auf der Grundlage ihrer Risikoeinschätzungen für jeden Sicherheitspatch zu planen.

Zusammenarbeit mit sachkundigen Drittorganisationen

Die Entwicklung strenger Verfahren in jeder Phase der Produktentwicklung trägt dazu bei, messbare Cyber-Sicherheitskriterien für vernetzte Produkte und Systeme aufzustellen. Durch die Zusammenarbeit mit vertrauenswürdigen Drittparteien können Unternehmen ihre Best Practices im Bereich der Cyber-Sicherheit verbessern. Denn diese Institutionen erstellen oft international anerkannte Richtlinien. Unsere Zusammenarbeit mit UL ist ein erfolgreiches Arbeitsmodell. Eaton testet jetzt Produkte mit Intelligenz oder eingebetteter Logik nach Schlüsselaspekten der Normen UL 2900-1 und IEC 62443, die obligatorische Testprotokolle für Sicherheitslücken, Softwareschwächen und Malware erfordern.

Es ist Zeit zu handeln

Die Hersteller können es sich nicht länger leisten, nach unterschiedlichen Sicherheitsstandards zu arbeiten. Cyber-Kriminelle und die von ihnen verwendeten Technologien entwickeln sich ständig weiter. Den verschiedenen Standards mangelt es an der nötigen Einheitlichkeit, um die neuesten Bedrohungen zu bekämpfen.

Es ist jetzt an der Zeit, eine globale Konformitätsbewertung für die Cyber-Sicherheit in allen Branchen durchzusetzen. Um den heutigen Herausforderungen der Cyber-Sicherheit zu begegnen, müssen Industrie und Normungsgremien auf der ganzen Welt den erforderlichen Dialog beschleunigen. Sie müssen mit dem Tempo der sich ändernden Technologien Schritt halten, bevor es zu spät ist, den Rückstand aufzuholen.

Referenzen

1, 2 - Lau, Lynette (Februar 2018). Die „Pandemie" der Cyber-Kriminalität hat die Weltwirtschaft im vergangenen Jahr möglicherweise 600 Milliarden US-Dollar gekostet. Quelle: https://www.csis.org/analysis/economic-impact-cybercrime.